Il mail server completo e flessibile progettato per le PMI

Come posso localizzare una mail attraverso i log di MDaemon?

KB50567

Ultimo aggiornamento: 27 April 2023

Localizzare una mail attraverso i log di MDaemon

15.5.3

Con le configurazioni predefinite, MDaemon traccia tutte le email ed il traffico degli utenti nella cartella \MDaemon\Logs.

Prima di cercare una email nei file di log è importante verificare di avere un “livello” di log sufficiente. Questo articolo illustra le impostazioni che consigliamo per l’attività di log di MDaemon.

Quanto segue dettaglia la serie di log da analizzare in determinati scenari (in alcuni casi il nome del file di log include la data del log nel formato MDaemon-AAAAMMGG-nomelog.log). I file di log possono essere aperti con un editor di testo quale il Blocco Note o TextPad.

Gli scenari coperti da questo articolo sono:

  1. Email ricevute direttamente via SMTP
  2. Email inviate da un account locale ad un destinatario esterno
  3. Email ricevute via DomainPOP
  4. Email ricevute via MultiPOP

1. Email ricevute direttamente via SMTP

MDaemon può ricevere in SMTP due tipologie di email:
1.     Messaggi inviati dagli account locali di MDaemon.
2.     Messaggi provenienti da host remoti (posta esterna entrante).
In entrambi i casi si tratta di traffico SMTP entrante ed è pertanto gestito nello stesso modo. La figura 1 mostra come MDaemon elabora questi messaggi e in quali log è tracciata l’elaborazione in corrispondenza di ciascun blocco.

figura 1

Tutto quanto avviene durante la sessione SMTP (accettazione del messaggio, controlli di sicurezza e antispam) è riportato nel log smtp-(entrata). Se la sessione SMTP termina correttamente il messaggio viene salvato nella coda di ingresso (Inbound). A questo punto MDaemon esamina il messaggio ricevuto e verifica se è destinato ad un account locale o ad un indirizzo esterno. Nel primo caso il messaggio passa nella coda locale (spostamento registrato nel log instradamento (routing)); successivamente il messaggio è soggetto a controlli antispam (log antispam), verifica presenza di malware (log antivurus), verifica e applicazione di regole del filtro contenuti (log filtro-contenuti). Se nessuno di questi controlli ha bloccato il messaggio, l’email viene consegnata nella mailbox del destinatario (spostamento tracciato nuovamente dal log instradamento).
Se il messaggio entrante è destinato ad un indirizzo esterno l’email passa dalla coda in ingresso alla coda remota (spostamento tracciato nel log instradamento).

Un particolare messaggio nei log può essere in generale ricercato per mittente, destinatario, oggetto e/o message-id. Non conviene invece ricercarlo con il nome del relativo file in quanto il file cambia nome ogni volta che cambia coda.

Analizziamo più in dettaglio cosa si trova in questo caso nei vari log:

mdaemon-aaaammgg-smtp-(entrata).log

Questo log mostra l’andamento della sessione SMTP con il lato mittente della comunicazione e dei controlli di sicurezza che MDaemon effettua prima che il messaggio sia effettivamente accettato. Durante questa fase sono effettuati una serie di controlli (PTR e IP lookup, verifica SPF, DKIM e DMARC), se abilitati. Viene effettuato anche un primo passaggio nello SPAM filter che effettua una serie di controlli antispam basati sulle informazioni disponibili in questa fase.  I vari controlli e i relativi risultati sono chiaramente riportati nel log. Di seguito è riportato un estratto di questo log con una intera sessione SMTP entrante (in grassetto sono evidenziate le informazioni più significative):

Fri 2015-11-06 00:07:32.163: ———                                                                                                                                                                                                                   Fri 2015-11-06 00:08:06.340: [567602] Session 567602; child 0003
Fri 2015-11-06 00:08:06.340: [567602] Accepting SMTP connection from 8.34.176.9:34726 to 192.168.99.12:25
Fri 2015-11-06 00:08:06.341: [567602] Performing PTR lookup (9.176.34.8.IN-ADDR.ARPA)
Fri 2015-11-06 00:08:06.342: [567602] *  D=9.176.34.8.IN-ADDR.ARPA TTL=(55) PTR=[webserver.example.com]
Fri 2015-11-06 00:08:06.454: [567602] *  D=webserver.example.com TTL=(60) A=[8.34.176.9]
Fri 2015-11-06 00:08:06.454: [567602] —- End PTR results
Fri 2015-11-06 00:08:06.454: [567602] –> 220 mail.achab.it ESMTP MDaemon 15.0.3; Fri, 06 Nov 2015 00:08:06 +0100
Fri 2015-11-06 00:08:06.562: [567602] <– EHLO example.com
Fri 2015-11-06 00:08:06.562: [567602] Performing IP lookup (example.com)
Fri 2015-11-06 00:08:06.563: [567602] *  D=example.com TTL=(30) A=[198.49.95.114]
Fri 2015-11-06 00:08:06.563: [567602] —- End IP lookup results
Fri 2015-11-06 00:08:06.563: [567602] –> 250-mail.achab.it Hello webserver.example.com (may be forged), pleased to meet you
Fri 2015-11-06 00:08:06.563: [567602] –> 250-ETRN
Fri 2015-11-06 00:08:06.563: [567602] –> 250-AUTH LOGIN PLAIN
Fri 2015-11-06 00:08:06.563: [567602] –> 250-8BITMIME
Fri 2015-11-06 00:08:06.563: [567602] –> 250-ENHANCEDSTATUSCODES
Fri 2015-11-06 00:08:06.563: [567602] –> 250-STARTTLS
Fri 2015-11-06 00:08:06.563: [567602] –> 250 SIZE
Fri 2015-11-06 00:08:06.670: [567602] <– MAIL FROM:
<www-data@example.com> SIZE=5266
Fri 2015-11-06 00:08:06.670: [567602] Performing IP lookup (example.com)
Fri 2015-11-06 00:08:06.671: [567602] *  D=example.com TTL=(30) A=[198.49.95.114]
Fri 2015-11-06 00:08:06.671: [567602] *  P=001 S=003 D=example.com TTL=(0) MX=[aspmx.l.google.com]
Fri 2015-11-06 00:08:06.671: [567602] *  P=005 S=002 D=example.com TTL=(0) MX=[alt2.aspmx.l.google.com]
Fri 2015-11-06 00:08:06.671: [567602] *  P=005 S=004 D=example.com TTL=(0) MX=[alt1.aspmx.l.google.com]
Fri 2015-11-06 00:08:06.671: [567602] *  P=010 S=000 D=example.com TTL=(0) MX=[aspmx2.googlemail.com]
Fri 2015-11-06 00:08:06.671: [567602] *  P=010 S=001 D=example.com TTL=(0) MX=[aspmx3.googlemail.com]
Fri 2015-11-06 00:08:06.672: [567602] *  D=aspmx.l.google.com TTL=(2) A=[74.125.195.26]
Fri 2015-11-06 00:08:06.672: [567602] *  D=alt2.aspmx.l.google.com TTL=(2) A=[74.125.68.26]
Fri 2015-11-06 00:08:06.673: [567602] *  D=alt1.aspmx.l.google.com TTL=(0) A=[74.125.205.27]
Fri 2015-11-06 00:08:06.674: [567602] *  D=aspmx2.googlemail.com TTL=(3) A=[74.125.205.27]
Fri 2015-11-06 00:08:06.674: [567602] *  D=aspmx3.googlemail.com TTL=(0) A=[74.125.68.27]
Fri 2015-11-06 00:08:06.674: [567602] —- End IP lookup results
Fri 2015-11-06 00:08:06.674: [567602] Performing SPF lookup (example.com / 8.34.176.9)
Fri 2015-11-06 00:08:06.674: [567602] *  Policy (cache): v=spf1 a ptr ip4:209.118.59.2 ip4:70.33.242.132 ip4:8.25.163.66 ip4:8.34.176.9 ip4:198.49.95.4 ip4:198.49.95.3 ip4:47.19.105.250 include:_spf.google.com include:mktomail.com include:support.zendesk.com ~all
Fri 2015-11-06 00:08:06.675: [567602] *  Evaluating a: no match
Fri 2015-11-06 00:08:06.676: [567602] *  Evaluating ptr: match
Fri 2015-11-06 00:08:06.676: [567602] *  Result: pass
Fri 2015-11-06 00:08:06.676: [567602] —- End SPF results
Fri 2015-11-06 00:08:06.676: [567602] –> 250 2.1.0 Sender OK
Fri 2015-11-06 00:08:06.800: [567602] <– RCPT TO:
<luca.biffi@achab.it>
Fri 2015-11-06 00:08:06.801: [567602] Performing DNS-BL lookup (8.34.176.9 – connecting IP)
Fri 2015-11-06 00:08:06.802: [567602] *  zen.spamhaus.org – passed
Fri 2015-11-06 00:08:06.802: [567602] —- End DNS-BL results
Fri 2015-11-06 00:08:06.802: [567602] –> 250 2.1.5 Recipient OK
Fri 2015-11-06 00:08:06.910: [567602] <– DATA
Fri 2015-11-06 00:08:06.910: [567602] Creating temp file (SMTP): d:mdaemontempmd50000123076.tmp
Fri 2015-11-06 00:08:06.910: [567602] –> 354 Enter mail, end with
.
Fri 2015-11-06 00:08:07.126: [567602] Message size: 5265 bytes
Fri 2015-11-06 00:08:07.126: [567602] Performing DKIM lookup
Fri 2015-11-06 00:08:07.126: [567602] *  File: d:mdaemontempmd50000123076.tmp
Fri 2015-11-06 00:08:07.126: [567602] *  Message-ID: <20151105230807.2189752EF104@example.com>
Fri 2015-11-06 00:08:07.127: [567602] *  Result: neutral
Fri 2015-11-06 00:08:07.127: [567602] —- End DKIM results
Fri 2015-11-06 00:08:07.129: [567602] Performing DMARC processing
Fri 2015-11-06 00:08:07.129: [567602] *  File: d:mdaemontempmd50000123076.tmp
Fri 2015-11-06 00:08:07.129: [567602] *  Message-ID: <20151105230807.2189752EF104@example.com>
Fri 2015-11-06 00:08:07.129: [567602] *  Author domain: example.com
Fri 2015-11-06 00:08:07.129: [567602] *  Organizational domain: example.com
Fri 2015-11-06 00:08:07.129: [567602] *  Query domain: _dmarc.example.com
Fri 2015-11-06 00:08:07.148: [567602] *    No DMARC policy record found
Fri 2015-11-06 00:08:07.148: [567602] *  Action taken: none
Fri 2015-11-06 00:08:07.149: [567602] *  Result: none
Fri 2015-11-06 00:08:07.149: [567602] —- End DMARC results
Fri 2015-11-06 00:08:07.149: [567602] Passing message through AntiVirus (Size: 5265)…
Fri 2015-11-06 00:08:07.156: [567602] *  Message is clean (no viruses found)
Fri 2015-11-06 00:08:07.156: [567602] —- End AntiVirus results
Fri 2015-11-06 00:08:07.203: [567602] Passing message through Outbreak Protection
Fri 2015-11-06 00:08:07.203: [567602] *  Message-ID: <20151105230807.2189752EF104@example.com>
Fri 2015-11-06 00:08:07.203: [567602] *  Reference-ID: str=0001.0A0C0204.563BE158.0078,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
Fri 2015-11-06 00:08:07.203: [567602] *  Virus result: 0 – Clean
Fri 2015-11-06 00:08:07.203: [567602] *  Spam result: 1 – Clean
Fri 2015-11-06 00:08:07.203: [567602] *  IWF result: 0 – Clean
Fri 2015-11-06 00:08:07.203: [567602] —- End Outbreak Protection results
Fri 2015-11-06 00:08:07.204: [567602] Passing message through Spam Filter (Size: 5265)…
Fri 2015-11-06 00:08:07.376: [567602] * -100 USER_IN_WHITELIST From: address is in the whitelist
Fri 2015-11-06 00:08:07.376: [567602] * -0.0 T_RP_MATCHES_RCVD Envelope sender domain matches handover relay
Fri 2015-11-06 00:08:07.376: [567602] *      domain
Fri 2015-11-06 00:08:07.376: [567602] * -0.5 BAYES_00 BODY: Bayes spam probability is 0 to 1%
Fri 2015-11-06 00:08:07.376: [567602] *      [score: 0.0000]
Fri 2015-11-06 00:08:07.376: [567602] *  0.0 HTML_MESSAGE BODY: HTML included in message
Fri 2015-11-06 00:08:07.376: [567602] *  0.7 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
Fri 2015-11-06 00:08:07.376: [567602] *  0.4 HTML_MIME_NO_HTML_TAG HTML-only message, but there is no HTML tag
Fri 2015-11-06 00:08:07.376: [567602] —- End SpamAssassin results
Fri 2015-11-06 00:08:07.405: [567602] Spam Filter score/req: -99.40/12.0
Fri 2015-11-06 00:08:07.513: [567602] Message creation successful: d:\mdaemon\inbound\md50010898561.msg
Fri 2015-11-06 00:08:07.513: [567602] –> 250 2.6.0 Ok, message saved
>
Fri 2015-11-06 00:08:07.514: [567602] <– QUIT
Fri 2015-11-06 00:08:07.514: [567602] –> 221 2.0.0 See ya in cyberspace
Fri 2015-11-06 00:08:07.514: [567602] SMTP session successful (Bytes in/out: 5381/462)
Fri 2015-11-06 00:08:07.514: ———-
</luca.biffi@achab.it></www-data@example.com>

 
Un particolare messaggio può essere ricercato per mittente, destinatario o message-id.

Se si verifica un problema durante questa fase o un controllo rifiuta e/o chiude la sessione, questo log riporta l’errore occorso e l’azione intrapresa.

mdaemon-instradamento.log

Questo log traccia lo spostamento del messaggio dalla coda in ingresso alla coda locale se il messaggio è destinato ad un utente locale o alla coda remota se è destinato all’esterno. Se il messaggio è destinato ad un utente locale il log traccia anche la consegna nelle mailbox dei destinatari.

Mon 2015-07-27 00:01:02.984: 12: ———-
Mon 2015-07-27 00:07:37.667: 17: INBOUND message: md50001602939.msg
Mon 2015-07-27 00:07:37.667: 17: *  From: “Giulia Cremona” <giulia@example.com>
Mon 2015-07-27 00:07:37.667: 17: *  To: “Lorenzo Cremona” <lorenzo@example.com>, “Lorenzo Mantova” <mantova.lorenzo@example.com>
Mon 2015-07-27 00:07:37.667: 17: *  Subject: Domani
Mon 2015-07-27 00:07:37.667: 17: *  Message-ID: <mdas20150726220732.9300003@example.com>
Mon 2015-07-27 00:07:37.668: 17: *  Size: 2811; d:\mdaemon\queues\local\md35001863388.msg
Mon 2015-07-27 00:07:37.668: 17: ———-
Mon 2015-07-27 00:07:43.018: 12: LOCAL message: pd35001863387.msg
Mon 2015-07-27 00:07:43.018: 12: *  From: “Giulia Cremona” <giulia@example.com>
Mon 2015-07-27 00:07:43.019: 12: *  To: “Lorenzo Cremona” <lorenzo@example.com>, “Lorenzo Mantova” <mantova.lorenzo@example.com>
Mon 2015-07-27 00:07:43.019: 12: *  Subject: Domani
Mon 2015-07-27 00:07:43.019: 12: *  Message-ID: <mdas20150726220732.9300003@example.com>
Mon 2015-07-27 00:07:43.019: 12: *  Dimensione: 2885; d:\mdaemon\users\example.comlorenzo\md50000048838.msg
Mon 2015-07-27 00:07:43.019: 12: ———-

Mon 2015-07-27 00:56:02.986: 17: ———-
Mon 2015-07-27 00:56:03.313: 12: LOCAL message: pd80001863395.msg
Mon 2015-07-27 00:56:03.313: 12: *  From: backupdati@example.com
Mon 2015-07-27 00:56:03.313: 12: *  To: “Davide” <davide@example.com>
Mon 2015-07-27 00:56:03.313: 12: *  Subject: [monitoring.backup] vRanger Notification: 4 successful, 0 failed, 0 aborted, 0 canceled
Mon 2015-07-27 00:56:03.313: 12: *  Message-ID: <mdaemon-f201507270056.aa5602979pd80001863395@mail.example.com>
Mon 2015-07-27 00:56:03.313: 12: *  Copia inoltrata created; Destinatario: davide@example.it; Message: d:\mdaemon\queues\remote\pd50000597960.msg</mdaemon-f201507270056.aa5602979pd80001863395@mail.example.com></davide@example.com></mdas20150726220732.9300003@example.com></mantova.lorenzo@example.com></lorenzo@example.com></giulia@example.com></mdas20150726220732.9300003@example.com></mantova.lorenzo@example.com></lorenzo@example.com></giulia@example.com>

Un particolare messaggio può essere ricercato per mittente, destinatario, oggetto o message-id.

Se alcuni messaggi finiscono nella coda dei messaggi scartati (bad) o nella coda dei messaggi trattenuti (holding), questo log ne mostra lo spostamento e la causa (solo nel caso dei messaggi scartati in quanto in quella dei messaggi trattenuti finiscono messaggi che hanno generato durante l’elaborazione una eccezione non gestita dal codice).

mdaemon-antivirus.log

Se è installato e attivo SecurityPlus per MDaemon, ogni messagio è soggetto a scansione (il messaggio stesso e gli eventuali allegati) antivirus per rilevare la presenza di malware. In funzione del risultato MDaemon può intraprendere una serie di azioni (consegna interrotta, messaggio in quarantena, allegato strippato,…) in funzione della configurazione (Sicurezza > AntiVirus).
Questo log mostra il risultato della scansione e le azioni intraprese:

Mon 2015-07-27 09:05:54.402: SecurityPlus AntiVirus processing d:\mdaemon\queues\remote\md35000598080.msg
Mon 2015-07-27 09:05:54.402: * Message return-path: luca@example.com
Mon 2015-07-27 09:05:54.402: * Message from: luca@example.com
Mon 2015-07-27 09:05:54.402: * Message to: hla@gmail.com
Mon 2015-07-27 09:05:54.402: * Message subject: Visit des clients
Mon 2015-07-27 09:05:54.402: * Message ID: <003801d0c83a$b9cc0b80$2d642280$@example.com>
Mon 2015-07-27 09:05:54.402: Start SecurityPlus AntiVirus results
Mon 2015-07-27 09:05:54.413: * Total attachments scanned    : 4 (including multipart/alternatives and message body)
Mon 2015-07-27 09:05:54.413: * Total attachments infected   : 0
Mon 2015-07-27 09:05:54.413: * Total attachments disinfected: 0
Mon 2015-07-27 09:05:54.413: * Total errors while scanning  : 0
Mon 2015-07-27 09:05:54.413: * Total attachments removed    : 0
Mon 2015-07-27 09:05:54.422: End of SecurityPlus AntiVirus results

Un particolare messaggio può essere ricercato per mittente, destinatario o message-id.

mdaemon-antispam.log

Il log riporta i dettagli dei controlli antispam ed in particolare il punteggio complessivo che un messaggio ha totalizzato, le sigle dei controlli a cui il messaggio è risultato “positivo” e i relativi punteggi ma anche eventuali errori.

Fri 2015-07-17 09:15:26.452: (SMTP) Spam Filter processing d:\mdaemon\temp\64md50000000657.tmp…
Fri 2015-07-17 09:15:26.452: *  Message return-path: info@example.com
Fri 2015-07-17 09:15:26.452: *  Message ID: <17535439.1437117243719.JavaMail.info@example.com>
Fri 2015-07-17 09:15:26.452: Start SpamAssassin results
Fri 2015-07-17 09:15:26.452: -1.50 points, 6.5 required;
Fri 2015-07-17 09:15:26.452: *  2.5 SORTED_RECIPS Recipient list is sorted by address
Fri 2015-07-17 09:15:26.452: * -4.7 BAYES_00 BODY: Bayes spam probability is 0 to 1%
Fri 2015-07-17 09:15:26.452: *      [score: 0.0000]
Fri 2015-07-17 09:15:26.452: *  0.0 HTML_MESSAGE BODY: HTML included in message
Fri 2015-07-17 09:15:26.452: *  0.0 T_OBFU_PDF_ATTACH BODY: PDF attachment with generic MIME type
Fri 2015-07-17 09:15:26.452: *  0.7 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
Fri 2015-07-17 09:15:26.452: End SpamAssassin results
———-
Thu 2015-07-16 23:58:05.318: Spam Filter processing d:\mdaemon\remoteq\md75005476175.msg…
Thu 2015-07-16 23:58:05.318: * Message return-path: prvs=1639a5f9e1=ufficioclienti@teddy.it
Thu 2015-07-16 23:58:05.318: * Message from: ufficioclienti@esempio.it
Thu 2015-07-16 23:58:05.318: * Message to: info.dgp@gmail.com
Thu 2015-07-16 23:58:05.318: * Message subject: Documento TEDDY  104444026886 del 16/07/2015  [FATTURA IMMED. ]
Thu 2015-07-16 23:58:05.318: * Message ID:
<mdaemon6548201507162250.aa5003299@acme.com>
Fri 2015-07-17 00:00:25.339: * MDSpamD Error:  could not process d:\mdaemon\remoteq\md75005476175.msg Could not connect to host.
Fri 2015-07-17 00:00:25.339: ———-
Fri 2015-07-17 00:00:25.341: *  Errore del messaggio D:\MDAEMON\Remoteq\md75005476175.msg nell’elaborazione AntiSpam
…..

Il log è particolarmente utile quanto si deve capire perché un messaggio è stato erroneamente classificato dal filtro antispam (spam consegnato all’utente o falsi positivi).

Un particolare messaggio può essere ricercato per mittente, destinatario o message-id.

mdaemon-filtro-contenuti.log <mdaemon6548201507162250.aa5003299@acme.com>

Questo log mostra se il messaggio ha matchato una o più regole del filtro contenuti di MDaemon.

Fri 2015-07-17 09:15:31.012: Content Filter processing d:\mdaemon\localq\md50028499655.msg…
Fri 2015-07-17 09:15:31.012: * Message return-path: info@example.com
Fri 2015-07-17 09:15:31.012: * Message from: info@example.com
Fri 2015-07-17 09:15:31.012: * Message to: promualditech@teddy.it
Fri 2015-07-17 09:15:31.012: * Message subject: Rassegna Visual Box per Rinascimento
Fri 2015-07-17 09:15:31.012: * Message ID: <17535439.1437117243719.JavaMail.info@example.com>
Fri 2015-07-17 09:15:31.012: Start Content Filter results
Fri 2015-07-17 09:15:31.012: * Message matched rule: ASM_rule
Fri 2015-07-17 09:15:31.062: * Message matched rule: R17 – Autorizzati Mail from Facebook
Fri 2015-07-17 09:15:31.111: * Matched 2 of 101 active rules
Fri 2015-07-17 09:15:31.111: End of Content Filter results

Il filtro contenuti potrebbe essere la causa della mancata consegna o alterazione di un messaggio.

Un particolare messaggio può essere ricercato per mittente, destinatario, oggetto o message-id.

Il log all è un “merge” degli altri log e permette di seguire il lavoro complessivo di MDaemon.

2. Email inviate da un account locale ad un destinatario esterno

Una email inviata da un account di MDaemon con un client di posta “tradizionale” (Outlook, Thundirbird, WorldClient, etc.) viene ricevuta da MDaemon tramite una sessione SMTP entrante i cui passi sono tracciati dal log smtp-(entrata). Se la sessione SMTP si completa correttamente, il messaggio viene preso in carico e salvato prima nella coda di ingresso e poi, essendo destinato ad un indirizzo esterno, spostato nella coda remota (passaggi tracciati dal log instradamento). Il messaggio passa quindi per l’antivurus (se è installato e attivo SecurityPlus per MDaemon) e per il filtro contenuti (passaggi tracciati da log antispam e  filtro-contenuti). Il tentativo e l’esito dell’invio del messaggio verso l’host remoto è tracciato nel log smtp-(uscita). Il flusso è mostrato in figura 2.


figura 2

<mdaemon6548201507162250.aa5003299@acme.com>
Per i dettagli dei log smtp-(entrata), instradamento, antivirus, filtro contenuti e all, si veda il paragrafo 1.<mdaemon6548201507162250.aa5003299@acme.com>

mdaemon-smpt-(uscita).log

Tue 2015-12-29 12:02:03.771: ———-
Tue 2015-12-29 12:02:03.766: [566314] Session 566314; child 0001
Tue 2015-12-29 12:02:03.766: [566314] Parsing message
Tue 2015-12-29 12:02:03.767: [566314] *  From: mario.rossi@dominio.it
Tue 2015-12-29 12:02:03.767: [566314] *  To: john.smith@company.com
Tue 2015-12-29 12:02:03.767: [566314] *  Subject: How are you?
Tue 2015-12-29 12:02:03.767: [566314] *  Size (bytes): 48065
Tue 2015-12-29 12:02:03.767: [566314] *  Message-ID: <038701d14228$55b0f300$0112d900$@dominio.it>
Tue 2015-12-29 12:02:03.769: [566314] Resolving MX record for company.com (DNS Server: 62.166.128.4)
Tue 2015-12-29 12:02:03.769: [566314] *  P=005 S=001 D= company.com TTL=(7) MX=[smtp-in. company.com]
Tue 2015-12-29 12:02:03.769: [566314] Attempting SMTP connection to smtp-in. company.com
Tue 2015-12-29 12:02:03.770: [566314] *  smtp-in. company.com found in internal AAAA lookup black-list
Tue 2015-12-29 12:02:03.770: [566314] Resolving A record for smtp-in. company.com (DNS Server: 62.166.128.4)…
Tue 2015-12-29 12:02:03.771: [566314] *  D= smtp-in. company.com TTL=(2) A=[74.166.192.27]
Tue 2015-12-29 12:02:03.771: [566314] Attempting SMTP connection to 74.166.192.27:25
Tue 2015-12-29 12:02:03.771: [566314] Waiting for socket connection…
Tue 2015-12-29 12:02:03.799: [566314] *  Connection established 192.168.99.12:55209 –> 74.166.192.27:25
Tue 2015-12-29 12:02:03.799: [566314] Waiting for protocol to start…
Tue 2015-12-29 12:02:03.834: [566314] <– 220 mx.company.com ESMTP y127si90116419wmy.33 – gsmtp
Tue 2015-12-29 12:02:03.834: [566314] –> EHLO mail.dominio.it
Tue 2015-12-29 12:02:03.871: [566314] <– 250-mx.google.com at your service, [95.116.124.69]
Tue 2015-12-29 12:02:03.871: [566314] <– 250-SIZE 35882577
Tue 2015-12-29 12:02:03.871: [566314] <– 250-8BITMIME
Tue 2015-12-29 12:02:03.871: [566314] <– 250-STARTTLS
Tue 2015-12-29 12:02:03.871: [566314] <– 250-ENHANCEDSTATUSCODES
Tue 2015-12-29 12:02:03.871: [566314] <– 250-PIPELINING
Tue 2015-12-29 12:02:03.871: [566314] <– 250-CHUNKING
Tue 2015-12-29 12:02:03.871: [566314] <– 250 SMTPUTF8
Tue 2015-12-29 12:02:03.871: [566314] –> STARTTLS
Tue 2015-12-29 12:02:03.906: [566314] <– 220 2.0.0 Ready to start TLS
Tue 2015-12-29 12:02:03.935: [566314] SSL negotiation successful (TLS 1.2, 256 bit key exchange, 128 bit AES encryption)
Tue 2015-12-29 12:02:03.935: [566314] –> EHLO mail.dominio.it
Tue 2015-12-29 12:02:03.969: [566314] <– 250-mx.company.com at your service, [95.110.166.69]
Tue 2015-12-29 12:02:03.969: [566314] <– 250-SIZE 35882577
Tue 2015-12-29 12:02:03.969: [566314] <– 250-8BITMIME
Tue 2015-12-29 12:02:03.969: [566314] <– 250-ENHANCEDSTATUSCODES
Tue 2015-12-29 12:02:03.969: [566314] <– 250-PIPELINING
Tue 2015-12-29 12:02:03.969: [566314] <– 250-CHUNKING
Tue 2015-12-29 12:02:03.969: [566314] <– 250 SMTPUTF8
Tue 2015-12-29 12:02:03.969: [566314] –> MAIL From:<mario.rossi@dominio.it></mario.rossi@dominio.it> SIZE=48065
Tue 2015-12-29 12:02:04.004: [566314] <– 250 2.1.0 OK y127si90116419wmy.33 – gsmtp
Tue 2015-12-29 12:02:04.004: [566314] –> RCPT To:<john.smith@company.com></john.smith@company.com>
Tue 2015-12-29 12:02:04.112: [566314] <– 250 2.1.5 OK y127si90116419wmy.33 – gsmtp
Tue 2015-12-29 12:02:04.112: [566314] –> DATA
Tue 2015-12-29 12:02:04.147: [566314] <– 354  Go ahead y127si90116419wmy.33 – gsmtp
Tue 2015-12-29 12:02:04.147: [566314] Sending to [74.166.192.27]
Tue 2015-12-29 12:02:04.342: [566314] Transfer Complete
Tue 2015-12-29 12:02:04.469: [566314] <– 250 2.0.0 OK 1451386923 y127si90116419wmy.33 – gsmtp
Tue 2015-12-29 12:02:04.469: [566314] –> QUIT
Tue 2015-12-29 12:02:04.504: [566314] <– 221 2.0.0 closing connection y127si90116419wmy.33 – gsmtp
Tue 2015-12-29 12:02:04.504: [566314] SMTP session successful (Bytes in/out: 649/49091)
Tue 2015-12-29 12:02:04.504: ———-

Se durante la sessione di invio si verifica un timeout, o un errore temporaneo (4xx) o definitivo (5xx) il log lo riporta, solitamente accompagnato da un messaggio rilasciato da MDaemon o dall’host remoto:

Tue 2015-12-29 11:58:30.266: [566205] –> MAIL From:<sales@dominio.it> SIZE=29556
Tue 2015-12-29 11:58:30.279: [566205] <– 250 2.1.0 <sales@domino.it>… Sender ok
Tue 2015-12-29 11:58:30.279: [566205] –> RCPT To:<edp@company.com>
Tue 2015-12-29 11:58:34.298: [566205] <– 451 4.3.2 Please try again later
Tue 2015-12-29 11:58:34.299: [566205] –> QUIT

Tue 2015-12-29 01:01:01.289: [556624] –> MAIL From:<noreply@dominio.it> SIZE=3491
Tue 2015-12-29 01:01:01.331: [556624] <– 250 2.1.0 Ok
Tue 2015-12-29 01:01:01.331: [556624] –> RCPT To:<dmarc-feedback@email.onetoone.it>
Tue 2015-12-29 01:01:01.525: [556624] <– 550 5.1.1 <dmarc-feedback@email.onetoone.it>: Recipient address rejected: User unknown in virtual mailbox tabl</dmarc-feedback@email.onetoone.it>e
Tue 2015-12-29 01:01:01.525: [556624] –> QUIT
Tue 2015-12-29 01:01:01.526: [556624] Message has no valid return path, it was deleted</dmarc-feedback@email.onetoone.it><noreply@dominio.it><edp@company.com></sales@domino.it><sales@dominio.it>

Un messaggio specifico può essere ricercato per mittente, destinatario, oggetto o message-id.

3. Email ricevute via DomainPOP

Quando la posta indirizzata ad uno dei domini gestiti da MDaemon arriva in una casella catchall remota, MDaemon deve essere configurato in DomainPOP. Per ricevere la posta MDaemon effettua una sessione POP verso l’host remoto connettendosi alla casella catchall per scaricarne il contenuto; i messaggi vengono poi elaborati internamente dall’engine del DPOP per estrarne l’elenco dei destinatari. Se c’è almeno un destinatario locale MDaemon accetta il messaggio e lo salva nella coda di ingresso. Queste attività sono tracciate nel domainpop log. A questo punto il messaggio è elaborato come un qualsiasi messaggio in ingresso (antispam, antivirus, filtro contenuti e consegna), indipendentemente dal fatto che fosse stato ricevuto via DomainPOP (figura 3).


figura 3

L’esempio che segue dettagli le info della sessione POP contenuta nel domainpop log:

Wed 2015-12-30 15:25:12.336: ———-
Wed 2015-12-30 15:26:06.831: Attempting DomainPOP connection to mail.dominio.it
Wed 2015-12-30 15:26:06.832: *  mail.dominio.it trovato in lista nera di ricerca interna AAAA
Wed 2015-12-30 15:26:06.832: Resolving A record for mail.dominio.it (DNS Server: 192.168.100.11)…
Wed 2015-12-30 15:26:06.834: *  D=mail.achab.it TTL=(5) A=[95.110.166.69]
Wed 2015-12-30 15:26:06.835: Attempting DomainPOP connection to 95.110.166.69:110
Wed 2015-12-30 15:26:06.836: Waiting for socket connection…
Wed 2015-12-30 15:26:06.847: *  Connection established 192.168.100.70:60818 –> 95.110.125.69:110
Wed 2015-12-30 15:26:06.847: Waiting for protocol to start…
Wed 2015-12-30 15:26:06.862: <– +OK mail.achab.it POP3 MDaemon 15.0.3 ready
Wed 2015-12-30 15:26:06.863: –> STLS
Wed 2015-12-30 15:26:06.872: <– +OK Begin TLS negotiation
Wed 2015-12-30 15:26:06.885: SSL negotiation successful (TLS 1.2, 384 bit key exchange, 256 bit AES encryption)
Wed 2015-12-30 15:26:06.885: –> USER catchall@dominio.it
Wed 2015-12-30 15:26:06.897: <– +OK catchall@dominio.it… User ok
Wed 2015-12-30 15:26:06.897: –> PASS ******
Wed 2015-12-30 15:26:06.911: <– +OK catchall@dominio.it’s mailbox has 1 total messages (48289 octets)
Wed 2015-12-30 15:26:06.911: –> STAT
Wed 2015-12-30 15:26:06.922: <– +OK 1 48289
Wed 2015-12-30 15:26:06.922: –> UIDL
Wed 2015-12-30 15:26:06.935: 1 MD50000000030:MSG:48289:30491405:3746568918 – new message
Wed 2015-12-30 15:26:06.935: –> .
Wed 2015-12-30 15:26:06.935: –> NOOP
Wed 2015-12-30 15:26:06.946: <– +OK
Wed 2015-12-30 15:26:06.946: –> LIST 1
Wed 2015-12-30 15:26:06.959: <– +OK 1 48289
Wed 2015-12-30 15:26:06.959: –> RETR 1
Wed 2015-12-30 15:26:06.971: <– +OK 48289 octets
Wed 2015-12-30 15:26:07.060: Transmission complete
Wed 2015-12-30 15:26:07.063: Indirizzo < catchall@dominio.it > analizzato da intest. [RECEIVED:]
Wed 2015-12-30 15:26:07.064: Indirizzo < catchall@dominio.it > analizzato da intestazione [TO:] (duplicata)
Wed 2015-12-30 15:26:07.064: Indirizzo
<test@dominio.it> analizzato da intest. [TO:]<test@dominio.it>
Wed 2015-12-30 15:26:07.065: L’indirizzo <test@dominio> sopravvissuto all’analisi di tutti i DomainPOP, riceverà copia del messaggio<test@dominio>
Wed 2015-12-30 15:26:07.068: Creazione messaggio successful: c:mdaemonqueuesinboundmd50000002616.msg
Wed 2015-12-30 15:26:07.068: –> DELE 1
Wed 2015-12-30 15:26:07.080: <– +OK message 1 deleted
Wed 2015-12-30 15:26:07.080: –> QUIT
Wed 2015-12-30 15:26:07.093: <– +OK catchall@dominio.it dominio.it POP3 Server signing off (mailbox empty)
Wed 2015-12-30 15:26:07.093: POP3 session complete (Bytes in/out: 48676/515)
Wed 2015-12-30 15:26:07.093: ———-

Se l’engine del domain pop non riesce a trovare un destinatario locale nel messaggio (attenzione alle email inviate in CCN!), sarà generata una notifica:

Wed 2015-12-30 15:22:07.033: ———-
Wed 2015-12-30 15:22:07.139: Conversione di

Wed 2015-12-30 15:22:07.143: Da: MDaemon@dominio.it
Wed 2015-12-30 15:22:07.143: A: postmaster@dominio.it
Wed 2015-12-30 15:22:07.143: Oggetto: Warning: No addresses survived parsing process!
Wed 2015-12-30 15:22:07.143: ID messaggio: MDAEMON0005201512301522.AA2207139@mail.dominio.it
Wed 2015-12-30 15:22:07.144: Codifica del file allegato [c:\mdaemon\queues\temp\md75000000086.eml]
Wed 2015-12-30 15:22:07.145: Conversione completata (creato c:\mdaemon\queues\local\md75000015254.msg)
Wed 2015-12-30 15:22:07.145: ———-

Il domain pop log non riporta i dettagli di ciascun messaggio come nel log smtp-(entrata), per cui, un particolare messaggio deve essere ricercato sulla base di altre info, come ad esempio la dimensione e/o l’orario di ricezione.

4. Email ricevute via MultiPOP

Quando la posta indirizzata ad uno dei domini gestiti da MDaemon si trova presso un ISP, divisa per caselle di posta (ogni utente ha una propria casella), MDaemon deve essere configurato in MultiPOP. Per ricevere la posta MDaemon effettua un ciclo di sessioni POP (una per ogni account abilitato) verso l’host remoto connettendosi alle corrispondenti caselle per scaricarne il contenuto; i messaggi vengono poi indirizzati verso gli account di MDaemon corrispondenti. L’attività di download è tracciata nel multipop log. A questo punto i messaggi sono elaborati come un qualsiasi messaggio in ingresso (antispam, antivirus, filtro contenuti e consegna), indipendentemente dal fatto che fossero stati ricevuti via MultiPOP (figura 4).

figura 4

L’esempio che segue dettagli le info della sessione POP contenuta nel multipop log:

Wed 2015-12-30 16:59:14.607: ———-
Wed 2015-12-30 16:59:23.452: MultiPOP raccoglie la posta da (mail.dominio.it) per (user / user@bb.dominio.it)
Wed 2015-12-30 16:59:23.452: La posta raccolta da MultiPOP viene rimossa dall’host remoto.
Wed 2015-12-30 16:59:23.452: Attempting MultiPOP connection to mail.dominio.it
Wed 2015-12-30 16:59:23.453: *  mail.dominio.it trovato in lista nera di ricerca interna AAAA
Wed 2015-12-30 16:59:23.453: Resolving A record for mail.dominio.it (DNS Server: 192.168.100.11)…
Wed 2015-12-30 16:59:23.455: *  D=mail.dominio.it TTL=(5) A=[95.110.125.69]
Wed 2015-12-30 16:59:23.455: Attempting MultiPOP connection to 95.110.125.69:110
Wed 2015-12-30 16:59:23.456: Waiting for socket connection…
Wed 2015-12-30 16:59:23.466: *  Connection established 192.168.100.70:61198 –> 95.110.125.69:110
Wed 2015-12-30 16:59:23.466: Waiting for protocol to start…
Wed 2015-12-30 16:59:23.476: <– +OK mail.dominio.it POP3 MDaemon 15.0.3 ready
Wed 2015-12-30 16:59:23.477: –> STLS
Wed 2015-12-30 16:59:23.486: <– +OK Begin TLS negotiation
Wed 2015-12-30 16:59:23.497: SSL negotiation successful (TLS 1.2, 384 bit key exchange, 256 bit AES encryption)
Wed 2015-12-30 16:59:23.497: –> USER userb@dominio.it
Wed 2015-12-30 16:59:23.506: <– +OK userb@dominio.it… User ok
Wed 2015-12-30 16:59:23.506: –> PASS ******
Wed 2015-12-30 16:59:23.518: <– +OK userb@dominio.it’s mailbox has 1 total messages (48219 octets)
Wed 2015-12-30 16:59:23.518: –> STAT
Wed 2015-12-30 16:59:23.527: <– +OK 1 48219
Wed 2015-12-30 16:59:23.527: –> UIDL
Wed 2015-12-30 16:59:23.537: 1 MD50000000031:MSG:48219:30491419:52766774 – new message
Wed 2015-12-30 16:59:23.538: –> .
Wed 2015-12-30 16:59:23.538: –> NOOP
Wed 2015-12-30 16:59:23.547: <– +OK
Wed 2015-12-30 16:59:23.547: –> LIST 1
Wed 2015-12-30 16:59:23.557: <– +OK 1 48219
Wed 2015-12-30 16:59:23.557: –> RETR 1
Wed 2015-12-30 16:59:23.566: <– +OK 48219 octets
Wed 2015-12-30 16:59:23.642: Transmission complete
Wed 2015-12-30 16:59:23.647: Creazione messaggio successful: c:\mdaemon\queues\inbound\md50000002617.msg
Wed 2015-12-30 16:59:23.647: –> DELE 1
Wed 2015-12-30 16:59:23.657: <– +OK message 1 deleted
Wed 2015-12-30 16:59:23.657: –> QUIT
Wed 2015-12-30 16:59:23.667: <– +OK userb@dominio.it dominio.it POP3 Server signing off (mailbox empty)
Wed 2015-12-30 16:59:23.667: POP3 session complete (Bytes in/out: 48604/515)
Wed 2015-12-30 16:59:23.667: ———-

Il multipop pop log non riporta i dettagli di ciascun messaggio come nel log smtp-(entrata), per cui, un particolare messaggio deve essere ricercato sulla base di altre info, come ad esempio la dimensione e/o l’orario di ricezione.
Note:

Una email potrebbe “scomparire” mentre la si sta seguendo all’interno dei log; una delle cause più comuni è la presenza di un Antivirus di terze parti che effettua una scansione in tempo reale e che può sottrarre il messaggio ad MDaemon in caso di positività. Per questa ragione è opportuno che gli antivirus di terze parti non effettuino la scansione della cartella MDaemon e del traffico SMTP, POP e IMAP.

New call-to-action