Dovecot. Кто удаляет письма?

[El Scorpio]

обрый день.
В локальной сети организации есть почтовый сервер, который собирает входящую почту из нескольких почтовых ящиков на публичных серверах (яндекс, майл и т.д.) и выполняет отправку исходящей почты через эти почтовые ящики.

На этом почтовом сервере зарегистрировано несколько внутренних почтовых ящиков для разных отделов. В том числе один "общий" почтовый ящик, в который выгружается вся почта, поступающая на официальный e-mail организации. Почему так? Потому что "официальный" адрес выдали только один

На рабочих местах используется Thunderbird.
На почтовом сервере - связка Postfix и Dovecot.

До недавнего времени всё было нормально. Каждый специалист отправлял свою почту, а потом находил "в общей куче" ответы на свои письма. Секретов у специалистов друг от друга не было, и никто никому никаких проблем не создавал.
Однако с недавнего времени началось творится странное. Кто-то (или что-то) начал удалять почту в массовом порядке. Благо почта при этом просто уходила в папку "Удалённые" почтового ящика, откуда её быстро возвращали обратно.

Один раз - случайность. Два раза - совпадение. Три раза - вредительство.



Нашёл на просторах интернетов следующие настройки, которые вписал в соответствующие разделы конфига

Код: [Выделить]

protocol imap {
  mail_plugins = $mail_plugins mail_log notify
 
}
protocol pop3 {
  mail_plugins = $mail_plugins mail_log notify
 
}
protocol lda {
  mail_plugins = $mail_plugins mail_log notify
  #  %$ - Delivery status message (e.g. "saved to INBOX")
  #  %m - Message-ID
  #  %s - Subject
  #  %f - From address
  deliver_log_format = from=%f subj=%s msgid=%m: %$
 
}

plugin {
  # Events to log. Also available in v1.2+: flag_change append
  mail_log_events = delete undelete expunge
  # Group events within a transaction to one line.
  # Если группировка не нужна, то комментируем, пустой не оставляем
  #mail_log_group_events =
  # Available in v1.1+: uid, box, msgid, size, vsize
  # Available in v1.2+: from, subject, flags
  mail_log_fields = uid box msgid size from subject flags
}

Теперь при удалении письма в mail.log пишется следующее:

c 23 13:23:49 webserver dovecot: imap-login: Login: user=<syslogger>, method=PLAIN, rip=172.25.46.63, lip=172.25.46.127, mpid=8806, TLS, session=<YjAuQIgnaACsGS4/>
Dec 23 13:23:52 webserver dovecot: imap(syslogger): delete: box=INBOX.Brother, uid=815, msgid=, size=3380, from=mfu-jurist@arktika.local, subject==?ISO-8859-5?Q?=BE=E2=E7=D5=E2 =ED=DB.=DF=DE=E7=E2=EB?=, flags=(\Deleted \Seen NonJunk)

То есть в строке протоколирования команды удаления письма выводится только имя пользователя без адреса/имени компьютера.
При этом строка протокола с логином может отставать по времени от строки с удалением. И кто-то ещё в это время может логин сделать. То есть принцип "кто последний - тот и папа" гарантии 100% не обеспечивает.

Судя по комментариям, для поля mail_log_fields указанное значение вроде бы как даже вообще не предусмотрено

Или всё же можно ли как-то добавить это значение?

[AnrDaemon]

Простите, а вы точно полностью прочли строчку? Я вот вижу там и адрес удалённого компьютера, и локальный адрес, на который он подключился.
Больше того, я вижу конкретную сессию, в которой произошло удаление!
А уж это то в доску уникальный идентификатор.

[El Scorpio]

Я вот вижу там и адрес удалённого компьютера, и локальный адрес, на который он подключился.

Повторяю: между строчкой подключения и строчкой удаления письма может быть множество других событий, включая подключения с других компьютеров.

Больше того, я вижу конкретную сессию, в которой произошло удаление!

Имеется в виду это: "dovecot: imap(syslogger):" в строке удаления?
Увы, все пользователи подключаются к общему ящику по одному общему логину/паролю.
А код сессии "session=<YjAuQIgnaACsGS4/>" из строки логина в сроке удаления вроде бы как нигде не отображается.

[AnrDaemon]

По сути, вы лечите следствие вместо того чтобы устранить причину.
Настройте доставку писем каждому в его собственный ящик, и проблема уйдёт как класс.

[El Scorpio]

Настройте доставку писем каждому в его собственный ящик, и проблема уйдёт как класс.

У нас один публичный почтовый адрес, организованный на вышестоящем сервере.
И обеспечить автоматическую сортировку входящей почты при загрузке невозможно.

Опять же очень часто бывают ситуации, когда Иванову для работы нужно письмо, которое отправляли Петрову.
При этом оба владеют компьютером на уровне "изрядно ниже среднего" (наше предприятие находится в сельской местности )

Проблем до недавнего времени не было. Все работали, и никто никому не мешал.

[AnrDaemon]

Never say "never".
Всё возможно. (Хотябы потому, что у меня именно такая схема работает уже лет десять.)