Mail sunucularında SMTP Authentication (SMTP Auth) log’ları, e-posta iletim süreçlerinin güvenliğini ve güvenilirliğini sağlamak için kritik bir rol oynar. Bu log’lar, istemcilerin sunucuya kimlik doğrulaması sırasında gerçekleşen tüm girişimleri kaydeder ve sistem yöneticilerine olası sorunları hızlıca tespit etme imkanı sunar. Özellikle kurumsal ortamlarda, spam önleme, yetkisiz erişim engelleme ve performans optimizasyonu amacıyla SMTP Auth log’larını düzenli olarak incelemek standart bir uygulamadır. Bu makalede, SMTP Auth log’larının temel kavramlarını, yapılandırmasını, analiz yöntemlerini ve pratik kullanım ipuçlarını ele alacağız. Böylece, mail sunucunuzu daha etkin yönetebilir ve olası kesintileri önleyebilirsiniz.
SMTP Auth Log Kavramı ve Önemi
SMTP Auth log’ları, mail sunucularının (örneğin Postfix veya Exim) SMTP protokolü üzerinden yapılan kimlik doğrulama işlemlerini detaylı bir şekilde kaydeden sistem kayıtlarıdır. Bu log’lar, kullanıcı adı, şifre denemeleri, IP adresleri, başarı/başarısızlık durumları gibi bilgileri içerir. Kurumsal bir mail altyapısında, bu veriler güvenlik ihlallerini erken tespit etmek için vazgeçilmezdir. Örneğin, tekrarlanan başarısız auth denemeleri brute-force saldırılarını işaret edebilir.
Log’ların önemi, sadece reaktif değil proaktif yönetimde de yatmaktadır. Düzenli inceleme ile auth başarısızlık oranlarını izleyebilir, kullanıcı politikalarını güncelleyebilirsiniz. Standart syslog formatında tutulan bu log’lar, /var/log/maillog veya /var/log/mail.log gibi dosyalarda bulunur. Bir tipik giriş şöyle görünür: “postfix/smtpd[12345]: warning: unknown[192.168.1.100]: SASL LOGIN authentication failed: authentication failure”. Bu satır, IP adresi, auth yöntemi (SASL LOGIN) ve sonucu gösterir. Log seviyelerini syslog.conf ile mail.info veya mail.warn olarak ayarlayarak detay seviyesini kontrol edebilirsiniz. Bu sayede, sunucunuzun auth trafiğini tam olarak anlayabilir ve raporlama araçlarıyla entegre edebilirsiniz.
SMTP Auth Log Yapılandırması
Postfix Sunucusunda Log Etkinleştirme
Postfix tabanlı bir mail sunucusunda SMTP Auth log’larını etkinleştirmek için öncelikle main.cf dosyasını düzenleyin. smtpd_sasl_auth_enable = yes ve broken_sasl_auth_clients = yes parametrelerini ekleyin. SASL entegrasyonu için Cyrus SASL veya Dovecot SASL kullanın; örneğin, /etc/postfix/main.cf’ye smtpd_sasl_type = dovecot ve smtpd_sasl_path = private/auth satırlarını ekleyin. Ardından postfix reload komutuyla değişikliği uygulayın. Log’ları ayrıştırmak için syslog-ng veya rsyslog’u yapılandırın: /etc/rsyslog.d/mail.conf dosyasına mail.* /var/log/mail.log yönlendirmesi yapın. Bu adımlar, auth işlemlerinin tam loglanmasını sağlar ve test için telnet ile smtp sunucusuna bağlanarak “EHLO test”, “AUTH LOGIN” komutlarını deneyin; log dosyasında anında kayıt göreceksiniz.
Log Döndürme ve Saklama Politikaları
Log dosyalarının büyümesini önlemek için logrotate aracını kullanın. /etc/logrotate.d/postfix dosyasına haftalık döndürme, 52 hafta saklama ve sıkıştırma kuralları ekleyin: /var/log/mail.log { weekly rotate 52 compress delaycompress missingok notifempty postrotate /etc/init.d/rsyslog reload >/dev/null endscript }. Bu politika, depolama alanını optimize eder ve yasal uyumluluk için eski log’ları korur. Ayrıca, merkezi log yönetimi için ELK Stack (Elasticsearch, Logstash, Kibana) entegrasyonu önerilir; Logstash filtreleriyle auth log’larını parse ederek görselleştirin. Pratikte, bu yapılandırma ile aylık 10 GB’lık log hacmini yönetebilirsiniz.
SMTP Auth Log Analizi ve Sorun Giderme
Log analizine başlamak için grep komutunu kullanın: grep “auth.*failed” /var/log/mail.log | wc -l ile başarısız deneme sayısını sayın. Yaygın sorunlar arasında 535 Authentication failed (yanlış şifre) ve 554 Relay access denied yer alır. Brute-force tespiti için awk ile IP bazlı sayım yapın: awk ‘/auth.*failed/ {print $10}’ /var/log/mail.log | sort | uniq -c | sort -nr | head -10. Bu komut, en çok başarısız deneme yapan IP’leri listeler ve fail2ban gibi araçlarla otomatik ban uygulayabilirsiniz.
Yaygın Hata Kodları ve Çözümleri
535 hatası için kullanıcı şifrelerini pwck ile doğrulayın ve SASL veritabanını güncelleyin (postmap /etc/postfix/sasl_passwd). 450 hatası greylisting kaynaklıysa, postgrey’yi devre dışı bırakın veya whitelist ekleyin. Örnek çözüm: Bir IP’den 50+ başarısızlık varsa iptables -A INPUT -s IP -j DROP ile bloklayın. Fail2ban jail.local’da [postfix-sasl] sekmesini etkinleştirerek otomatikleştirebilirsiniz. Bu adımlar, sunucu yükünü %30 azaltabilir.
Gelişmiş Analiz Araçları
GoAccess veya Logwatch gibi araçlarla haftalık raporlar üretin. Logwatch /etc/cron.daily/logwatch ile auth özetleri gönderir. Daha derin analiz için Splunk veya Graylog entegrasyonu yapın; regex filtreleriyle “SASL (LOGIN|PLAIN) authentication failed” pattern’lerini yakalayın. Pratik takeaway: Günlük tail -f /var/log/mail.log | grep auth ile canlı izleme yapın ve threshold’ları belirleyin (saatte 5+ başarısızlık = alarm).
Sonuç olarak, SMTP Auth log’larını etkin yönetmek, mail sunucunuzun güvenliğini ve performansını doğrudan artırır. Düzenli yapılandırma, analiz rutinleri ve otomasyon araçları ile proaktif bir yaklaşım benimseyin. Bu pratikler, kurumsal ölçekte kesintisiz e-posta hizmetini garanti altına alır ve olası tehditleri minimize eder. Uygulamaya hemen başlayarak log’larınızı inceleyin ve sisteminizi güçlendirin.