25.4  Security

Záznam Security obsahuje informace, které souvisejí s bezpečností Kerio MailServeru. Také obsahuje záznam o všech zprávách, které nebylo možno doručit. Jedná se zejména o tyto typy událostí:

Nalezené viry a zakázané přílohy

Pro příklad uveďme zprávu, v níž byl obsažen vir:

[16/Jun/2004 18:37:17] Found virus in mail from<missgold18@hotmail.com> to <support@kerio.com>:W32/Netsky.p@MM

  • [16/Jun/2004 18:37:17] — datum a čas, kdy byl virus nalezen.

  • Found virus in mail — provedená akce (zpráva o nalezení viru).

  • from <missgold18@hotmail.com> — elektronická adresa odesílatele.

  • to <support@kerio.com> — elektronická adresa příjemce.

  • W32/Netsky.p@MM — typ nalezeného viru.

Odmítnutí spam filtrem

Zpráva s příliš vysokým hodnocením spamového filtru:

[16/Jun/2004 18:37:17] Message from <missgold18@hotmail.com>to <support@kerio.com> rejected by spam filter: score 9.74,threshold 5.00

  • [16/Jun/2004 18:37:17] — datum a čas, kdy byla zpráva odmítnuta.

  • from <missgold18@hotmail.com> — elektronická adresa odesílatele.

  • to <support@kerio.com> — elektronická adresa příjemce.

  • rejected by spam filter — provedená akce (odmítnutí zprávy spamovým filtrem).

  • score 9.74, threshold 5.00 — hodnocení spamového filtru SpamAssassin.

Neúspěšné pokusy o přihlášení

Záznam obsahuje neplatné pokusy o přihlášení. Obvyklou příčinou bývá neplatné jméno/heslo nebo nepovolená IP adresa. Důvod neúspěšného pokusu o přihlášení můžete nalézt také v záznamu Warning (kapitola 25.5  Warning).

[13/Apr/2004 17:35:49] Failed IMAP login from 192.168.36.139,missing parameter in AUTHENTICATE header

  • [13/Apr/2004 17:35:49] — datum a čas neúspěšného pokusu o přihlášení.

  • Failed IMAP login — provedená akce (neúspěšný pokus o přihlášení).

  • from 192.168.36.139IP adresa, ze kterého byl pokus učiněn.

Důvodů neúspěchu přihlášení může být několik:

  • missing parameter in AUTHENTICATE header — byla poslána špatná nebo neplatná hlavička s přihlašovacími informacemi,

  • authentication method PLAIN is disabled — použitá autentizační metoda je v Kerio MailServeru vypnutá,

  • authentication method CRAM_MD5 is invalid or unknownKerio MailServer neumí nebo nezná tuto metodu ověřování,

  • error during authentication with method CRAM-MD5 — došlo k chybě při ověřování hesla, např. chyba při komunikaci s ověřovacím serverem,

  • authentication with method CRAM-MD5 cancelled by user — uživatel (klient) přerušil ověřování,

  • (Failed IMAP login from 127.0.0.1), authentication method PLAIN — uživatel nebyl ověřen (uživatel neexistuje, špatně zadané heslo, uživatelský účet v Kerio MailServeru je vypnutý nebo nelze ověřit jméno a heslo uživatele, protože daná metoda ověřování neposkytuje dostatek údajů pro ověření uživatele v Active Directory).

Pokusy o zneužití serveru (relaying)

Pro příklad pokusu o relaying si uveďme:

[11/Jun/2004 00:36:07] Relay attempt from IP address61.216.46.197, mail from <wgiwknovry@hotmail.com> to<fodder@falls.igs.net> rejected

  • [11/Jun/2004 00:36:07] — datum a čas pokusu o zneužití serveru.

  • Relay attempt — provedená akce (neúspěšný pokus relaying).

  • 61.216.46.197IP adresa, ze které byl pokus o relaying učiněn.

  • from <wgiwknovry@hotmail.com> — adresa odesílatele.

  • to <fodder@falls.igs.net> — adresa adresáta.

  • rejected — provedená akce (odmítnutí zprávy).

Antibombing

Ochrana proti zahlcení serveru — vizte kapitolu 12.2  SMTP server, sekce Bezpečnostní volby.

[16/Jun/2004 18:53:43] Directory harvest attack from213.7.0.87 detected

  • [16/Jun/2004 18:53:43] — datum a čas neúspěšného útoku.

  • Directory harvest attack — typ útoku.

  • from 213.7.0.87IP adresa, ze které byl pokus o útok učiněn.

  • detected — provedená akce (zjištěno a zakázáno).

Nalezení odesílatele v databázích zakázaných serverů

Odesílatel byl nalezen v databázi zakázaných serverů (ORDB, vlastní skupina IP adres).

[13/Apr/2004 17:44:02] IP address 212.76.71.93 found in DNSblacklist ORDB, mail from <emily.macdonald@nmc-uk.org> to<support@kerio.com>

  • [13/Apr/2004 17:44:02] — datum a čas přijetí zprávy.

  • 212.76.71.93IP adresa, ze které byla zpráva odeslána.

  • found in DNS blacklist ORDB — typ akce (adresa byla nalezena v databázi zakázaných serverů).

  • from <emily.macdonald@nmc-uk.org> — elektronická adresa odesílatele.

  • to <support@kerio.com> — elektronická adresa příjemce.

Vzdálené vyčištění mobilního zařízení

Uživateli bylo odcizeno mobilní zařízení (nebo ho ztratil) a správce odstranil ze zařízení všechna data uživatele (více vizte sekci 36.5  Vzdálené vymazání obsahu zařízení).

V záznamu Security se mohou objevit v podstatě tři typy záznamu o vyčištění mobilního zařízení. První záznam se týká zahájení vyčištění. Tento záznam se při vyčištění zařízení objevuje vždy. V této fázi lze obvykle vyčištění ještě stornovat. Druhý typ záznamu se tedy objeví právě při stornování vyčištění zařízení. Třetí záznam se vyskytne, pokud vyčištění nebylo stornováno a vyčištění se skutečně provede. To proběhne při prvním následujícím připojení zařízení k serveru.

  • První příklad záznamu zobrazuje jeho iniciaci:

    [22/Aug/2006 12:30:23] Device with idC588E60FCF2FB2C107FBF2ABE09CA557(user: jnovak@firma.cz)will be wiped out by request Admin

  • Druhý příklad záznamu zobrazuje jeho stornování:

    [22/Aug/2006 12:36:51] Wiping out of the deviceC588E60FCF2FB2C107FBF2ABE09CA557 (user: jnovak@firma.cz)has been cancelled by Admin

  • Třetí příklad zobrazuje oznámení o vymazání zařízení:

    [22/Aug/2006 12:31:11] Device C588E60FCF2FB2C107FBF2ABE09CA557(user: jnovak@firma.cz), connected from: 192.168.44.178has been irrecoverable wiped out