Grepping jurnalele cu Message-ID vă va oferi un ID Postfix Queue:
# grep XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX mail.log
3 oct 00:10:48 mx postfix/cleanup[25302]: YYYYYYYYYY: mesaj-id=<XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX>
YYYYYYYYYY este ID-ul cozii aici. Acum trebuie să grep din nou:
# grep YYYYYYYYYY mail.log
Oct 3 00:10:48 mx postfix/smtpd[25294]: YYYYYYYYYY: client=???????????????????????
3 oct 00:10:48 mx postfix/cleanup[25302]: YYYYYYYYYY: mesaj-id=<XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX>
Oct 3 00:10:48 mx postfix/qmgr[30545]: YYYYYYYYYY: from=<[email protected],...
Oct 3 00:10:48 mx postfix/lmtp[25306]: YYYYYYYYYY: to=<[email protected]>,...
Oct 3 00:10:48 mx postfix/qmgr[30545]: YYYYYYYYYY: eliminat
După cum vedeți, grepping-ul cu oricare dintre ele nu diferă prea mult. Observați, este posibil ca actorii externi să vă spună ID-ul mesajului, deoarece este posibil să nu cunoască ID-ul dvs. intern de coadă.
În cazul meu lmtp a înregistrat adresa destinatarului deoarece aceasta a fost e-mail livrat local cu LMTP, dar în cazul e-mailurilor trimise, serviciul care ar trebui să înregistreze adresa „către” ar putea fi smtp.
În orice caz, -C s-ar putea să nu ajute, deoarece ar putea exista linii care să intervină cu această prelucrare a e-mailului. De asemenea, observați că, în mod normal, fișierele jurnal sunt rotite, așa că poate fi necesar să căutați în fișiere mai vechi, mail.log.1 și așa mai departe. Fișierele vechi ar putea fi comprimate, deci folosiți de exemplu zgrep YYYYYYYYYY mail.log.2.gz, sau orice ar fi pe sistemul dvs.
