做為一位系統管理者,一定要時常注意系統的健康狀態。

前一陣子公司有位同仁的 email 密碼設的太簡單了,所以,被猜到並且被盜用來濫發垃圾信件。Mail 的 log 量又非常的大,所以也不可能每天去檢視所有的紀錄。一直到幾天後,收到有寄出的 email 被退件,而原因就是我們的 mail server 被列在某個黑名單上。我再進一步去查,才發現原來有帳號已經被盜用了好幾天。由於使用的流量/頻寬與時間都沒有太大,所以,從流量上來看,並不能很容易的察覺有異常。

其他系統方面的善後與設定我就不多著墨了。但是,我就開始思考與尋找適合的工具來幫我處理這部份的問題。在努力的尋找下(迷之音,先前不夠努力,Orz),我找到了 pflogsumm!

由於該套件有包含在 Debian 內,所以安裝非常簡單:

apt-get install pglogsumm

安裝好後,先寫一個 bash script,我定的路徑及檔名(/usr/local/sbin/postfix_report.sh):

#!/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

pflogsumm /var/log/你的maillog檔 | formail -c -I"Subject: Mail Statistics" -I"From: pflogsumm@example.com" -I"To: 收件人@example.com" -I"Received: from mx.example.com ([192.168.xxx.xxx])" | sendmail postmaster@example.com

exit 0

以上的 script,請將所有的 domain / email / IP,更改為適當資訊。存檔後再 chmod 即可。

» Read More