第12章 日誌查詢¶
所有跟郵件伺服器有關的紀錄都可在此查詢,管理者可以藉由這個功能,追蹤郵件的進出狀況、使用量等等,進一步掌握郵件伺服器運作的情況。
12-1、郵件日誌¶
整台郵件伺服器的傳送、接收郵件都會被記錄下來。郵件日誌最多保留時間是 60 個月,可在「日誌查詢 > 日誌保留設定」中設定。進入郵件日誌時,預設會顯示當日的郵件紀錄;可依條件搜尋特定郵件。
圖12-1 郵件日誌搜尋¶
除了搜尋以外,依據設定的條件,也可以執行直接下載、傳送給原收件者、回報垃圾信等動作。結果列表預設以收件日期排序,點擊列表的項目文字即可改變排序方式。
圖12-2 郵件日誌列表¶
【收件日期】: 信件進入郵件伺服器的日期、時間。【寄件者 IP】: 寄件者帳號使用的 IP 位址。【寄件者】: 寄件者的電子郵件帳號【收件者】: 這封郵件的收件者。【郵件主旨】: 顯示郵件主旨的部分文字,將滑鼠移到上方後會顯示完整主旨及部分內容。【郵件大小】: 整封郵件的大小。【遞送狀態】: 遞送成功/失敗/接受/拒絕/擱置。【掃描結果】: 這封郵件是否含有病毒、觸發 Sandstorm 過濾、判斷為 EDM 或垃圾郵件,顯示「-」代表是正常信件。
【分數】: 垃圾郵件的綜合判斷分數。【處理】: 經過病毒、垃圾信判斷機制後,郵件伺服器對該郵件的處理方式,顯示「-」代表是正常信件。【類型】: 此封郵件的類型。【詳細】: 點選後,會開啟新視窗顯示此封信件在本機的詳細處理過程。【郵件】: 是否針對此封郵件執行下列動作。「」:將此封信下載到管理者的電腦中。
「」:將此封信傳送給原來的收件者。
「」:轉寄此封信件給其他收件者。
「」:將此封信回報為垃圾郵件。
「」:點選後將開啟新視窗顯示此信件內容。
若要處理一封以上的信件,可勾選信件後,點選列表左上方的工具列功能:「」:刪除選取的信件。
「」:回報選取的信件為正常信件。
【匯出】: 匯出此列表的郵件紀錄。
12-2、SMTP 日誌¶
一般而言,郵件主機對郵件主機要寄出一封信,分成幾個動作。1. 查詢對方網域的 A 紀錄是否存在。2. 查詢對方的 MX 紀錄(郵件主機所在的位址)。3. 雙方 SMTP 主機的對話。上述動作缺一不可,只要其中一個環節出問題,都會導致整封信無法順利到達。當信件無法寄出,或是一直無法收到信件,可以嘗試從 SMTP 通聯紀錄找出原因。在 SMTP 日誌依條件搜尋,查詢的結果會列表如下:
圖12-3 SMTP 通聯記錄¶
【日期】: 此郵件處理的日期。【寄件者】: 寄件者的電子郵件帳號。【收件者】: 這一封郵件的收件者。【大小】: 郵件的大小。【遞送主機】: 此為外面寄進來還是內部送出去的信件,如果顯示「本機」代表是內部送出的郵件。【遞送狀態】: 遞送成功/失敗/接受/拒絕/擱置。【遞送訊息】: 傳遞狀態最後的結果資訊。【遞送佇列】: 依據自定義的寄送規則寄信,此欄顯示為寄送次數。【詳細】: 點選後可查看郵件詳細資訊如下。
圖12-4 SMTP 通聯記錄¶
1. SMTP 連線詳細紀錄:包含時間、寄件者、收件者等資訊。2. DNS 查詢,查詢對方網域的 A 紀錄是否存在,以上圖為例說明:Gmail 回應 IPV4 的 A 紀錄跟 IPV6 的 AAAA 紀錄,而且都用相同的 gmail-smtp-in.google.com 名稱。3. 郵件伺服器 (mx) 列表:查詢對方的 MX 紀錄,也就是郵件主機所在的位址,以上圖為例說明:Gmail 回應 IPV4 的 MX 紀錄跟 IPV6 的 MX 紀錄。4. 通訊過程:雙方 SMTP 主機的對話。
12-3、POP3 日誌¶
POP3 日誌會記錄使用者在何時用 POP3 協定登入郵件伺服器收取或是刪除郵件的數量。依條件搜尋,結果會顯示於列表:
圖12-5 查詢 POP3 通聯記錄¶
【日期】: POP3 登入的日期及時間。【認證 IP】: 使用者登入時使用的 IP 位址。【認證帳號】: 收件者的電子郵件帳號,如果沒有域名則代表是郵件服務器預設的網域。【下載信件封數】: 此次用 POP3 協定登入收取的信件封數。【下載信件容量】: 此次用 POP3 協定登入收取的郵件容量。【刪除信件封數】: 此次用 POP3 協定登入後,刪除的郵件封數。
12-4、郵件全文檢索日誌¶
12-5、清單日誌¶
查詢從垃圾郵件清單中取回郵件的資訊。
圖12-7 清單取回查詢¶
【取信日期】: 取回此信件的日期。【收件者】: 此信件的收件者。【取信者】: 取信者是管理者或使用者。【郵件主旨】: 郵件主旨文字。【郵件大小】: 此郵件的容量大小。【分數】: 此郵件的垃圾郵件分數。【詳細】: 點選後可查看此郵件的詳細資訊,包含垃圾郵件判斷原因、主機收件通訊過程等等。【下載】: 將此郵件下載至電腦。
12-6、事件日誌¶
管理郵件伺服器並非易事,如果又有跨部門、地區的管理者,掌握是誰改了哪些設定是非常重要的。事件日誌記錄管理者登入管理介面及所有設定操作,可依條件搜尋。
圖12-8 搜尋事件日誌¶
設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-9 事件日誌的列表¶
【時間】: 事件發生的時間。【使用者】: 管理者登入的帳號或是 WebMail 登入的帳號,「SYSTEM」表示為郵件伺服器系統安排的工作。【登入 IP】: 管理者或是 WebMail 用那個 IP 位址登入郵件伺服器。【功能】: 管理者登入後在哪裡操作,例如:日誌查詢 > 郵件日誌。【內容】: 此事件被記錄的原因,將滑鼠移到上方,就會顯示操作的詳細內容,更動之處會以紅字呈現。【匯出】: 將此條件下搜尋到的事件日誌下載至電腦。
12-7、郵件稽核日誌¶
依據在「郵件稽核及防護 > 5-1、稽核條例」建立的條例規則,任何符合過濾條件的郵件都會被記錄下來。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-10 郵件稽核日誌搜尋¶
【收件日期】: 收到此郵件的日期。【寄件者 / 收件者】: 此郵件的寄件者、收件者帳號。【郵件主旨】: 郵件主旨文字。【郵件大小】: 此郵件的容量大小。【過濾器】: 觸發的過濾器名稱。將滑鼠移到上方,就會顯示過濾器備註說明、過濾條件組合方式及觸發的過濾條件。【處理】: 此條例中,在 符合過濾條件的處理方式 設定的異常郵件處理方式。【抄送副本】: 此條例中,在 符合過濾條件的處理方式 設定的抄送副本收件者。【寄發通知信】: 此條例中,在 符合過濾條件的處理方式 設定的通知信收件者。【詳細】: 點選後可查看此郵件的詳細資訊,包含郵件摘要、主機收件通訊過程、過濾器內容等等。
12-8、個資法查詢日誌¶
依據在「郵件稽核及防護 > 5-1、稽核條例」建立的條例規則,任何符合過濾器 個資 條件的郵件都會被記錄下來。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-11 個資法查詢日誌¶
【收件日期】: 收到此郵件的日期。【寄件者 / 收件者】: 此郵件的寄件者、收件者帳號。【郵件主旨】: 郵件主旨文字。【郵件大小】: 此郵件的容量大小。【過濾器】: 觸發的過濾器名稱。【欄位】: 此條例中,在 過濾器條件的運作-個資 設定要判斷的欄位。【比對】: 此條例中,在 過濾器條件的運作-個資 設定要比對的項目。【內容】: 觸發此條例的個資內容。【附件】: 若郵件夾帶的附件符合過濾器個資條件,則會於此欄位顯示其檔名。【詳細】: 點選後可查看此郵件的詳細資訊,包含郵件摘要、主機收件通訊過程、過濾器內容等等。
12-9、進階稽核日誌¶
若在「郵件稽核及防護 > 稽核條例」建立的條例規則中,符合過濾條件的處理方式 是「轉交郵件稽核人員」,則符合過濾條件的郵件會依據在 5-2、稽核進階設定 中設定的方式處理,並且會被記錄下來。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-12 進階稽核日誌¶
【收件日期】: 收到此郵件的日期。【寄件者 / 收件者】: 此郵件的寄件者、收件者帳號。【郵件主旨】: 郵件主旨文字。【郵件大小】: 此郵件的容量大小。【過濾器】: 觸發的過濾器名稱。【稽核狀態】: 此郵件的稽核狀態,可能是待處理、轉交郵件稽核人員、交付代理稽核人員、放行、退回、刪除、延遲或加密後放行。【稽核人員】: 此稽核條例中設定的稽核人員帳號。【代理稽核人員】: 此稽核條例中設定的代理稽核人員帳號。【詳細】: 點選後可查看此郵件的詳細資訊,包含郵件摘要、主機收件通訊過程、過濾器內容等等。【下載】: 將此郵件下載至電腦。
12-10、內送外寄禁止日誌¶
如果在「郵件稽核及防護 > 5-3、內送外寄稽核」中設定內部網域帳號,當這些帳號違反設定的規則時,系統會將其記錄下來,管理者可以在日誌查詢這些資料。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆數。
圖12-13 內送外寄禁止日誌¶
【收件日期】: 收到此郵件的日期。【寄件者 / 收件者】: 此郵件的寄件者、收件者帳號。【規則】: 違反的是「內送禁止」還是「外寄禁止」。【符合帳號】: 觸發此規則的本機帳號。若是觸發「內送禁止」,此處會顯示收件者帳號;「外寄禁止」則為寄件者帳號。【郵件主旨】: 該封信件的主旨文字。【郵件大小】: 此封郵件的大小。【詳細】: 點選後可查看此郵件的詳細資訊,包含郵件摘要、主機收件通訊過程等等。【下載】: 將此郵件下載至電腦。
12-11、郵件內容驗證日誌¶
記錄收件者使用驗證簽章進行郵件驗證時的資訊,可用於追蹤判斷此郵件是否有非收件者本人進行此郵件的檢視。依據在「郵件伺服器管理 > 3-8、郵件內容驗證設定」中的設定內容,所有經過郵件內容驗證的信件都會被記錄下來。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-14 郵件內容驗證日誌¶
【收件日期】: 收到此郵件的日期。【寄件者 / 收件者】: 此郵件的寄件者、收件者帳號。【郵件主旨】: 該封信件的主旨文字。【驗證日期】: 收件者點選信件的驗證簽章進行驗證的日期與時間。【驗證者 IP 位址】: 驗證者(正常情況下是收件者)的 IP 位址。【驗證者資訊】: 驗證者使用的瀏覽器與作業系統。
12-12、郵件加密日誌¶
雖都是加密郵件,郵件加密的「來源依據」會因為設定方式或觸發的規則不一樣而有所不同。系統會記錄所有以加密方式寄發的信件。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-15 郵件加密日誌搜尋介面¶
【收件日期】: 收到此郵件的日期。【寄件者 / 收件者】: 此郵件的寄件者、收件者帳號。【郵件主旨】: 該封信件的主旨文字。【郵件大小】: 此封郵件的大小。【郵件加密來源】: 一般規則、寄件者指定加密與轉交郵件稽核人員。· 一般規則:觸發「郵件加密 > 6-1、郵件加密規則」,並會依據該規則的設定處理郵件。· 寄件者指定加密:使用者用 WebMail 寄件時的加密設定(限「第10章 使用者管理 > 初始設定或帳號管理」中,郵件加密權限 已啟用的使用者帳號才有此功能。)· 轉交郵件稽核人員:「郵件稽核及防護 > 5-2、稽核進階設定」的加密設定【狀態】: 包含全部、等待處理中、不進行加密的寄送、退信給原寄件者、詢問原寄件者、寄件者取消傳送、郵件加密中與郵件加密模式。【郵件被加密的收件者】: 收到此加密郵件的收件者。將滑鼠移至上方可查看詳細內容如加密密碼等等。【詳細】: 點選後可查看此郵件的詳細資訊,包含郵件摘要、主機收件通訊過程、過濾器內容等等。【郵件】: 重新發送密碼通知信,點選後會開啟新視窗設定接收通知信的收件者及主旨。
12-13、封鎖日誌¶
郵件伺服器有很多管理封鎖的機制,SMTP 認證漏洞、過濾器封鎖等,這些被封鎖的紀錄,都可以在封鎖日誌中查詢。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-16 封鎖郵件列表¶
【時間】: 封鎖的日期與時間。【IP】: 這個封鎖動作的來源 IP 位址。【狀態】: 顯示此筆狀態,是封鎖中「」還是已經解除封鎖「
」。
【封鎖類型】: 觸發的封鎖機制,可能為過濾器 、使用者認證異常情形、 SMTP 認證漏洞、 DNS 防禦、 異常寄送偵測、SMTP 流量異常偵測、WebMail DoS Attack、WebMail 兩步驟驗證異常偵測。【封鎖次數】: 此 IP 位址被郵件伺服器封鎖的次數。【說明】: 說明觸發封鎖機制的原因。選取被封鎖的 IP 後,可以點選列表上方的按鍵操作:【解除選取的 IP】: 被封鎖的 IP 位址無法正常收送信件,管理者可以在這裡直接解除封鎖的機制。【清除封鎖次數】: 將被封鎖的次數歸 0。note
1. 各封鎖類型的來源過濾器:依據在「郵件稽核及防護 > 5-1、稽核條例」建立的條例規則,針對異常郵件處理方式為「封鎖寄件者 IP 位址」。WebMail DoS Attack:依據在「使用者管理 > 10-1、初始設定」內的 WebMail 進階設定。其餘項目都是依據在「郵件稽核及防護 > 5-5、郵件防火牆」中的設定。2. 「郵件稽核及防護 > 5-6、IP 封鎖設定」中可以操作 IP 封鎖共同設定,如封鎖超過幾次後將永久封鎖等等。
12-14、雲-硬碟服務日誌¶
包含所有帳號使用者使用共享資料夾的行為紀錄,包含上傳檔案、下載檔案、建立資料夾等等,並且記錄其來源 IP。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-17 雲-硬碟服務查詢紀錄¶
【日期】: 行為發生的日期與時間。【資料夾/檔案路徑】: 使用者操作的資料夾、檔案位置及名稱。【使用者】: 操作的使用者帳號。【行為】: 操作的動作。【IP】: 操作者的來源 IP 位址。
12-15、帳號申請日誌¶
在「使用者管理 > 10-8、帳號申請」啟用帳號申請服務機制,所有的申請紀錄都可在此查詢。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-18 帳號申請日誌¶
【申請日期】: 帳號申請的日期與時間。【申請帳號】: 申請者的帳號。【申請名稱】: 申請者的名稱。【申請者 IP】: 申請者使用的 IP 位址。【選項】: 管理者在帳號申請【申請時顯示的欄位】中的關鍵字設定。【狀態】: 目前狀態為未審核、通過、駁回。若為未審核,管理者可於此選擇駁回或通過申請。【審核日期】: 審核的日期與時間。【審核人員】: 審核此申請帳號的審核人員。【審核者 IP】: 審核者使用的 IP 位址。
12-16、超連結附件下載日誌¶
查詢檔案超連結附件下載紀錄。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-19 下載日誌¶
【下載日期】: 下載的日期與時間。【IP】: 下載的來源 IP 位址。【檔案名稱】: 此附件檔案名稱及副檔名。【檔案大小】: 檔案的大小。【寄件者】: 此附件的寄件者帳號。【收件者】: 此附件的收件者帳號。
12-17、收件者人數限制通知日誌¶
在「郵件伺服器管理 > 3-9、郵件限制」啟用收件者人數限制的功能,當使用者寄信時收件者的人數超過設定值就會被記錄下來。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-20 收件者人數限制日誌¶
【收件日期】: 該郵件的收信日期。【寄件者】: 觸發收件者人數限制的寄件者帳號。【已寄送收件者】: 已寄出此封信件的收件者。【未寄送收件者】: 若在郵件限制設定的寄送方式為「限制寄送」,則僅寄出限制人數內的收件者。未寄送的收件者會顯示在此欄位。【郵件主旨】: 信件的主旨文字。【郵件大小】: 此封郵件的大小。【通知信狀態】: 是否寄出收件者人數限制通知給寄件者。【詳細】: 點選後可查看此郵件的詳細資訊,包含郵件摘要、主機收件通訊過程、過濾器內容等等。
12-18、加密使用者申請日誌¶
在「郵件加密 > 6-2、郵件加密進階設定」啟用非本機帳號申請服務,所有的申請紀錄都可在此查詢。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-21 加密使用者申請日誌¶
【日期】: 申請的日期與時間。【申請帳號】: 申請者的 E-mail 帳號。【申請名稱】: 申請者的名稱。【申請者 IP】: 申請者的來源 IP 位址。【備註】: 申請者填寫的備註文字。【審核日期】: 審核的日期與時間。【審核人員】: 審核此申請帳號的審核人員。【審核者 IP】: 審核者使用的 IP 位址。
12-19、使用者最後登入日誌¶
日期範圍內,使用者最近一次登入的紀錄;或日期範圍內未登入的使用者查詢。設定條件並按下搜尋後,結果會顯示於列表,可看到此範圍下有多少筆資料。
圖12-22 使用者最後登入日誌¶
【郵件帳號(姓名)】: 此使用者的郵件帳號與姓名。【WebMail】: 搜尋條件的日期範圍內,最近一次 WebMail 登入的日期與時間。【POP3】: 搜尋條件的日期範圍內,最近一次 POP3 登入的日期與時間。【IMAP】: 搜尋條件的日期範圍內,最近一次 IMAP 登入的日期與時間。【APP】: 搜尋條件的日期範圍內,最近一次 APP 登入的日期與時間。
12-20、系統日誌¶
郵件伺服器提供相當完整的郵件紀錄,並且可以讓管理者選擇紀錄的程度是簡單或是詳細。一般而言,如果紀錄的資料越詳細,在相同的信件量下,所需要的 CPU 資源越高,管理者可以根據實際需求調整適合本身系統日誌的記錄方式。• SMTP 通聯日誌設定
圖12-23 系統日誌¶
【日誌詳細程度】: 根據實際需求調整適合自己的系統日誌記錄方式,選擇詳細模式所需的 CPU 資源更高。跟在「日誌查詢 > SMTP 日誌」有關。設為詳細,在 SMTP 日誌中顯示的資料就越豐富,包含 DNS(A、MX) 查詢日誌與 SMTP 通訊過程。【內送紀錄】: 選擇是否記錄內送郵件,或依結果記錄。【外寄紀錄】: 選擇是否記錄外寄郵件,或依結果記錄。• 郵件主機的系統日誌及下載提供警告、錯誤、Pop3/Imap/Webmail連線紀錄的下載資料。
圖12-24 系統相關日誌檔列表及下載資料¶
【警告】: 系統的警告資訊。【錯誤】: 系統的錯誤資訊。【Pop3/Imap/Webmail 連線紀錄】: Pop3/Imap/Webmail 連線的詳細紀錄。根據時間段按【下載】按鍵就可以將日誌紀錄檔案下載至電腦。
12-21、日誌保留設定¶
一般而言,記錄的資料越久,所需要的硬碟空間越大,管理者可以根據自己的實際需求調整適合自己的系統日誌記錄時間。
圖12-25 系統日誌保留時間¶
【稽核過濾隔離區郵件保留天數】: 稽核過濾隔離區郵件保留天數,超過後將被刪除,設定範圍:1 ~ 999 天。【垃圾郵件在隔離區保留天數】: 垃圾郵件在隔離區的保留天數,超過後將被刪除,設定範圍:1 ~ 999 天。【病毒郵件在隔離區保留天數】: 病毒郵件在隔離區的天數,超過後將此封信件刪除,設定範圍:1 ~ 999 天。【Sandstorm 隔離郵件在隔離區保留天數】: Sandstorm 隔離郵件在隔離區的天數,超過後將此封信件刪除,設定範圍:1 ~ 999 天。【郵件日誌保留】: 郵件的通聯紀錄保留在本機的時間,最長 60 個月。【POP3 日誌保留】: POP3 紀錄保留時間,最長 36 個月。【超連結下載附檔日誌保留】: 超連結下載附檔紀錄保留時間,最長 36 個月。【事件日誌保留】: 事件日誌紀錄保留時間,最長 12 個月。【雲-硬碟服務日誌保留】: 共享資料夾紀錄保留時間,最長 36 個月。【帳號申請日誌保留】: 帳號申請紀錄保留時間,最長 36 個月。【加密使用者申請日誌保留】: 加密使用者申請紀錄保留時間,最長 36 個月。【系統狀態保留】: 系統狀態保留時間,最長 36 個月。