Los registros de correo IMAP y POP3 generalmente incluyen la IP del host de conexión, la IP local a la que se está conectando (si existen varias IP en el sistema, por ejemplo, para IP dedicadas) y el nombre de usuario de la cuenta que se solicita, y algún nivel de actividad.
Por ejemplo, aquí hay una entrada de registro de conexión IMAP de cPanel, que es un popular software de panel de control de alojamiento web. Este registro es específico para una verificación de salud en el servicio IMAP, pero muestra la información relevante en discusión:
13 de junio 08:38:51 cpanel dovecot: imap-login: Login: user = , method = PLAIN, rip = 127.0.0.1, lip = 127.0.0.1, mpid = 9907, secure, session =
13 de junio 08:38:51 cpanel dovecot: imap (__ cpanel__service__auth__imap_): desconectado: desconectado = 11, fuera = 434, bytes = 11/434
- ¿Cómo sabe mi computadora la dirección IP de su propio nombre de host?
- ¿Qué determina la fragmentación de IP?
- Toda mi cuenta de Google fue pirateada y eliminé la cuenta. ¿Todavía es posible que la persona pueda hackear mi teléfono nuevamente usando mi dirección IP?
- ¿La IP de una máquina en la nube cambia cada vez que se reinicia?
- ¿Por qué elegimos IPv6 en lugar de IPv5?
En la línea 1, ves:
- La fecha,
- el nombre del servicio (“cpanel dovecot”, porque es de / var / log / maillog en el que pueden escribir múltiples demonios relacionados con el correo),
- el nombre de usuario de ser autenticado (usuario = __ cpanel__service__auth__imap). Sin embargo, esta podría ser cualquier cuenta de correo electrónico en el sistema.
- la IP de conexión (host remoto o rip =), en este caso es el sistema local en 127.0.0.1
- la dirección IP local a la que está conectado (lip = 127.0.0.1, nuevamente, localhost)
- El ID de proceso que se ejecuta en el servidor (9907)
- seguro = conexión SSL / TLS de algún tipo
- la ID de sesión, que es útil para buscar entradas de registro adicionales cuando ocurre mucha actividad y las líneas individuales no están una al lado de la otra.
La línea 2 es el cliente IMAP que se desconecta del servidor.
Hay varias razones por las que pueden no tener la información de los registros:
- Se trata de un soporte técnico de nivel 1, posiblemente tercerizado, que realmente no tiene acceso a los registros y no quiere decirle eso (tal vez no les gustan las escaladas; si se externaliza, el objetivo podría ser ” número de tickets cerrados “, no” número de clientes satisfechos “).
- Los registros se combinan con todos los demás usuarios del sistema, y el técnico no sabe cómo examinar los registros del sistema para encontrar su información específica. No le darán los registros de todos (problemas de privacidad).
- Tienen una política de no publicar registros sin una orden judicial / orden judicial / investigación policial / etc.
- Los registros ya han girado y no guardan archivos. Las políticas de retención se pueden establecer en una rotación diaria (con 7 días de mantenimiento antes de salir del ciclo) o en una rotación del tamaño de registro donde cada registro crece a 2 GB y luego se gira. Dependiendo de la configuración, ese archivo de registro ya no puede estar en el servidor.