Está en la página 1de 2

TRACKING DE CORREO IRONPORT ANTISPAM (ESA)

ICID (inyeccin de ID de conexin): Cuando un host remoto establece una conexin con
el applaince, esa conexin se le asigna un ICID. Una ICID puede generar muchos MIDS.
Nota: Un 'ICID 0' define un mensaje que se inyect a s mismo. De hecho, el nmero 0
despus de un ICID o DCID se refiere a las sesiones abiertas hacia o desde la direccin
local del dispositivo.
MID (ID de mensaje): Una vez que se establece una conexin, cada comando SMTP
"mail from:" crea un nuevo MID. Un MID solo puede generar muchos RID
RID (identificador del destinatario): Cada destinatario (Para: CC: o CCO:) recibir un
RID. RID slo generan multiples DCIDs si hay rebotes (error de conexin).
DCID (Entrega conexin ID): Cada destinatario que va al mismo dominio como destino
tendr la misma DCID. Si por el contrario, cada RID va a un dominio separado, entonces
habr un DCID para cada RID.
Nota: 'DCID 0' A define un mensaje que nunca se envi. De hecho, el nmero 0 despus
de un ICID o DCID se refiere a las sesiones abiertas hacia o desde la direccin
local del dispositivo.

MECANICA PARA TRACKING DE CORREO


1-Se necesita la siguiente informacin:
-Quien envia el correo ( From)
-A quien va el correo (To)
-Asunto (Subject)
-Dia y hora
-Correo Rebote si es que existe
(Machine esa-1l)> grep -t aaaaa@gmail.com mail_logs //EL GREP PUEDE SER POR CASILLA; MIDXXXX;
ICIDXXXX; ETC
(Machine esa-1)> grep MID 1363690 mail_logs // COMO EN EL EJEMPLO DEBE SER CON COMILLAS
(Machine esa-1)> grep aaaaa@gmail.com mail_logs //CLIENTE ENVIO 1 MAIL MARCADO CON NEGRILLA,
SINO SE REPITE EL MISMO MID HACIA ABAJO CON SU DESTINATARIO RESPECTIVO.
Tue Dec 17 00:59:30 2013 Info: Start MID 1363690 ICID 10924561
Tue Dec 17 00:59:30 2013 Info: MID 1363690 ICID 10924561 From: <aaaaa@gmail.com >
Tue Dec 17 00:59:30 2013 Info: MID 1363690 ICID 10924561 RID 0 To: <617056869@qq.com>
Tue Dec 17 00:59:30 2013 Info: MID 1363690 Message-ID '<c6f2a617-e491-4d48-912b8f81949b06db@xxxxxx.cl>'
Tue Dec 17 00:59:30 2013 Info: MID 1363690 Subject '\xb7\xdc\xc1\xa6\xd2\xbb\xb2\xa9' //ASUNTO DEL
MAIL ENVIADO.
Tue Dec 17 00:59:30 2013 Info: MID 1363690 ready 916 bytes from < aaaaa@gmail.com >
Tue Dec 17 00:59:30 2013 Info: MID 1363690 matched all recipients for per-recipient policy DEFAULT in the
outbound table
Tue Dec 17 00:59:30 2013 Info: MID 1363690 interim verdict using engine: IMS spam positive
Tue Dec 17 00:59:30 2013 Info: MID 1363690 using engine: IMS spam positive //SE DETECTO COMO SPAM

Tue Dec 17 00:59:30 2013 Info: Message aborted MID 1363690 Dropped by IMS //FUE DROPEADO
Tue Dec 17 00:59:30 2013 Info: Message finished MID 1363690 done

Nota:

(Machine esa-1)> tophosts


(Machine esa-1)> nslookup XXXX.XX mx
(Machine esa-1)> telnet mail.XXXX.XX 25

(Machine esa-1)> findevent //COMANDO SIMILAR AL GREP Y SIGUES LAS OPCIONES QUE TE INDICA
INGRESANDO NUMERO DE ESTA
Please choose which type of search you want to perform:
1. Search by envelope FROM
2. Search by Message ID
3. Search by Subject
4. Search by envelope TO
(Machine esa-1)> telnet mailfft1.xxx.cl 25
(Machine esa-1)> clustermode
Choose the configuration mode for subsequent changes.
1. Cluster
2. Group
3. Machine
[3]> 3
Choose a machine.
1. esa-1
[1]> 3
(Machine esa-1)>
(Machine esa-1)>ifconfig
(Machine esa-1)> grep -t ironport@xxx.cl mail_logs
(Machine esa-1)> grep MID 279459 mail_logs
( Machine esa-1)> ifconfig
Currently configured interfaces:
1. Data 1 (10.1.1.132/24 on Data 1: esa-1.xxx.cl)
2. Management (10.25.1.83/27 on Management: mgm.xxxx.cl)