Swatch e Postfix: monitoraggio delle email respinte

Su questo blog ho già discusso di un valido tool di monitoraggio/alerting che prende il nome di swatch. Il suo funzionamento è abbastanza semplice: gli si da in pasto un determinato file di log e si fa in modo che vada a ricercare pattern specifici da noi precedentemente definiti.

log-monitoring

Detto ciò, vediamo quale potrebbe essere una valida configurazione per il suddetto applicativo:

#SMTP Domain not found
watchfor  /Domain not found/
     echo
     mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Domain not found
#SMTP Sender address rejected
watchfor  /Access denied/
     echo
     mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Access denied
#SMTP Cannot find your reverse hostname
watchfor  /cannot find your reverse hostname/
     echo
     mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Cannot find your reverse hostname
#SMTP SPF reject
watchfor  /openspf/
     echo
     mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: SPF reject
#SMTP Relay access denied/
watchfor /Relay access denied/
     echo
     mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Relay Access Denied
#SMTP Amavis blocked
watchfor /Blocked/
     echo
     mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Amavis Blocked
#SMTP Spam
watchfor /SPAM/
     echo
     mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Spam
watchfor /SPAMMY/
     echo     
     mail addresses=vostro.indirizzo\@email.it,subject=SWATCH ANTISPAM: Spammy

In particolare:

1) il pattern /Domain not found/ identifica tutte le email il cui @dominio non esiste (ad esempio @xvfz.com);

2) con /Access denied/  identifico tutti i client (o indirizzi IP) che sono in blacklist sul mio server di posta/antispam (rbl, client restrictions e così via);

3) con /cannot find your reverse hostname/ si identificano tutti i client non dotati di PTR che hanno provato ad inviare email tramite il nostro server;

4) con /openspf/ individuo tutte le email respinte dal Sender Protocol Framework;

5) il pattern /Relay access denied/ indica tutti i tentativi di inoltro di email verso domini esterni, ovvero non direttamente gestiti dal nostro server di posta (attraverso la direttiva transport_maps);

6) con /Blocked/ individuo tutti i messaggi di posta bloccati da Amavisd-new (poichè contenenti virus, worm, macro o software malevolo in genere);

7) con /SPAM/ identifico tutte le email considerate tali da Amavisd-new e Spamassassin (esse non verranno inoltrate in Posta indesiderata, ma verranno semplicemente respinte poichè si tratta di spam conclamato);

8) il pattern /SPAMMY/ indica le presunte email di spam individuate da Amavisd-new e Spammassassin che verranno inoltrate nella directory Posta indesiderata e non completamente respinte (poichè sembrano spam ma non si ha la certezza).

Avviamo swatch mediante il comando:

[root@antispam ~] swatch -c /etc/swatch.conf -t /var/log/maillog &

e modifichiamo il file /etc/rc.local in modo tale da garantire l’avvio automatico di tale software dopo ogni riavvio della macchina:

[root@antispam ~] nano /etc/rc.local

aggiungendo la direttiva:

#swatch
swatch -c /etc/swatch.conf -t /var/log/maillog &

Salviamo il file appena modificato ed abbiamo finito.

Alla prossima.

Swatch e Postfix: monitoraggio delle email respinteultima modifica: 2014-04-05T10:25:51+02:00da nazarenolatella
Reposta per primo quest’articolo