postfix log中查询邮件主题

        默认postfix的log中只记录邮件的发信人，收信人，时间，投递状态，有时候要查一封邮件,只有发信人、收信人、时间等信息往往不能准确确定。需要结合邮件主题来判断，因此需要在log中打开对日志的记录
      postfix在配置文件main.cf中加上

header_checks = regexp:/etc/postfix/header_checks

      然后编辑/etc/postfix/header_checks,加入
    

  /^Subject: (.*)/   WARN

      postfix reload之后在log中就有主题了。
      部分log如下

      Jun  6 09:12:53 95 postfix/cleanup[8864]: 348D1341C4: warning: header Subject: 4 FREE blue pills with EVERY order from unknown[189.31.216.241]; from=< [email protected]> to=< [email protected]> proto=ESMTP helo=<189-31-216-241.mganm703.dsl.brasiltelecom.net.br>
      Jun  6 04:20:30 95 postfix/cleanup[3583]: D52B03447F: warning: header Subject: =?gb2312?B?UmU60dC3oqGsvLC8vMr1yMvUsbyo0Ke/vLrLoarT67ykwPjPtc2z?= vzhgz from unknown[59.41.82.211]; from=< [email protected]> to=< [email protected]> proto=ESMTP helo=<casc44.com>

       如上，会发现，英文主题可以直接显示，而中文主题则是乱码，这是因为邮件头中的主题不是明文，而是经过base64编码过的，要查看信息，需要对编码信息进行解码。
       需要说明的是，编码方式有2种，一种叫QP，一种叫MIME:base64.

       目前在MIME编码标准下公认的两种编码方式分别是Base64编码和QP（Quote-Printable）编码。另外，Internet上还有几种编码是HZ编码、UTF-7编码和UTF-8编码。
（1）Base64编码
Base64的编码规则是将整个文件重新编码成7位以适用于传送二进制文件。具体来说是将字符流顺序放入一个24位的缓冲

区（缺字符的地方就补零），然后再将缓冲区截断成为4个部分（高位在前），每个部分6位，并用下面的64个字符重新

表示：“ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/”。如果输入只有一个或两个字节，

那么输出将用等号“=”补足，这样的编码方式可以有效隔断附加信息对编码造成的混乱。这就是Base64编码。
（2）QP（Quote-Printable）编码
QP编码的规则是，对于资料中的7位字符不作重新编码，而是仅将8位的数据转成7位即可。我们可以看到，QP编码是字符

对应的编码，每个未编码的二进制字符都会被编码成3个字符，即一个等号加上两个该字符的16进制值，如“=A8”，但

这样的编码数为1:3，所以编码效率相对于其它编码方式而言相当低。但不可否认的是，这种编码方法非常简单，特别适

合那些数据大多数是7位的ASCII码文本、偶尔插入8位字母的情况，但遗憾的是对汉字编码效果不够好，因为每个双字节

汉字经过编码后会变成6个字节。

 

用metamail带的mmencode可以对编码进行解码

[@95.161 ~]# rpm -qa metamail
metamail-2.7-2

     解码前要先去掉前面的字符集的字段=?gb2312?B?

[@95.161 ~]# echo "UmU60dC3oqGsvLC8vMr1yMvUsbyo0Ke/vLrLoarT67ykwPjPtc2z?= vzhgz" | mmencode -u ; printf "\n"
Re:研发‖及技术人员绩效考核―与激励系统

 

  
   如果复制过来的字符不完整可能会出现Warning: base64 decoder saw premature EOF!
metamail包比较古老了，现在的发行版上基本没有，需要去网上搜索对应的包来安装。如果不想安装，也可以用perl脚本。

     附上脚本源代码

perl脚本1

#!/usr/bin/perl
# Convert Base64 Or Quoted-printable TO Text
    $a = $ARGV[0];

if ($a=~/=\?[\w-]+\?B\?(.*)\?=$/) {
   use MIME::Base64;
   $a = decode_base64($1);
}

if ($a=~/=\?[\w-]+\?Q\?(.*)\?=$/) {
   use MIME::QuotedPrint;
   $a = decode_qp($1);
}

#open(OUTFILE, ">;/tmp/list.log");
#print OUTFILE $a;
#close(OUTFILE);

print "\n";
print $a;
print "\n";
exit(0);

脚本2

#!/usr/bin/perl
    $sub=$ARGV[0];
    if ($sub=~ /=\?\S+\?\l(\S)\?/) {
      if ($1 =~ /[Qq]/) {
        $sub=decode_qp($sub);
      }
      elsif ($1 =~ /[Bb]/) {
        $sub=decode_base64($sub);
      }
    }
    elsif ($sub=~ /=[a-fA-F0-9][a-fA-F0-9]/) {
      $sub=decode_qp($sub);
    }
    $subject.=$sub;
print "\n";
print $subject;
print "\n";
sub decode_qp {
        my($string) = @_;
        @buffer=split(/\?/,$string);
        $string = $buffer[3] if ($buffer[3] ne "");
        $string =~ s/=([\da-fA-F]{2})/pack("C", hex($1))/ge;
        $string =~ /\?=(.*)/;
        $string =~ tr/_/ /;
        $buffer[4]=~s/^=//;
        $buffer[0]=~s/=$//;
        $string="$buffer[0]$string$buffer[4]";
        return($string);
}

sub decode_base64 {
        my($string) = @_;
        my($string2);
        @buffer=split(/\?/,$string);
        $string = $buffer[3] if ($buffer[3] ne "");
        $string =~ s/=+$//;
        $string =~ tr|A-Za-z0-9+/| -_|;
        while($string =~ /(.{1,60})/gs) {
                my($string3) = chr(32+length($1)*3/4);
                $string2 .= unpack("u",$string3 . $1 );
        }
        $buffer[4]=~s/^=//;
        $buffer[0]=~s/=$//;
        $string2="$buffer[0]$string2$buffer[4]";
        return($string2);
}

两个脚本功能是一样的，随便用其中一个都可以 

 

     脚本1调用了perl模块，使用前最好检查一下对应的模块是否安装了
     

[@95.161 ~]# perldoc -l MIME::Base64
/usr/lib/perl5/5.8.5/i386-linux-thread-multi/MIME/Base64.pm

      如果没有安装对应的模块会提示No documentation found for "MIME::Base64"

      可以用下面命令安装

     

perl -MCPAN -e 'install MIME::Base64;'

      如果已经设置了语言环境(export LANG=zh_CN)，则简体中文的信息可以直接显示
      但是有时候邮件是采用其他字符集编码的，如utf-8,big5等，要进行编码转换

    

iconv -f utf8 -t gb13030

 

 

以上命令可以组合成脚本，方便查询