Schreibe einen Kommentar

Mac OS X Server 10.6: So überwachen Sie Ihren Mailverkehr

In seinem Buch Mac OS X Server 10.6 – Die Kommunikationszentrale für Mac, Windows, Linux und iPhone” schildert Mac-Experte André Aulich, wie Sie einen Mac-Server zum Rückgrat Ihrer Firmenkommunikation machen. Lesen Sie nun hier in seinem Blogbeitrag, wie man als Sysadmin den Mailverkehr über den Mac-Server überwachen kann.

Wenn Sie Mac OS X Server 10.6 als Mailserver einsetzen, ist es oft hilfreich, wenn Sie als Administrator eine Möglichkeit haben, ungewöhnliche Vorkommnisse im Mailverkehr zu identifizieren und zu analysieren.

Zum Beispiel kann es vorkommen, dass einer Ihrer Mailbenutzer plötzlich Tausende von E-Mails mit der Meldung bekommt, dass seine E-Mail mit dem Betreff “VIAGRA – CHEAPEST RATES !!!!” dem Empfänger nicht zugestellt werden konnte.

Als Administrator müssen Sie nun schnell herausfinden, ob Ihr Mailserver tatsächlich Spamnachrichten vom Account eines Ihrer Benutzer versendet hat, oder ob die Absenderadresse von einem fremden Mailserver gefälscht wurde. Dann können Sie umgehend die erforderlichen Maßnahmen ergreifen..

Sollte sich herausstellen, dass Ihr Server die Nachrichten versendet hat, müssen Sie überprüfen, worin genau die Sicherheitslücke auf Ihrem Server besteht. Wenn Sie den Maildienst wie im Buch “Mac OS X Server 10.6 – Die Kommunikationszentrale für Mac, Windows, Linux und iPhone” eingerichtet haben, sollte Ihr Server sicher vor unbefugten Zugriffen sein.

Trotzdem wäre es aber möglich, dass ein Windows-Rechner Ihrer Mailbenutzer gekapert wurde und nun E-Mails über Ihren Server verschickt, so dass eine Überprüfung der Mailserverprotokolle sinnvoll erscheint.

Sie können nun z.B. einfach sudo cat /var/log/mail.log

im Terminal auf Ihrem Server eingeben, um die Logs Ihres Servers auf verdächtige Inhalte hin zu überprüfen. Dies dauert aber bei Installationen mit regem Mailverkehr sehr lange, so dass sich eine automatische Auswertung empfiehlt.

Eine sich anbietende Möglichkeit: Jeglicher ein- und ausgehende Mailverkehr wird von dem Open Source-Tool Postfix geregelt, so dass Ihnen die Auswertung der Postfix-Tools einen vollständigen Überblick über Ihren gesamten Mailverkehr gibt.

Alternativ lassen sich auch die amavisd-Logs Ihres Servers auswerten, womit Sie einen besseren Überblick erhalten, welche E-Mails vom SpamAssassin als Junk-Mail eingeordnet wurden, allerdings müssen nicht zwangsläufig alle versendeten Nachrichten durch amavis hindurch (z.B. gehen E-Mails, die von Ihrem Server aus per sendmail versendet werden, in die Postfix-Logs, nicht aber in die amavis-Logs ein) so dass Sie idealerweise auch die Postfix-Logs auswerten sollten.

Eine Anleitung zur Einrichtung der amavis-Auswertung über eine Zeitachse samt grafischer Oberfläche im Web-Interface finden Sie unter http://osx.topicdesk.com/content/view/87/41/

Aber zurück zu den Postfix-Logs! Ich würden Ihnen gern eine hilfreiche Open Source-Software vorstellen, mit der Sie Ihre Postfix-Logs  auswerten können: pflogsumm.

Laden Sie also zunächst pflogsumm von http://jimsun.linxnet.com/postfix_contrib.html auf Ihren Server.

Erstellen Sie nun den Ordner /usr/local/bin, falls er noch nicht existiert:

sudo mkdir -p /usr/local/bin

und kopieren Sie die Datei pflogsumm in diesen Ordner. Pflogsumm benötigt das Perl-Modul Date::Calc. Installieren Sie bitte zunächst die Apple Entwickler-Tools auf Ihrem Server, die Sie als Xcode-Installer auf der Mac OS X Server-CD finden, und tippen Sie anschließend im Terminal

cpan Date::Calc

Falls Ihr cpan noch nicht konfiguriert ist, beantworten Sie einfach alle Fragen mit “Yes”. Falls Sie sich nicht sicher sind, ob das Modul auf Ihrem System bereits installiert ist, rufen Sie bitte ebenfalls cpan Date::Calc auf. Wenn das Modul bereits installiert ist, erhalten Sie die Meldung “Date::Calc is up to date”, ansonsten wird es nun installiert.

Machen Sie pflogsumm nun ausführbar:

sudo chmod +x /usr/local/bin/pflogsumm

und kopieren Sie nun noch die Datei pflogsumm.1 in das Verzeichnis /usr/share/man/man1/,
damit Sie mit

man pflogsumm die Man-Pages zu pflogsumm aufrufen können.

Mit  /usr/local/bin/pflogsumm /var/log/mail.log

erhalten Sie nun eine Auswertung Ihres aktuellen Mail-Protokolls, das u.a. folgende Informationen enthält:

• Anzahl aller gesendeten, empfangenen, abgelehnten und verworfenen Mails, die
im aktuellen Log aufgeführt sind

• Traffic aufgeschlüsselt nach Uhrzeit in Stundenabständen

• die zehn Empfänger mit den meisten Nachrichten inkl. Anzahl der Nachrichten

• die zehn Sender mit den meisten Nachrichten inkl. Anzahl der Nachrichten

Darüber hinaus enthält die Auswertung zahlreiche weitere Punkte, die es Ihnen sehr leicht machen, einen Überblick über die Geschehnisse auf Ihrem Server zu erhalten.

Rufen Sie den oben genannten Befehl einfach bei Bedarf auf oder automatisieren Sie ihn wie z.B. unter
http://www.andre-aulich.de/en/perm/generating-postfix-stats-to-monitor-mail-server-activity-by-email-and-other-things-to-help-fighting-spam beschrieben, um täglich eine Nachricht mit einer vollständigen Auswertung per E-Mail zu erhalten.

André Aulich ist selbstständiger Apple Server & Storage Consultant. Informationen zu bereits veröffentlichten Büchern und Artikeln sowie Hinweise zu Vorträgen und ein Kontaktformular finden Sie auf seiner Website www.andre-aulich.de.

Sag's weiter:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.