Analyse des logs

À chaque fois qu'un courrier est rejeté, sendmaille signale dans le fichier de log. Le format exact dépend de la version de sendmail, mais cela donne par exemple :

Feb  1 00:17:55 soleil sendmail[4254]: AAA04254:
    ruleset=check_mail,
    arg1=<TryToRecycle@Conserve.net>,
    relay=smarttalk.com [192.41.47.56],
    reject=451 <TryToRecycle@Conserve.net>... Sender address must resolve

Détaillons cet exemple^3.6, découpé pour la lisibilité en plusieurs lignes :

• la première ligne, comme d'habitude, donne des informations sur la date, l'heure, la machine, le programme et l'identificateur dans la file d'attente de sendmail ;

• la deuxième ligne indique que l'action est une erreur détectée dans la règle check_mail (donc lors de la réception de l'adresse d'émetteur, voir 2.5.5, page ) ;

• la troisième ligne fournit le premier argument de la règle, c'est-à-dire l'adresse du récepteur figurant dans l'enveloppe

• la quatrième ligne mentionne le client SMTP (nom et adresse IP) ;

• la cinquième et dernière ligne donne la raison de l'erreur (code et message en clair) : ici, l'adresse fournie ( TryToRecycle@Conserve.net) ne correspond à aucune adresse réelle (la partie après le « @ » n'existe pas dans le DNS).

Ce message est un excellent exemple de spam : une adresse inexistante, et un relais qui n'a aucun rapport avec l'adresse spécifiée par le spammeur.

Les différentes causes d'erreur que l'on peut voir dans les logs sont les suivantes^3.7 :

• Go away
  L'adresse ou le nom du client SMTP, ou de l'expéditeur, figure dans la liste noire locale.

• Unknown relay name
  Le client SMTP n'est pas correctement enregistré dans le DNS.

• Rejected address by xxxxx
  L'adresse du client SMTP figure dans la liste noire xxxxx (de type RBL).
• Polite people give a qualified address
  L'adresse d'expéditeur n'est pas correctement qualifiée : c'est typiquement le cas d'un spammeur qui essaye de nous faire croire que son adresse est locale, pour mieux nous utiliser comme relais.

• Sender address must resolve
  L'adresse d'expéditeur n'existe pas. Les deux cas les plus typiques sont les spammeurs qui mettent une adresse farfelue, ou les utilisateurs qui configurent mal leur courrier : adresse avec une faute d'orthographe, mal qualifiée, etc. De toutes manières, leurs correspondants ne pourront pas faire de reply.

• Relaying denied
  Un client SMTP externe essaye de nous envoyer un courrier destiné à une adresse externe, en signant avec une adresse d'expéditeur interne. C'est typiquement le cas où on essaye de nous utiliser comme relais. Il est éventuellement possible d'autoriser cela, si c'est justifié, en ajoutant une ligne OK au fichier spécifié par la variable ListeNoire.

Le programme stat-spam, fourni dans le même répertoire que le kit de Jussieu, permet d'exploiter le fichier de log de sendmail(version $\geq$ 8.8.8) et d'en extraire des statistiques.