Re: Eigene Logzeile bei SPAM Mail rejected: spamassassin -> exim4 -> rsyslogd

From: Christoph Sandhaus <christoph_at_draupadi.de>
Date: Fri, 25 Jul 2014 13:02:30 +0200 (CEST)

Hallo Matthias,

mit dem Taggen sind wir einer Meinung, die interne Entscheidung ist nur anders
ausgefallen.
Also der Weg wird so bleiben wie er ist ...

ommysql setzte ich schon ein, um einen Teil der Logs in die DB zu schreiben:
- rsyslogd vom Mailserver schickt an rsyslogd vom DB-Server
  => zentrales Logging (auch von weiteren Servern)
- rsyslogd auf dem DB-Server schreibt per ommysql in die DB:
  => nicht gesammtes Logging in der DB
  => einfacher Zugriff für Werkzeuge, wie z.B. Webseit mit Suche
  => veraltete Einträge einfach per CRON/SQL zu löschen (Logdateien sind ja noch
da)

Danke für deine Ideen!!

LG.,
  Christoph

> Matthias Runge <mrunge_at_matthias-runge.de> hat am 25. Juli 2014 um 12:42
> geschrieben:
>
>
> On 25/07/14 12:28, Christoph Sandhaus wrote:
> > Moin!
> >
> > Ich verwende exim4 und spamassassin als Mail-Eingangsserver.
> > Wenn spamassassin eine Mail als SPAM bewertet, erhalte ich
> > aussagekräftige Meldungen in /var/log/exim4/rejectlog.
> >
> > Meldet ein Mitarbeiter, daß Emails nicht eingehen, muß man immer in
> > dieser Datei nachsehen, ob diese als SPAM deklariert rejected wurde. Das
> > ist natürlich etwas umständlich.
> >
> > Jetzt bin ich schon so weit, daß der lokale rsyslogd die syslog an einen
> > zentralen Datenbankserver weiterreicht (auch rsyslogd) und dieser
> > schreibt alle Meldlungen brav in eine DB. Hier soll eine einfache
> > Webseite die rejected Mails (mit Suche) anbieten, damit schnell erkannt
> > werden kann, daß die Mail hier hängen geblieben ist.
> >
> > Wie bekomme ich eine einfache Rejected-Meldung in die DB? Etwa in der Art:
> >
> > [TIMESTAMP] F=<SENDER_MAILADRESSE(N)> T=<EMPFÄNGER_ADRESSE(N)>
> > S=<BETREFF> rejected, SPAM score: X.Y
> >
> > Ich nehme an, daß ich die Protokollierung von exim4 ändern muß, denn
> > spammassassin setzt ja nur einen HEADER mit dem Score, auf welchen exim4
> > reagiert (rejected after DATA).
> >
> > Es würde mir schon vorerst reichen, die Standard-Meldung von Exim4 um
> > Sender/Empfänger/Betreff zu erweitern:
> > Original:
> > 2014-07-25 12:13:42 [30940] 1XAcVR-000832-Ob H=(1.2.3.4)
> > [1.2.3.4]:1419 I=[10.0.0.1]:25 F=<> rejected after DATA
> > Geändert:
> > 2014-07-25 12:13:42 [30940] 1XAcVR-000832-Ob H=(1.2.3.4)
> > [1.2.3.4]:1419 I=[10.0.0.1]:25 F=<> rejected after DATA (From:<Sender>,
> > To:<Empfänger>, S:<Betreff>)
> >
> > Gibt es einen "einfachen" Weg, das zu bewerkstelligen? Langes googlen
> > hat mir leider nicht geholfen.
> >
> > In einem nächsten Schritt würde ich dann gerne rsyslogd beibringen, nur
> > die wesentlichen Dinge an die DB zu schicken. ;)
> >
> > Danke schon mal jetzt für jede Hilfe.
> > LG.,
> > Christoph
> Christoph,
>
> ich persönlich würde Emails nur taggen; den Mitarbeitern würde ich dann
> eine Regel an die Hand geben, nach der sie SPAM Mails automatisch in den
> Spam Ordner verschieben können. Kommt eine Mail nicht an, können die
> selbst im Spam ordner nachsehen und erzeugen keinen Support Case.
>
> Für rsyslog kannst Du Targets definieren, vielleicht hilft die
> (spärliche) Webseite weiter:
> http://www.rsyslog.com/doc/ommysql.html
> (angenommen, du wolltest nach mysql loggen). Besser ist wahrscheinlich
> http://www.rsyslog.com/doc/omlibdbi.html
>
> Beste Grüße,
> Matthias
>
>
> --
> To UNSUBSCRIBE, send an email to linux-stammtisch-request_at_lists.infodrom.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster_at_lists.infodrom.org
>
Received on Fri Jul 25 2014 - 13:02:30 CEST

This archive was generated by hypermail 2.2.0 : Fri Jul 25 2014 - 13:03:21 CEST