Záznam Security obsahuje informace, které souvisejí s bezpečností Kerio MailServeru. Také obsahuje záznam o všech zprávách, které nebylo možno doručit. Jedná se zejména o tyto typy událostí:
Pro příklad uveďme zprávu, v níž byl obsažen vir:
[16/Jun/2004 18:37:17] Found virus in mail
from<missgold18@hotmail.com> to
<support@kerio.com>:W32/Netsky.p@MM
[16/Jun/2004 18:37:17]
— datum a
čas, kdy byl virus nalezen.
Found virus in mail
— provedená akce
(zpráva o nalezení viru).
from <missgold18@hotmail.com>
— elektronická adresa odesílatele.
to <support@kerio.com>
—
elektronická adresa příjemce.
W32/Netsky.p@MM
— typ nalezeného
viru.
Zpráva s příliš vysokým hodnocením spamového filtru:
[16/Jun/2004 18:37:17] Message from
<missgold18@hotmail.com>to
<support@kerio.com> rejected by spam filter: score 9.74,threshold
5.00
[16/Jun/2004 18:37:17]
— datum a
čas, kdy byla zpráva odmítnuta.
from <missgold18@hotmail.com>
— elektronická adresa odesílatele.
to <support@kerio.com>
—
elektronická adresa příjemce.
rejected by spam filter
— provedená
akce (odmítnutí zprávy spamovým filtrem).
score 9.74, threshold 5.00
—
hodnocení spamového filtru SpamAssassin.
Záznam obsahuje neplatné pokusy o přihlášení. Obvyklou příčinou bývá neplatné jméno/heslo nebo nepovolená IP adresa. Důvod neúspěšného pokusu o přihlášení můžete nalézt také v záznamu Warning (kapitola 25.5 Warning).
[13/Apr/2004 17:35:49] Failed IMAP login
from 192.168.36.139,missing parameter in
AUTHENTICATE header
[13/Apr/2004 17:35:49]
— datum a čas
neúspěšného pokusu o přihlášení.
Failed IMAP login
— provedená akce
(neúspěšný pokus o přihlášení).
from 192.168.36.139
—
IP adresa, ze
kterého byl pokus učiněn.
Důvodů neúspěchu přihlášení může být několik:
missing parameter in AUTHENTICATE header
— byla poslána špatná nebo neplatná hlavička s přihlašovacími
informacemi,
authentication method PLAIN is disabled
— použitá autentizační metoda je v Kerio
MailServeru vypnutá,
authentication method CRAM_MD5 is invalid or
unknown
— Kerio MailServer neumí nebo
nezná tuto metodu ověřování,
error during authentication with method
CRAM-MD5
— došlo k chybě při ověřování hesla, např. chyba
při komunikaci s ověřovacím serverem,
authentication with method CRAM-MD5 cancelled by
user
— uživatel (klient) přerušil ověřování,
(Failed IMAP login from 127.0.0.1), authentication
method PLAIN
— uživatel nebyl ověřen (uživatel neexistuje,
špatně zadané heslo, uživatelský účet v Kerio
MailServeru je vypnutý nebo nelze ověřit jméno a heslo uživatele,
protože daná metoda ověřování neposkytuje dostatek údajů pro ověření uživatele
v Active Directory).
Pro příklad pokusu o relaying si uveďme:
[11/Jun/2004 00:36:07] Relay attempt from
IP address61.216.46.197, mail from
<wgiwknovry@hotmail.com> to<fodder@falls.igs.net>
rejected
[11/Jun/2004 00:36:07]
— datum a čas
pokusu o zneužití serveru.
Relay attempt
— provedená akce
(neúspěšný pokus relaying).
61.216.46.197
—
IP adresa, ze
které byl pokus o relaying učiněn.
from <wgiwknovry@hotmail.com>
— adresa odesílatele.
to <fodder@falls.igs.net>
—
adresa adresáta.
rejected
— provedená akce (odmítnutí
zprávy).
Ochrana proti zahlcení serveru — vizte kapitolu 12.2 SMTP server, sekce Bezpečnostní volby.
[16/Jun/2004 18:53:43] Directory harvest
attack from213.7.0.87 detected
[16/Jun/2004 18:53:43]
— datum a čas
neúspěšného útoku.
Directory harvest attack
— typ
útoku.
from 213.7.0.87
—
IP adresa, ze
které byl pokus o útok učiněn.
detected
— provedená akce (zjištěno
a zakázáno).
Odesílatel byl nalezen v databázi zakázaných serverů (ORDB, vlastní skupina IP adres).
[13/Apr/2004 17:44:02] IP address
212.76.71.93 found in DNSblacklist ORDB, mail from
<emily.macdonald@nmc-uk.org> to<support@kerio.com>
[13/Apr/2004 17:44:02]
— datum a čas
přijetí zprávy.
212.76.71.93
—
IP adresa, ze
které byla zpráva odeslána.
found in DNS blacklist ORDB
— typ
akce (adresa byla nalezena v databázi zakázaných serverů).
from <emily.macdonald@nmc-uk.org>
— elektronická adresa odesílatele.
to <support@kerio.com>
—
elektronická adresa příjemce.
Uživateli bylo odcizeno mobilní zařízení (nebo ho ztratil) a správce odstranil ze zařízení všechna data uživatele (více vizte sekci 36.5 Vzdálené vymazání obsahu zařízení).
V záznamu Security se mohou objevit v podstatě tři typy záznamu o vyčištění mobilního zařízení. První záznam se týká zahájení vyčištění. Tento záznam se při vyčištění zařízení objevuje vždy. V této fázi lze obvykle vyčištění ještě stornovat. Druhý typ záznamu se tedy objeví právě při stornování vyčištění zařízení. Třetí záznam se vyskytne, pokud vyčištění nebylo stornováno a vyčištění se skutečně provede. To proběhne při prvním následujícím připojení zařízení k serveru.
První příklad záznamu zobrazuje jeho iniciaci:
[22/Aug/2006 12:30:23] Device with idC588E60FCF2FB2C107FBF2ABE09CA557(user:
jnovak@firma.cz)will be wiped out by request
Admin
Druhý příklad záznamu zobrazuje jeho stornování:
[22/Aug/2006 12:36:51] Wiping out of
the deviceC588E60FCF2FB2C107FBF2ABE09CA557 (user:
jnovak@firma.cz)has been cancelled by
Admin
Třetí příklad zobrazuje oznámení o vymazání zařízení:
[22/Aug/2006 12:31:11] Device
C588E60FCF2FB2C107FBF2ABE09CA557(user:
jnovak@firma.cz), connected from: 192.168.44.178has
been irrecoverable wiped out