Analisi del maillog

Per diagnostica problemi di posta una potente fonte di informazioni, quando accessibile sono sono i log del server mail che solitamente forniscono tutti i dettagli per capire quale può essere il problema riscontrato e di conseguenza come poterlo risolvere rapidamente.

In molte distribuzioni Linux e dialetti Unix il file di log relativo alla posta si trova in /var/log/maillog.
Su questo file andranno a scrivere tutti i demoni relativi alla gestione della posta elettronica su quel server, ad esempio imapd, ipop3d, postfix, sendmail ecc... ovviamente ognuno con la propria sintassi.

LOG di connessione a un POP3 server

Vediamo di seguito un esempio di un login POP3 da parte di qualche utente che controlla con il suo client di posta elettronica un proprio account sul nostro server mail:

Oct 24 10:59:51 mail ipop3d[19036]: pop3 service init from 213.198.151.6
Oct 24 10:59:51 mail ipop3d[19036]: Login user=hermes host=muladhara.rete039.it [213.198.151.4] nmsgs=23/23
Oct 24 10:59:53 mail ipop3d[19036]: Logout user=hermes host=muladhara.rete039.it [213.198.151.4] nmsgs=23 ndele=0


Analizziamo ora passo passo il log che è stato generato dal pop3 server:
- Notiamo subito come per ogni linea di log venga riportata la data e l'ora e l'HOSTNAME del server (in questo caso "mail").
- Successivamente vengono riportati il demone che ha generato il log (ipop3d) e il pid del processo sul server mail.
A questo punto analizziamo le differenze fra le tre righe di log di un classico login, scaricamento e logout di pop3.
Nella prima linea ipop3d ci segnala che inizializza un servizio pop3 sul server 213.198.151.6 (se stesso), nelle due righe successive ci viene segnalato il login da parte dello user "hermes" dall'host "muladhara.rete039.it" che ha indirizzo IP 213.198.151.4 e che l'utente ha scaricato 23 messaggi su 23 totali in mailbox.
L'ultima riga, quella del logout contiene sempre le informazioni sullo user che sta facendo logout, l'host, l'IP e le email totali scaricati. Da notare ndele=0 che ci avverte che il client non ha eliminato dal server nessuna email.

Ora analizzeremo il log generato dallo stesso server nel caso che la password e lo user non corrispondano:
Oct 24 11:37:38 mail ipop3d[19934]: pop3 service init from 213.198.151.6
Oct 24 11:37:38 mail ipop3d[19934]: Login failure user=hermes host=muladhara.rete039.it [213.198.151.4]
Oct 24 11:37:41 mail ipop3d[19934]: AUTHENTICATE LOGIN failure host=muladhara.rete039.it [213.198.151.4]


Come possiamo notare la prima linea di log relativa all'inizializzazione del server pop3 è identica mentre nelle altre due linee è chiaramente specificato che si tratta di un login failure e che quindi non è stato dato accesso ad alcuna mailbox.


Analisi LOG generati da IMAPD

Oct 24 11:46:18 blasco imapd[12956]: imap service init from 127.0.0.1
Oct 24 11:46:18 blasco imapd[12956]: Login user=maxgrante host=blasco.intranet [127.0.0.1]
Oct 24 11:47:49 blasco imapd[12956]: Logout user=maxgrante host=blasco.intranet [127.0.0.1]


Come possiamo notare anche a colpo d'occhio il servizio imapd genera dei log molto simili a quelli di ipop3d con la differenza che nonostante durante questa connessione abbia scaricato 3 messaggi il server imapd logga solo ed esclusivamente l'inizializzazione del servizio, il login e il logout con in aggiunta solo alcune informazioni.
Da notare che il logout avviene solo ed esclusivamente quando si chiude il programma di posta elettronica in quanto rimane loggato per tutto il tempo. (Anche dopo aver scaricato i messaggi email).

Notare che il server imapd NON logga nulla se non l'inizializzazione del servizio nel caso di login e password errate!
A seguito anche di queste informazioni possiamo intuire che è più facile ed indicativo un troubleshooting su un server pop3d piuttosto che su un server imapd.

Privacy Policy