Existe un archivo de log que registrará todos los accesos a las cuentas de correo, con detalles sobre el protocolo utilizado, IP desde la que se accede, método, etc.
Puede acceder a este archivo a través la siguiente ruta: var/log/maillog
Por ejemplo, puede ver todo su contenido con el siguiente comando:
cat etc/log/maillog
Esto le desplegará toda la información que ha recopilado desde su última rotación.
Ahora, para interpretar estos, se tratará el ejemplo a continuación:
Sep 19 10:56:59 s811 dovecot: pop3-login: Login: user=<ejemplo@netuy.net>, method=PLAIN, rip=221.229.218.50, lip=10.11.1.111, mpid=887006, session=<nqDOiVnMB5XRVaYW>
Lo primero a destacar es la fecha, gracias a esta puede filtrar según el intervalo que quiera ver, la misma se detalla inicialmente con un formato de 3 letras representando el Mes en inglés, en este caso, corresponde a Sep (September); siguiendo con el ejemplo, se puede observar el día en forma de número (19) y, por último, la hora en formato hh:mm:ss (10:56:59).
Posteriormente a la fecha se puede observar el servidor (s811) y el servidor de correo (Dovecot) junto al protocolo que se utilizó en la configuración de la cuenta (POP3).
Una de las partes más importantes es la del usuario (user), ya que sabrá a que cuenta se ingresó, en este caso corresponde a “ejemplo@netuy.net”.
Podremos observar también el Método utilizado (PLAIN) y otra de las partes a destacar, la IP (221.229.218.50), gracias a esta podremos dar con la geolocalización, información de utilización de la misma y/u otros aspectos.
Si se dirige a una página que guarde las ip’s maliciosas e ingresa la IP desde la que se conectaron a la cuenta ejemplo@netuy.net, podrá darse cuenta que es una IP maliciosa, reportada por otros usuarios.
En estos casos, lo más recomendable sería bloquear la IP lo antes posible.
Para esto puede dirigirse a su WHM y buscar “Security & Firewall”, ingresar en dicha sección y buscar la opción “Firewall Deny IPs”
Esto le abrirá un editor de texto, donde deberá de ingresar la IP y por último presionar el botón “Change”, esto le llevará a otra sección donde deberá de confirmar el reinicio del firewall cliqueando sobre “Restart csf+lfd”