Graylog 针对唯一的电子邮件地址发出警报吗?

Graylog 针对唯一的电子邮件地址发出警报吗?

我们正在尝试找出是否有办法创建一个流/警报,用于检测电子邮件地址在日志中出现次数超过 X 次的情况。据我们所知,我只能计算与流匹配的邮件总数。

例如,如果“mailaddress”字段的值在过去一分钟内相同次数超过 10 次,我们会发出警报。有人知道如何做到这一点吗?

答案1

有许多工具可用于扫描日志。 fail2ban就是其中之一。您需要设置一个表达式来匹配并配置适当的操作。这可能包括暂时将用户列入防火墙的黑名单。

您可能会发现配置不当的服务器,这些服务器的初始重试时间以秒为单位,而不是以分钟或小时为单位。垃圾邮件机器人可能会频繁更改其发送地址,因此您可能会错过它们。

我见过许多批量邮件发送程序在每次请求时使用不同的 IP 以极快的速度重试。相应的域名在前两三层往往是一致的。

我会通过修复邮件列表数据来修复发送的重复邮件。您将收到临时拒绝的重复邮件,这些邮件应该由您的邮件服务器重试。使用合理的初始重试时间(例如 1 小时)并监视队列中已在队列中停留一段时间的条目。电子邮件地址的域部分始终不区分大小写,左侧站点几乎始终不区分大小写。

大多数邮件服务器会删除同一封邮件中的重复地址。但是,如果邮件是个性化的,这种方法就无济于事了。

对于我检测到的每项 RFC 违规,我的服务器都会将交付推迟一个多小时。这包括 rDNS、ELHO 名称匹配 DNS、SPF 等。还有其他原因会导致消息延迟。应该记录交付接受被推迟的原因。

相关内容