Su questo blog ho già discusso di un valido tool di monitoraggio/alerting che prende il nome di swatch. Il suo funzionamento è abbastanza semplice: gli si da in pasto un determinato file di log e si fa in modo che vada a ricercare pattern specifici da noi precedentemente definiti.
Detto ciò, vediamo quale potrebbe essere una valida configurazione per il suddetto applicativo:
#SMTP Domain not found watchfor /Domain not found/ echo mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Domain not found #SMTP Sender address rejected watchfor /Access denied/ echo mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Access denied #SMTP Cannot find your reverse hostname watchfor /cannot find your reverse hostname/ echo mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Cannot find your reverse hostname #SMTP SPF reject watchfor /openspf/ echo mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: SPF reject #SMTP Relay access denied/ watchfor /Relay access denied/ echo mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Relay Access Denied #SMTP Amavis blocked watchfor /Blocked/ echo mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Amavis Blocked #SMTP Spam watchfor /SPAM/ echo mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Spam watchfor /SPAMMY/ echo mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Spammy
In particolare:
1) il pattern /Domain not found/ identifica tutte le email il cui @dominio non esiste (ad esempio @xvfz.com);
2) con /Access denied/ identifico tutti i client (o indirizzi IP) che sono in blacklist sul mio server di posta/antispam (rbl, client restrictions e così via);
3) con /cannot find your reverse hostname/ si identificano tutti i client non dotati di PTR che hanno provato ad inviare email tramite il nostro server;
4) con /openspf/ individuo tutte le email respinte dal Sender Protocol Framework;
5) il pattern /Relay access denied/ indica tutti i tentativi di inoltro di email verso domini esterni, ovvero non direttamente gestiti dal nostro server di posta (attraverso la direttiva transport_maps);
6) con /Blocked/ individuo tutti i messaggi di posta bloccati da Amavisd-new (poichè contenenti virus, worm, macro o software malevolo in genere);
7) con /SPAM/ identifico tutte le email considerate tali da Amavisd-new e Spamassassin (esse non verranno inoltrate in Posta indesiderata, ma verranno semplicemente respinte poichè si tratta di spam conclamato);
8) il pattern /SPAMMY/ indica le presunte email di spam individuate da Amavisd-new e Spammassassin che verranno inoltrate nella directory Posta indesiderata e non completamente respinte (poichè sembrano spam ma non si ha la certezza).
Avviamo swatch mediante il comando:
[root@antispam ~] swatch -c /etc/swatch.conf -t /var/log/maillog &
e modifichiamo il file /etc/rc.local in modo tale da garantire l’avvio automatico di tale software dopo ogni riavvio della macchina:
[root@antispam ~] nano /etc/rc.local
aggiungendo la direttiva:
#swatch swatch -c /etc/swatch.conf -t /var/log/maillog &
Salviamo il file appena modificato ed abbiamo finito.
Alla prossima.