我的一位客户丢失了一些电子邮件,我试图找出发生了什么,但我的知识有限。问过服务器支持人员,但他们说一切都很好,只附上日志(我看不太清楚>♻️?)
我做了什么?.
root@myserver:~# zgrep [email protected] /var/log/mail.log.2.gz
在那里我看到了邮件,它们附有一个队列和消息 ID:
Queue-ID: 2125915E4BB, Message-ID: <[email protected]>
日志
root@myserver:~# cat /var/log/mail.* |egrep '4525915E4AA|6B02315A8FE|E511515E3FF' |sort
Nov 2 09:48:40 myserver postfix/cleanup[8085]: 4525915E4AA: message-id=<[email protected]>
Nov 2 09:48:40 myserver postfix/qmgr[9669]: 4525915E4AA: from=<[email protected]>, size=297312, nrcpt=1 (queue active)
Nov 2 09:48:40 myserver postfix/submission/smtpd[8275]: 4525915E4AA: client=myserver.host.com[123.123.123.1], sasl_method=LOGIN, [email protected]
Nov 2 09:48:44 myserver amavis[4102]: (04102-12) Passed CLEAN {RelayedInbound}, [123.123.123.1]:59776 [123.123.123.1] <[email protected]> -> <[email protected]>, Queue-ID: 4525915E4AA, Message-ID: <[email protected]>, mail_id: NfX3Lgs8fYbm, Hits: -1.945, size: 297832, queued_as: A3CC315E4B5, 4282 ms
Nov 2 09:48:44 myserver postfix/qmgr[9669]: 4525915E4AA: removed
Nov 2 09:48:44 myserver postfix/smtp[8276]: 4525915E4AA: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=4.5, delays=0.15/0.02/0/4.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as A3CC315E4B5)
# A3CC315E4B5
Nov 2 09:48:44 myserver postfix/smtpd[8094]: A3CC315E4B5: client=localhost.localdomain[127.0.0.1]
Nov 2 09:48:44 myserver postfix/cleanup[8085]: A3CC315E4B5: message-id=<[email protected]>
Nov 2 09:48:44 myserver postfix/qmgr[9669]: A3CC315E4B5: from=<[email protected]>, size=298519, nrcpt=1 (queue active)
Nov 2 09:48:44 myserver amavis[4102]: (04102-12) Passed CLEAN {RelayedInbound}, [123.123.123.1]:59776 [123.123.123.1] <[email protected]> -> <[email protected]>, Queue-ID: 4525915E4AA, Message-ID: <[email protected]>, mail_id: NfX3Lgs8fYbm, Hits: -1.945, size: 297832, queued_as: A3CC315E4B5, 4282 ms
Nov 2 09:48:44 myserver postfix/smtp[8276]: 4525915E4AA: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=4.5, delays=0.15/0.02/0/4.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as A3CC315E4B5)
Nov 2 09:48:44 myserver postfix/lmtp[8095]: A3CC315E4B5: to=<[email protected]>, relay=myserver.host.com[private/dovecot-lmtp], delay=0.13, delays=0.06/0/0.01/0.06, dsn=2.0.0, status=sent (250 2.0.0 <[email protected]> uLYULOwuYmNdIAAAPVEKtg Saved)
Nov 2 09:48:44 myserver postfix/qmgr[9669]: A3CC315E4B5: removed
我如何追踪电子邮件的去向?是否可以使用 doveadm 搜索电子邮件?或者我可以在日志中看到用户是否有意或无意地删除了电子邮件?
我在哪里可以找到更多信息来了解如何阅读这些日志以及发生了什么?我知道邮件服务器很复杂,但我不想只告诉我的客户“一切都很好”我不清楚为什么您的电子邮件丢失了。不太值得信赖,是吗?
您有可能没有记录单个 IMAP 操作,因此可能无法跟踪哪个用户删除了消息。但是,如果您了解到丢失的邮件都早于 X 天,并且一个具有访问权限的用户最近设置了一个具有丢弃旧邮件功能的邮件客户端,那么这将很快查明可疑之处。
你做到了,你只需要继续,因为至少有四个不同的标识符。
[email protected]
指示,这是发送软件附加的内容。4525915E4AA
.A3CC315E4B5
.uLYULOwuYmNdIAAAPVEKtg
。直到您引用的部分,消息都没有丢失 - 还没有。继续跟踪链,直到到达报告传输的末尾。Dovecot 可能会或可能不会尝试存储消息,并且可能会或可能不会丢失或稍后根据用户请求故意删除。
我怀疑如果您在日志中搜索标识符 4,您会发现一个日志条目,其中 Dovecot 报告消息存储在哪个用户和邮箱(名称空间/子文件夹),以及消息 ID 标头的另一个引用。
如果 Dovecot 仍然有您的消息,它将能够找到它。如果邮箱超过几百 GB,可能希望将搜索限制在合理的子集内,具体细节在doveadm 搜索和doveadm 搜索查询手册中有详细说明。例子:
如果邮件已送达,然后丢失,则邮件存储的类型和具有权限的用户可能与进一步查询有关。对于有关邮箱可能已损坏或无法访问的方式的潜在后续问题,请确保包括相关配置,例如由
doveconf -n
命令转储。