xmail.dojo.jp
 アクセスログ
アクセスログ

このページでは XMailCFG のメインメニュー [アクセスログ] について説明しています。

メールサーバの管理者の毎日の仕事の一つは、アクセスログを根気よく観察することです。 そうすることで、XMail の動作状況やローカルユーザの利用状況が分かり、 また XMail に対する不正アクセスなども監視することができます。


ログがない?

XMail 関連のログファイルはその MailRoot\logs フォルダに作成されます。

しかし、"K4 アクセスログ" と "フィルタ処理のログ(XMailCFG)" を除き、XMail はデフォルトの動作ではどの種類のログも残さないので、もしもそれらを観察したければ XMail の環境オプションのうちの起動時オプションにおいてそのための指定を行う必要があります。

XMail の起動時オプションについては Documentation ページの XMail セクションから [環境設定] または [その他の参考情報] から [XMail 起動オプション] を参照してください。

Windows 2000/XP/2003 環境において XMailCFG から起動時オプションを指定する場合は [基本セットアップ] の [レジストリの登録] を利用することができます。

レジストリの登録

主要処理についてロギングを行なう場合は以下の起動時オプションを追加指定します。

なお、"K4 アクセスログ" と "フィルタ処理のログ(XMailCFG)" は XMailCFG のフィルタ機能によって実現されており、前者は [環境設定]-[K4 環境設定] においてロギングオプションがオンにされている場合に、後者は以下のいずれかの場合に、それぞれ観察が可能になります。

  Top ↑

CTRL アクセスログ

"CTRL アクセスログ" は、XMail のコントロールサーバへのアクセスの記録です。XMail でログを残すようになっている場合、XMailCFG や XMail 付属のコントロールコマンド(ctrlclnt.exe)、あるいは TELNET コマンドなどを使って XMail にアクセスしてドメインやユーザ、メーリングリストなどの管理を行った場合にその記録が残されます。

CTRL アクセスログ(ログのリスト)

CTRL アクセスログ(ログ内容の閲覧)

残念なことに、現在の XMail バイナリパッケージでは、コマンドが成功した場合にたんにその事実を記録するだけで、アクセス内容が具体的に何であったかという記録は残さないので、セキュリティ面からは不満の残る仕様となっています。

■ログデータのフォーマット

"CTRL アクセスログ" における 1 行のログは以下のフォーマットです。ただし、先頭の数値は 1 行を左から観察した場合の個々のフィールドの順位を示します。

  1. クライアントホストの IP アドレスです。すなわち、コントロールコマンドが実行されたコンピュータの IP アドレスです。XMailCFG を使って XMail を管理する場合、このフィールドは常にローカルループバックアドレス(127.0.0.1)になります。

  2. コントロールサーバへのログインに成功したユーザの名前です。XMailCFG から XMail を管理している場合、ここには常に [基本セットアップ]-[管理アカウントの登録] で登録した名前が入ります。

  3. ログインに成功したユーザのパスワードで、XMail 独自のアルゴリズムで暗号化されています。ただし、XMailCFG からログを観察する場合はこのフィールドは隠されます(他のログの場合も同様)。

  4. ログイン時のローカル時間(XMail が動作しているコンピュータの内部時間)です。

  5. 最後のフィールドには REQ、AUTH、FAIL などが入り、REQ はコントロールサーバへのアクセスがあったということを、AUTH は認証に成功したということを、FAIL は認証が不成功であったことを意味します。

  Top ↑

FINGER アクセスログ

"FINGER アクセスログ" は、XMail の FINGER サーバへのアクセスの記録です。XMail でログを残すようになっている場合、FINGER コマンドや TELNET コマンドなどを使って XMail にアクセスしてユーザ情報の参照を行った場合にその記録が残されます。

ただし、現在のインターネットでは FINGER サービスは一般的ではなくセキュリティ面の弱点もあるので、XMailCFG ではとくに必要がなければそこへのすべてのアクセスを禁止することをすすめています([セキュリティ]-[FINGER アクセス許可] を参照)。

FINGER アクセスログ

なお、XMailCFG では [ユーザの管理] や [リスト管理] などでユーザやメーリングリストについての登録情報を参照することが可能ですが、XMailCFG の場合は FINGER プロトコルによらずに情報を取得しているので、もし XMail の環境が FINGER アクセスログを残す設定になっていてもここにはその記録は残りません。

■ログデータのフォーマット

"FINGER アクセスログ" における 1 行のログは以下のフォーマットです。

  1. 問合せ先のドメイン名
  2. FINGER クライアントホストの IP アドレス
  3. 問い合わせ時のローカル時間
  4. 問い合わせ内容(ユーザ名)
  Top ↑

LMAIL アクセスログ

"LMAIL アクセスログ" は、XMail のローカルメーラによる内部ユーザへのメッセージ配信の記録です。XMail は MailRoot\spool\local フォルダを定期的にスキャンし、そこに所定の形式のメッセージファイルが発見された場合、所定のローカルユーザにそれを配信します(詳細は XMail 付属の Readme.txt から "XMail Local Mailer" の項を参照)。

XMail で LMAIL アクセスログを残すためには、環境オプションのうちの起動時オプションにおいて -Ln を指定する必要があります。n はスキャン間隔(秒数)の指定で、Readme.txt によれば 3 秒から 7 秒が推奨されています。

■ログデータのフォーマット

"LMAIL アクセスログ" における 1 行のログは以下のフォーマットです。

  1. 配信メッセージの配信先ドメイン。
  2. メッセージファイル名。
  3. XMail が生成したメッセージ ID。
  4. 配信時のローカル時間。
  Top ↑

POP3 アクセスログ

"POP3 アクセスログ" は、XMail の POP サーバへのアクセスの記録です。XMail でログを残すようになっている場合、メールクライアントソフトウェア(メーラ)や POP3 コマンド、TELNET コマンドなどで XMail にアクセスしてメッセージの受信動作を行った場合にその記録が残されます。

■ログデータのフォーマット

"POP3 アクセスログ" における 1 行のログは以下のフォーマットです。

  1. XMail が動作しているホストのインターネットドメイン名(FQDN)。
  2. クライアントによる接続先ドメイン名。たとえば、クライアントによる POP アクセス時のユーザ ID が cop:hunet.jp(cop@hunet.jp) であった場合は hunet.jp になります。ただし、ユーザ ID でドメイン名が省略された場合は XMail の環境変数 POP3Domain(POP デフォルトドメイン)の値が入ります。
  3. POP3 クライアントの IP アドレス。
  4. 接続時のローカル時間。
  5. POP3 クライアントのユーザ ID のうちのユーザ名。
  6. POP3 クライアントのパスワード。ただし暗合化されています(XMailCFG では非表示)。
  Top ↑

PSYNC アクセスログ

"PSYNC アクセスログ" は、XMail による他の POP3 サーバへのアクセスの記録です。すなわち、XMail は XMailCFG の [メールボックスの同期(自動受信)] における定義に従い、他の POP3 サーバから特定のローカルユーザのためにメッセージを自動ダウンロードすることができます。

■ログデータのフォーマット

"PSYNC アクセスログ" における 1 行のログは以下のフォーマットです。

  1. 処理時のローカル時間。
  2. ローカルユーザが所属するドメインの名前。
  3. ローカルユーザの名前。
  4. 接続先 POP3 サーバのインターネットドメイン名または IP アドレス。
  5. 接続先 POP3 サーバにおけるログイン ID。
  6. 接続先 POP3 サーバにおける認証方法(プレインテキスト/APOP)と SSL 関連情報など。
  7. 処理結果のステータス文字列。
  8. 受信したメッセージの数。
  9. 受信したメッセージのトータルサイズ。
  10. 受信に失敗したメッセージの数。
  11. 受信に失敗したメッセージのトータルサイズ。
  Top ↑

SMAIL アクセスログ

"SMAIL アクセスログ" は、XMail の SMTP クライアントによるローカルホストまたは他の SMTP サーバへのアクセスの記録です。XMail でログを残すようになっている場合、ローカルユーザのメールボックスへのメッセージの格納や外部 SMTP サーバへのその送信の記録が残されます。

■ログデータのフォーマット

"SMAIL アクセスログ" における 1 行のログは以下のフォーマットです。

  1. SMTP サーバドメイン([XMail 環境設定] における [SmtpServerDomain] の値)。
  2. MailRoot\spool フォルダ中におけるこのメッセージのスプールファイル名。
  3. XMail によるこのメッセージの ID。
  4. SMTP セッションにおける MAIL FROM: アドレス。
  5. SMTP セッションにおける RCPT TO: アドレス。
  6. 処理の区別。LOCAL、REDIR、SMTP などが入り、LOCAL でローカルユーザのメールボックスにメッセージが格納されたことを、REDIR で(エイリアス処理などで)メッセージが他のローカルアカウントのメールボックスに格納されたことを、SMTP で他の SMTP サーバにメッセージが送信されたことを示します。
  7. 前項が LOCAL または REDIR の場合は実際にメッセージが格納されたローカルユーザのメールアドレスが、SMTP の場合はそのメッセージの送信先 SMTP サーバのドメイン名(FQDN)が入ります。
  8. 処理時のローカル時間。
  Top ↑

SMTP アクセスログ

"SMTP アクセスログ" は、XMail の SMTP サーバに対するクライアントからの接続の記録です。XMail でログを残すようになっている場合、メーラや SMTP コマンド、TELNET コマンドなどからの接続の記録が残されます。

■ログデータのフォーマット

"SMTP アクセスログ" における 1 行のログは以下のフォーマットです。

  1. XMail が動作するホストのドメイン名(FQDN)。
  2. SMTP サーバドメイン([XMail 環境設定] における [SmtpServerDomain] の値)。
  3. XMail に接続を試みたクライアントの IP アドレス。
  4. SMTP セッション時のローカル時間。
  5. SMTP セッションにおけるクライアントドメイン(MAIL FROM: <...> におけるドメイン名)。
  6. SMTP セッションにおけるあて先ドメイン(RECIPIENT TO: <...> におけるドメイン名)。
  7. SMTP セッションにおける送信者アドレス(MAIL FROM: <...> におけるメールアドレス)。
  8. SMTP セッションにおけるあて先アドレス(RECIPIENT TO: <...> におけるメールアドレス)。
  9. XMail によるこのメッセージの ID。
  10. ステータスとして RECV=xxx、RCPT=yyy、SNDR=zzz などが入ります。ただし、xxx、yyy、zzz には具体的なステータスのニモニック文字列が入り、たとえば SMTP セッションがエラーなく行われた場合は RECV=OK と RCPT=OK とのステータスを持つレコードが連続して記録されます。
    一方、エラー時の主なものとしては、RCPT=ERELAY で SMTP 不正中継が試みられたことを、RCPT=EAVAIL であて先ローカルユーザが無効であることを、SNDR=EEMPTY で MAIL FROM: コマンド中の Sender: アドレスが指定されなかったことなどを示します。
  11. SMTP 認証によるログインが行われた場合のユーザID。
  12. メッセージサイズ。ただし、RECV=OK となるレコードでは 0 が入ります。
  13. RDNS チェックを実行している場合([XMail 環境設定] において [クライアントドメインの逆引き(SMTP-RDNSCheck)] を [有効] または [遅延] にしている場合))に、チェックによって接続を拒否したクライアントの IP アドレスが入ります。
  Top ↑

K4 アクセスログ

"K4 アクセスログ" は、ウェブメールシステム K4 に対するアクセスの記録です。K4 が運用されている場合で [環境設定]-[K4 環境設定] における [ロギング] がオンになっている場合にログが残されます。

■ログデータのフォーマット

"K4 アクセスログ" における 1 行のログは以下のフォーマットです。

  1. アクセスのあった日時(ローカル時)。
  2. ステータスとして Failure、Redirect、Success のいずれかが入り、Failuer でログイン/ログアウトやその他の処理の失敗を、Redirect で不正アクセスによるリダイレクト処理の実行を、Success でログイン/ログアウトやその他の処理の成功を示します。
  3. 認証時に入力したメールアドレスのドメイン名部分。ただし、ここに値が入るのはログイン時の操作のみで、スクリプトの不正実行の場合は何も入りません。
  4. 認証時に入力したメールアドレスのユーザ名部分。ただし、値が入るのはログイン時のみです。
  5. 認証時に入力したパスワードがアスタリスクまたは ?? で表示されます。
  6. ステータス情報の一つとしてスクリプトに対する操作の種類を示し、login で通常のログイン操作であることを、run でスクリプトが直接に実行されたことを示します。
  7. 成功または失敗の詳細を記録するためにあるフィールドで、"ログイン成功" で通常のログイン操作が成功したことを、"認証の不成功" でアカウントが見つからなかったことを、"許可されないユーザがログイン試行" で K4 の利用を許されていないローカルユーザがログイン操作を行ったことを、"メールアドレスパターンの不正" でメールアドレスフォーマットが変だったことを、"ログイン試行" でメールアドレスまたはパスワードが空白だったことを、"ログインスクリプト不正実行" でログイン用スクリプトに不正な引数が渡されて実行されたことを、"不正実行" で K4 を介さずに関連スクリプトが実行されたことまたはログイン後のスクリプト実行において認証情報が一致しなかったことを、"IPアドレスの不一致" でログイン時に記録されたクライアントの IP アドレスとその後の IP アドレスとが異なることを、それぞれ示します。これらのうち、"ログインスクリプト不正実行" と "不正実行"、"IPアドレスの不一致" の場合はリダイレクト処理が行われます。
  8. 実行スクリプトのフルパス。
  9. クライアントホストの IP アドレスと HTTP ユーザエージェント情報。
  Top ↑

フィルタ処理のログ(XMail)

"フィルタ処理のログ(XMail)" は XMail によるフィルタ処理の記録です。

■ログデータのフォーマット

"フィルタ処理のログ(XMail)" における 1 行は以下のフォーマットです。

  1. SMTP クライアントによる MAIL FROM: の値。
  2. SMTP クライアントによる RCPT TO: の値。
  3. XMail のローカル IP アドレス。
  4. SMTP クライアントの IP アドレス。
  5. 接続時(ローカル時)。
  6. フィルタ処理の種別。
  7. エラー情報
  8. XMail による戻り値。
  9. フィルタによる戻り値。
  10. 実行コマンドとパラメータ。
  Top ↑

フィルタ処理のログ(XMailCFG)

"フィルタ処理のログ(XMailCFG)" は XMailCFG のフィルタスクリプトによる以下のいずれかの処理の記録です。

■ログデータのフォーマット

"フィルタ処理のログ(XMailCFG)" における 1 行は以下のフォーマットです。

  1. アクセスのあった日時(ローカル時)。
  2. ステータスで、"受信拒否"、"着信拒否"、"添付ファイル削除" などのいずれか。
  3. 受信メッセージの From: アドレス。
  4. 受信メッセージの To: アドレス。
  5. フィルタ処理の詳細。たとえば、"スパム 2KB"、"ウイルス存在"、"サイズ超過 200KB"、などと入ります。"ウイルス存在" の場合はウイルス名も入る場合があります。
  Top ↑

システムイベントのログ

"システムイベントのログ" は XMail や K4、kml、GLST を XMailCFG から管理している場合にそれらの運用に関する重要なイベントを記録します。たとえばそれらの環境設定を行なったときはその旨が記録されます。

■ログデータのフォーマット

"システムイベントのログ" における 1 行は以下のフォーマットです。

  1. イベント記録のローカル時。
  2. イベント内容。
  3. リモートホストの IP アドレス。
  4. ログイン ID。
  5. イベントの詳細情報。

  Top ↑
Copyright(c) xmail.dojo.jp.
All rights reserved.