Linux
關於唯一電子郵件地址的 Graylog 警報?
我們正在嘗試找出是否有一種方法可以創建一個流/警報,以檢測電子郵件地址何時在日誌中超過 X 次。據我們所知,我只能計算與流匹配的消息總數。
例如,如果在過去一分鐘內該值相同超過 10 次,我們希望在名為“mailaddress”的欄位上發出警報。有人對如何做到這一點有想法嗎?
有許多工具可用於掃描日誌。
fail2ban
是其中之一。您需要設置一個表達式來匹配和配置適當的操作。這可能包括將使用者暫時列入防火牆黑名單。您可能會擷取配置不佳的伺服器,這些伺服器的初始重試時間以秒而不是分鐘或小時為單位進行配置。垃圾郵件機器人可能會經常更改其發送地址,因此您可能會錯過它們。
我已經看到許多批量郵件程序在每個請求上使用不同的 IP 快速重試。相應的域,往往在前兩個或三個級別上是一致的。
我會通過修復郵件列表數據來修復發送的重複項。您的郵件伺服器將重試臨時拒絕的重複項。使用合理的初始重試時間(例如 1 小時)並監控隊列中是否存在已在隊列中一段時間的條目。電子郵件地址的域部分始終不區分大小寫,而左側站點幾乎始終不區分大小寫。
大多數郵件伺服器會消除同一封郵件中的重複地址。但是,如果消息是個性化的,這將無濟於事。
對於我檢測到的每一個 RFC 違規,我的伺服器都會推遲一個多小時的傳遞。這包括 rDNS、ELHO 名稱匹配 DNS、SPF 等。還有其他原因會導致消息延遲。應記錄延遲接受交貨的原因。