Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 27 subscribers
  • Views 2490 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Log evtl. nicht komplett?

Nap

Hallo zusammen!

 
mir ist aufgefallen das in unseren archivierten SMTP Logs ab und zu mal manche Einträge etwas gekürzt sind. Vermehrt tritt das auf, wenn im Betreff der Mail irgendein "besonderer" Charset dabei ist.
 
Hier ein mal die "erwartete" Zeile:
2019:03:01-09:21:16 lmeineTolleUTM smtpd[32550]: SCANNER[32550]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="XXX.XXX.XXX.XXX" from="X@extern.X" to="X@intern.X" subject="irgend ein Betreff" queueid="1gzdPw-0008T0-Dq" size="95423"
 
Zeile mit Fehler:
2019:02:19-21:34:07 lmeineTolleUTM smtpd[22768]: SCANNER[22768]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="XXX.XXX.XXX.XXX" from="X@extern.X" to="X@intern.X" subject="任何科目
 
Ich wollte mal alle eingehenden Mails mit einem Script analysieren aber blöderweise ist diese Zeile mit dem "subject" die aussagekräftigste und kaputt :/
 
Kann das mal jemand bei sich nachschauen damit ich weiß das es nicht nur bei "meiner" UTM so ist?
 
Grüße,
Nap
 


This thread was automatically locked due to age.
  • 0

    Other things to check:

    1. Is there a continuation line?    UTM wraps lines longer than 1000 characters?
    2. Is your analysis script seeing a line terminator that is not intended, as a result of the foreign character set?

    Or you might have found a bug.   If it is neither of these two possibilities, then you should open a case with them to get it documented.

  • 0 in reply to DouglasFoster

    1: it's at random lenghts but cuntinously after the subject

    2: i built an exeption for this cases and searched for them in the raw log. nothing hidden there :/

    i just wanted to check that im not the only one before i submit this as an official bug

  • 0

    Hab eben mal gesehen das es bei der Software UTM von mir nicht so ist. Da gehen aber bei weitem nicht so viele Mails drüber wie bei den Appliances in der Firma. Sind außerdem 2x 550ziger Kisten... ob das beim Zippen der Logs passiert?
    Ein Log in der Firma ist gerne mal ~150MB größ und das "daheim" nur 10MB oder so...

  • 0

    Hallo Nap,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    After one of the shortened lines, continue down below it and I bet you find a line with the related queueid and size.  Any luck with that?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0

    I checked two UTMs that do Mail Protection and never saw a shortened line like the one in your first post above.  Looking again, I see that the break occurs inside the subject, not after the closing quote: subject="任何科目

    This make me think that the next character is seen by the logger as an end-of-line.  What was that next Chinese character?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Solange die noch nicht Archiviert wurden sind ja noch die ganzen Infos in der einen Zeile. Hab aber genug Beispiele die auch mit einer Zahlenkombination enden. Zumindest im UTM Log.

    Und es ist wohl auch mit "הודעת חריגה" irgendwas falsch (also Hebräisch) bzw. "エクセプション通知" (Jap.), "изключение" (Bulg.), "Ειδοποίηση" (Griechisch), "Notificação" (Porto.)...
    Hab auch Französische Mails entdeckt...alles was halt irgendwie abweicht von dem "Latin"-Standart.

    Das oben war einfach mal ein Beispiel (aber ich sehe unser Mailverkehr ist sehr einseitig was den Betreff angeht^^), ist aber jetzt auch nur ein Ausschnitt vom Betreff damit ich nicht zu viele Infos breit trete...