關於唯一電子郵件地址的 Graylog 警報？

我們正在嘗試找出是否有一種方法可以創建一個流/警報，以檢測電子郵件地址何時在日誌中超過 X 次。據我們所知，我只能計算與流匹配的消息總數。

例如，如果在過去一分鐘內該值相同超過 10 次，我們希望在名為“mailaddress”的欄位上發出警報。有人對如何做到這一點有想法嗎？

有許多工具可用於掃描日誌。 fail2ban是其中之一。您需要設置一個表達式來匹配和配置適當的操作。這可能包括將使用者暫時列入防火牆黑名單。

您可能會擷取配置不佳的伺服器，這些伺服器的初始重試時間以秒而不是分鐘或小時為單位進行配置。垃圾郵件機器人可能會經常更改其發送地址，因此您可能會錯過它們。

我已經看到許多批量郵件程序在每個請求上使用不同的 IP 快速重試。相應的域，往往在前兩個或三個級別上是一致的。

我會通過修復郵件列表數據來修復發送的重複項。您的郵件伺服器將重試臨時拒絕的重複項。使用合理的初始重試時間（例如 1 小時）並監控隊列中是否存在已在隊列中一段時間的條目。電子郵件地址的域部分始終不區分大小寫，而左側站點幾乎始終不區分大小寫。

大多數郵件伺服器會消除同一封郵件中的重複地址。但是，如果消息是個性化的，這將無濟於事。

對於我檢測到的每一個 RFC 違規，我的伺服器都會推遲一個多小時的傳遞。這包括 rDNS、ELHO 名稱匹配 DNS、SPF 等。還有其他原因會導致消息延遲。應記錄延遲接受交貨的原因。

引用自：https://serverfault.com/questions/788556