メールサーバーの代替受信について

現在メールサーバー（qmail）を運用しているのですが、第三者が"受信したメールをサーバーに残す"等の設定をしてメールを受信している可能性があります。そういった場合その事実を特定することは可能でしょうか？もし可能ならばその人物もしくはIPアドレス、Macアドレスなどを特定することが可能でしょうか？

No.1 ベストアンサー 回答者： frfr 回答日時： 2004/11/26 17:43

qmailではなくsendmailの場合ですが同様と思いますので参考にしてください。

sendmailでは/var/spool/mail/ユーザー名に受信したファイルがあります。ユーザーが受信したメールをサーバーに残さずに読み出せばこのファイルはサイズが0になります。サーバーに残す設定をしていればユーザーがメールを読み出してもこのファイルのサイズは小さくなりません。

メールのログと/var/spool/mail/ユーザー名のファイルサイズを確認すれば「このユーザーはメールをサーバーに残す設定をしている」かどうかは容易にわかります。またメールのログにもたしか読み出した後に削除したメールの件数が表示されたはずです。（qmailではどうなのかは知りませんが、、）

メールのログを見ればそのユーザーのIPアドレスとホスト名はわかります。メールサーバーを管理しているのであればその「ユーザー名」を使用している人に関する他の情報をご存知のはずです。

No.3 回答者： hetarepyon 回答日時： 2004/11/27 00:54

qmail を Maildir 形式で運用していれば未読・既読は簡単に分かります。

ユーザの Maildir/ の下の new/ にある各ファイルが未読メール、cur/ の下にある各ファイルが既読メール、つまり『受信したメールをサーバーに残す』にした結果のメールになります。

それを読んだ人物、Mac アドレスに関しては分かるとは思えませんが、IP アドレスに関しては POP3 サーバのログと認証情報を付き合わせれば分かるでしょう。

この回答への補足

ご回答ありがとうございます。

>『受信したメールをサーバーに残す』にした結果のメール

というのはlogに第三者がメールを受け取った形跡が残ると考えてよろしいのでしょうか？

補足日時：2004/11/29 07:12

No.2 回答者： frfr 回答日時： 2004/11/26 18:00

ANo.1を回答したものです。

質問の趣旨を勘違いしていました。失礼しました。

まったくの他人が何らかの方法でパスワードを知ってアクセスしたとします。この場合はメールサーバーのアクセスログからアクセスした日時を「本人」に知らせて確認をとればそのアクセスが「本人」かどうか判明します。もしそのアクセスが「本人」のもので無い場合はログからアクセスした時のIPアドレスとホスト名がわかり利用しているプロバイダーがわかります。あとはプロバイダーの協力を得てその不正なアクセスをした本人を特定することになります。

家族や友人などでパソコンを複数で利用している場合は「第三者」がメールを盗み読みしてもその事実を特定するのは難しくなります。

この回答への補足

ご回答ありがとうございます。しかし、無線LANなどで他人の回線を借用された場合はお手上げですよね？きっと。違いますでしょうか？

補足日時：2004/11/29 07:10