Exchange 2003/2007, Spam, postfix, Debian, DNS

Wer sich längere Zeit an Postfix und die sehr übersichtlichen Log-Files gewähnt hat (wie ich) hat bei Exchange 2007 erstmal ein paar Probleme wenn es um die Handhabung der Log-Dateien geht. Es gibt jedoch dafür – wie konnte es anders sein – ein Tool von Microsoft. Für die Analyse der Exchange 2007 LogFiles kann der IIS Log Parser verwendet werden.

Nach der Installation des Log Parsers sollte der Pfad zur LogParser.exe in die Path Variable aufgenommen werden. Damit auch genügend Daten geloggt werden die man analysieren kann, sollte für den Empfangs-/Sende-Connector das logging auf verbose eingestellt werden (MS Technet Artikel).

Set-ReceiveConnector "Connector Name" -ProtocolLoggingLevel verbose
Set-SendConnector "Send Connector Name" -ProtocolLoggingLevel verbose

Die Log-Dateien werden anschließend in folgenden Pfaden angelegt:
\Exchange Server\TransportRoles\Logs\ProtocolLog\SmtpReceive
\Exchange Server\TransportRoles\Logs\ProtocolLog\SmtpSend

Default mäßig wird jedes Log-Verzeichnis maximal 250 MB groß. Wie die Einstellungen der Logfile größe geändert werden kann finden Sie hier.

Möchten Sie den Pfad der Log-Dateien ändern geht dies auch wieder über das cmdlet

Set-TransportServer  ExchangeHUBHosName -ReceiveProtocolLogPath "C:\WINDOWS\system32\LogFiles\SMTP\IN"

Set-TransportServer  ExchangeHUBHosName -SendProtocolLogPath "C:\WINDOWS\system32\LogFiles\SMTP\OUT"

Um sich nun die ersten Daten anzeigen zu lassen, wechseln Sie der einfachheitshalber in das Verzeichnis der Exchange 2007 Log-Files und geben folgenden Befehl ein:

LogParser.exe „select * from ...\SmtpReceive\RECV*.log” -i:CSV -nSkipLines:4 -o:datagrid

• -i gibt das Trennzeichen an was bei Exchange das Komma ist.
• -nSkipLines gibt an wieviele Zeilen am Anfang jedes Logfiles übersprungen werden. Hier 4, da dier ersten 4 Zeilen nur der Logfile-Header steht
• -o gibt das Ausgabeformat an

Ja nach Umfang der Abfrage und der zu bearbeitenden Datenmenge kann dies die Netzwerkverbindung unter Umständen sehr belasten!!

Um die Ausgabe auf einzelne Felder zu beschränken müssen die Felder in Eckigen Klammern angegeben werden: Weiterlesen

Ich hab mir geraed mal den Spaß gemacht auf meinem Server zu prüfen, welche der IP-Adresse die bei heise auf der NiX Blackliste stehen Verbindungen zu meinem Server aufgebaut haben.

Das script für eine automatische Auswertung sieht wie folgt aus:

#!/bin/bash
wget http://www.ix.de/nixspam/nixspam.blackmatches
cat nixspam.blackmatches | awk '{print $2}' | sort -n > nixspam.blackmatches_ips
blacklist=/root/tmp/nixspam.blackmatches_ips
  cat $blacklist |while read line
  do
    cat /var/log/mail |grep "NOQUEUE: filter: RCPT from" | grep $line -m 1| awk '{print $10}' | cut -d "[" -f 1
  done;
rm nixspam.blackmatches*

Ich hatte nicht gerade wenig Treffer.

Nachdem ich mir gerade einen Wolf gesucht hab wie ich telnet per bash steuern kann… hier das Ergebniss…

#!/bin/bash
expect << EOF
set timeout 20
spawn telnet 192.168.0.1 25
expect "220 192.168.0.1 ESMTP ... ready"
send "helo 192.168.0.1\r"
expect "250 192.168.0.1 Hello 192.168.0.2*"
send "mail from: user@domain.tld\r"
expect "250 OK"
send "rcpt to: user2@domain.tld\r"
expect "250 OK"
send "data\r"
expect "354 Enter mail*"
send "server is down\r"
send ".\r"
exit
EOF