[Postfix-es] indentificar bcc

Israel Perez Torres iperez en pacificstar.com.mx
Mar Mayo 8 23:08:52 CEST 2007 

Perdon pero creo que no me di a entender: supongamos que tengo la sospecha
que un usuario esta enviando correos como bcc de informacion confidencial a
alguien fuera de la empresa,  al buscar los mensajes que ha enviado este
sujeto en las ultimas semanas veo que en todos los registros del log me
aparecen una o mas direcciones a quien envia sus mensajes, pero con esta
informacion no puedo determinar si alguna de estas direcciones fueron
marcadas como bcc desde el cliente de correo, ya que en el log muestra de la
misma manera las direcciones marcadas como bcc y las que no fueron marcadas
como bcc.

La unica diferencia que he podido detectar es que al recibir el mensaje
postfix lo pasa al amavis y luego al entregarlo a los buzones o al servidor
remoto en cuestion ahi se puede observar una direccion mas de entrega.

Dejenme intentar recrear esto:

el usuarioA en midominio.com crea un correo desde su cliente para
usuarioB en midominio.com, pero incluye una direccion mas de entrega marcada
como bbc a usuarioX en otrodominio.com, usuarioA envia el correo y fin de la
historia para el.

yo tengo sospechas que el usuarioA esta haciendo indebidamente envios de 
correos bcc,
entonces checo el log y veo lo siguiente:

May  8 15:49:39 miservidor postfix/smtpd[24933]: ED4CD9F80A4: 
client=unknown[0.0.0.0]
May  8 15:49:40 miservidor postfix/cleanup[24942]: ED4CD9F80A4: 
message-id=001401c791b1$00e4ebf0$960513ac en usuarioA
May  8 15:49:40 miservidor postfix/qmgr[15753]: ED4CD9F80A4: 
from=usuarioA en midominio.com, size=1468, nrcpt=2 (queue active)
May  8 15:49:41 miservidorl postfix/smtp[24953]: ED4CD9F80A4: 
to=usuarioX en otrodominio.com, relay=localhost[127.0.0.1], delay=2, 
status=sent (250 2.6.0 Ok, id=24198-08, from MTA([127.0.0.1]:10025): 250 Ok: 
queued as 47DB89F80AE)
May  8 15:49:41 miservidor postfix/smtp[24953]: ED4CD9F80A4: 
to=usuarioB en midominio.com, relay=localhost[127.0.0.1], delay=2, status=sent 
(250 2.6.0 Ok, id=24198-08, from MTA([127.0.0.1]:10025): 250 Ok: queued as 
47DB89F80AE)
May  8 15:49:41 miservidor postfix/qmgr[15753]: ED4CD9F80A4: removed

Como ven si me aparecen ambas direcciones pero como se cual de las dos fue 
marcada como bcc hay manera de saberlo?? por log o por cabeceras o por algun 
otro metodo??

Israel Perez Torres
Sistemas
Pacific Star - PFS de Mexico
Ofna. 01 (55) 3002 5920
Cel. 044 55 1081 8590
iperez en pacificstar.com.mx


----- Original Message ----- 
From: "Simon J Mudd" <sjmudd en pobox.com>
To: <postfix-es en lists.wl0.org>
Sent: Tuesday, May 08, 2007 3:06 PM
Subject: Re: [Postfix-es] indentificar bcc


> iperez en pacificstar.com.mx ("Israel Perez Torres") writes:
>
>> buenas tardes, saben si se puede determinar via el log de postfix
>> que correos incluyen entregas de copias ocultas (bcc), en el log de
>> postfix aparece las entregas a las direcciones marcadas como bcc
>> pero no hace ninguna diferenciacion con aquellas direcciones que no
>> son bcc??
>
> Creo que no hay manera de diferenciar. Quiza una solucion si la direccion
> que usas para el always_bcc no es unica es de utilizar un alias:
>
>
> always_bcc = always_bcc en midominio.com
>
> y
>
> /etc/postfix/virtual
>
> always_bcc en midominio.com     direccion_final en didominio.com
>
> De esta manera tendras una entrada cuando se entrega el mail:
>
> orig_to=<always_bcc en midominio.com>, to=<direccion_final en didominio.com>
>
> y esto si podrias reconocer.
>
> No he probado este metodo pero creo que debe funcionar.
>
> Simon
>
>


--------------------------------------------------------------------------------


_______________________________________________
List de correo Postfix-es para tratar temas del MTA postfix en español
Postfix-es en lists.wl0.org
http://lists.wl0.org/mailman/listinfo/postfix-es

Más información sobre la lista de distribución Postfix-es