Bu makalemizde; "gov.tr" veya "mil.tr" uzantılı dış domainlere ait kurumsal bir mail sunucusu tarafından gönderilen mailin, şirketimizdeki Fortimail tarafından karantinaya alınması durumunda, bu durumdan mail sistemi yöneticilerini haberdar edecek günlük bir raporun Logsign tarafında nasıl oluşturulacağını göreceğiz.
Aşağıdaki senaryonun gerçekleştiğini düşünelim:
- Fortimail sunucumuza doğru mail gönderen adresin uzantısında gov.tr veya mil.tr mevcut,
- Bu mail sunucu bir şekilde Fortimail tarafından karantinaya alınmış durumda
Logsign loglarını incelediğimizde, Event.Disposition:"Quarantine" araması sonucunda Fortimail tarafından karantinaya alınan tüm maillere ait logları göreceğiz:
Bu örnek logda, "Newsletter" sınıflandırıcısı tarafından engellenmiş bir bağlantıya ait logu görmekteyiz.
Başka sınıflandırıcılar tarafından da engelleme gerçekleşebilir (header analysis, DNSBL, SURBL vs. Bu sınıflandırıcılar için Fortimail ayarlarımızda "karantinaya al" şeklinde ayarlama yaptığımız için bu mailler karantinaya düşmektedir.)
Bu durumda logsign tarafındaki log kayıtlarıyla ilgili sorgumuz aşağıdaki şekilde olacak:
EventSource.IP:"Fortimail sunucu ip" Mail.FROM:(*.gov.tr* OR *.mil.tr*) Event.Disposition:"Quarantine" !Mail.FROM:*tapdk.gov.tr
(tapdk.gov.tr uzantılı olan logları filtreledik. Buraya kendi alan adınızı yazmanız gerekiyor.)
Sorgu sonuçlarını getirdikten sonra "Build Report" bölümüne tıklayalım ve aşağıdaki şekilde rapor ayarlarını yapalım ("Sum and Grouped" opsiyonunu seçeceğiz)
Daha sonra bu oluşturduğumuz raporla ilgili "schedule" oluşturacağız ve her gün bu raporu maille mail adminlerine ileteceğiz:
Reports and Analysis--> Schedule reports kısmına girip, "New schedule" bölümüne giriyoruz ve aşağıdaki şekilde ayarlıyoruz:
Umarım faydalı olmuştur.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder