Capitolo 8. Modulo POP3

Sommario

Info
Avanzate
Server
Regole di accesso
Filtro email
Avanzate
Filtro sugli Header
Filtro sugli Allegati
AntiVirus
AntiSpam
AntiPhishing
Quarantena
Visualizzatore Log

Il modulo POP3 viene utilizzato per filtrare le mail che i client di posta scaricano da uno o più server POP3. In questa sezione verranno forniti i dettagli sul significato dei vari parametri di configurazione. Se si desidera un'introduzione generica al modulo POP3 vedere Capitolo 7, Funzionamento del modulo POP3.

Info

La sezione Info presenta un riepilogo dello stato del modulo:

  • Stato: Lo stato del modulo può essere: Disabilitato, Fermo, Avviato o In avvio.

  • Data di avvio: L'ultima volta che il modulo è stato avviato.

  • Dimensioni file di log: Spazio occupato su disco dal file .log.

  • Dimensioni file comandi processati: Spazio occupato su disco dal file comandi (estensione .lcd).

  • Dimensioni file di debug: Spazio occupato su disco dal file con le informazioni di debug (estensione .err).

Ogni modulo, quando avviato, registra le informazioni relative al proprio funzionamento su tre file che portano il nome del modulo stesso ed estensioni (.log, .lcd e .err) dipendenti dal tipo di dati che raccolgono. Ogni giorno, ad un orario stabilito (che può essere variato a piacere) i file vengono rinominati e viene aggiunta la data corrente nel nome del file e poi viene creato un nuovo file senza data per il nuovo giorno. In questo modo i file si accumulano giorno per giorno e possono essere facilmente identificati dalla data che hanno nel nome stesso. Per default la rotazione avviene alle 23.58, quindi il file rinominato avrà la data corrente e tutte le informazioni relative a quel giorno (almeno fino alle 23:58) e gli ultimi 2 minuti del giorno precedente. In questo modo si otterranno dei file con riportata nel nome una data e all'interno di essi tutti i log relativi alla data indicata nel nome.

Nella parte inferiore della sezione è possibile accedere alle statistiche del modulo nell'ultima ora, giorno e settimana. Viene fornito un riassunto grafico delle attività del modulo, in modo da riconoscere immediatamente eventuali picchi di traffico, oltre al valore minimo, massimo e medio dell'attività visualizzata. "Tipo" specifica la caratteristica del modulo che si vuole visualizzare e "Intervallo" l'intervallo temporale che si desidera considerare nella statistica. "Visualizza statistiche" mostra le statistiche desiderate.

Avanzate

Significato dei parametri disponibili:

  • Durata massima di una connessione: durata massima in secondi di una connessione. Un valore pari a 0 indica un tempo infinito

  • Durata massima di una connessione inattiva: tempo massimo in secondi dopo il quale una connessione viene terminata se non vengono ricevuti dei dati.

  • Livello di debug: regola la quantità di log che viene generata dal modulo (file .err). Più piccolo è tale valore, minori sono le informazioni registrate. Tipicamente si aumenta il livello di debug in fase di diagnostica per capire la causa di un problema.

  • Consenti host per cui non esiste il nome: può capitare che eXtensiveControl® debba eseguire una query DNS inversa da indirizzo IP a nome per applicare la politica di accesso definita nella sezione Regole di accesso. Questo accade ad esempio se si imposta una politica basata sui nomi delle macchine piuttosto che sui loro indirizzi IP. Se la conversione fallisce la connessione viene rifiutata a meno che questo flag non venga impostato.

  • Separatore account/server: carattere utilizzato per separare username e server POP3, è usato quando l'utente vuole connettersi a più server POP. Vedere anche la sezione chiamata «Server» e la sezione chiamata «Configurazione del modulo POP3»

  • Abilita comando TOP: il comando TOP viene utilizzato quando il client di posta desidera scaricare solo parte del messaggio (ad esempio per prendere visione dell'intestazione ed eventualmente evitare di scaricare messaggi di grandi dimensioni se si ha il sospetto che sia posta indesiderata).

Dopo avere cambiato la configurazione per salvare le modifiche è necessario premere il pulsante Salva. Il pulsante "Annulla le modifiche" effettua una rilettura della configurazione presente su disco cancellando così le modifiche inserite e non ancora salvate.

Server

I server vengono utilizzati per associare ad un dato modulo uno o più indirizzi e porte di ascolto. Quando un client deve utilizzare un modulo per accedere ad un dato servizio deve infatti conoscere l'indirizzo e la porta TCP a cui connettersi per inviare le richieste. Tali parametri vengono configurati in questa sezione e sono specifici per ogni modulo. È importante fare attenzione all'utilizzo delle porte sulla macchina, poiché non è possibile permettere a due o più applicazioni di condividere la stessa coppia indirizzo/porta di ascolto. In particolare i moduli possono presentare dei malfunzionamenti qualora la coppia indirizzo/porta specificata come server sia già in uso da qualche altro processo. Se questo accade occorre cambiare i parametri associati al modulo, oppure le impostazioni dell'altro processo. Tipicamente il problema si risolve cambiando uno dei parametri in questione e riconfigurando i client che utilizzano quel servizio in modo da aggiornarli al cambiamento. Se è necessario cambiare un indirizzo IP ma la macchina ha una sola scheda di rete con un solo indirizzo IP associato, bisognerà aggiungere altri indirizzi alla scheda (e quindi alla macchina) attraverso le impostazioni di rete di Windows (sezione avanzate).

Nel modulo POP3 è possibile definire anche un server di default per ogni server. Il server di default viene utilizzato quando si desidera impostare un unico server di riferimento che gli utenti possono utilizzare per prelevare la posta. Nel caso invece si voglia utilizzare più di un server, allora è necessario lasciare vuoto tale campo e impostare nella sezione Avanzate il Separatore account/server (se non si vuole utilizzare il valore di default "/"). In quest'ultimo caso l'utente può infatti indicare l'host al quale vuole effettuare la connessione utilizzando come username la forma account/server (il carattere "/" deve essere sostituito dal carattere configurato in Separatore account/server), dove account indica il nome utente e server l'indirizzo o il nome del computer sul quale è installato il server POP3.

Il menu Server presenta le seguenti azioni:

  • Modifica: Permette di alterare una voce già inserita nella lista.

  • Inserisci: Permette di aggiungere una voce alla lista dei server. Ogni voce consiste in un indirizzo IP di ascolto e di una porta.

  • Rimuovi: Permette di eliminare una voce dalla lista.

  • Rimuovi tutto: Permette di eliminare tutte le voci dalla lista.

Regole di accesso

Le regole di accesso, note anche come ACL (Access Control List), vengono impiegate per impostare le policy di utilizzo del protocollo POP3. In particolare è possibile stabilire, per quel che riguarda il modulo POP3, chi può scaricare la posta elettronica, da quale server e in quale fascia del giorno.

Alla base del funzionamento delle ACL ci sono alcune regole che devono essere assimilate per poter configurare correttamente il modulo: in particolare è di fondamentale importanza capire le precedenze con cui queste regole vengono applicate.

Le ACL sono liste di voci ognuna delle quali è una coppia (condizione, azione). Quando la condizione viene verificata (match) l'azione associata viene eseguita. Esempi di condizioni possono essere: uno o più indirizzi IP di client che si possono collegare, server che gli utenti possono raggiungere, un particolare intervallo temporale nell'arco della giornata o anche combinazioni più complesse.

Le azioni associate invece possono essere solo "Permetti" o "Blocca". Quando un particolare client si collega al modulo per richiedere un servizio, la lista delle voci viene scorsa dalla prima in avanti e se una di esse ha una condizione che risulta verificata l'azione associata viene eseguita. Il risultato ottenuto è quello di avere la richiesta del client accettata (e quindi il modulo procede a fornire quanto richiesto) oppure rifiutata: in tal caso il client ottiene come risposta un messaggio di errore che lo informa che la richiesta non può essere soddisfatta.

L'ordine con cui vengono inserite le voci è importante poiché la prima condizione verificata è quella che stabilisce se la richiesta del client può essere o meno soddisfatta.

Se nessuna delle voci della lista è applicabile esiste un'ultima voce implicita la cui condizione assorbe tutto, che ha come regola associata un "Blocca". In altre parole, se non vi è nessun match nelle condizioni definite dall'utente, la risposta è un rifiuto. Se si desidera invertire il comportamento ed avere un default "Permetti", cioè accettare tutto ciò che non viene esplicitamente vietato, è sufficiente inserire una voce in ultima posizione la cui condizione assorbe tutto e la cui azione associata è un "Permetti".

Le condizioni che possono essere espresse all'interno della lista dipendono da quale modulo esse sono associate. Ad esempio nel caso del filtro web sarà possibile esprimere come condizioni oltre agli indirizzi IP del sorgente e del destinatario anche (ad esempio) la tipologia del sito di destinazione. Questa opzione non è invece disponibile per il modulo POP3, perché in tale contesto priva di significato.

Selezionando "Regole di accesso" è possibile vedere la tabella con le voci che compongono la policy di accesso. Inizialmente tale tabella contiene una sola voce che permette tutto a tutti. Selezionando tale voce, la linea verrà evidenziata (sfondo giallo) e a questo punto sarà possibile modificarne i valori (tasto Modifica sul bordo superiore) oppure rimuoverla.

Affinchè i cambiamenti vengano recepiti deve essere riavviato il modulo (in quanto solo all'avvio i file di configurazione vengono letti).

Le voci sul bordo superiore "Inserisci sopra", "Inserisci sotto", "Sposta sopra" e "Sposta sotto" vengono utilizzate per inserire o cambiare l'ordine delle voci nella tabella.

Attraverso la voce "Modifica" o "Inserisci sopra"/"Inserisci sotto" è possibile accedere al pannello di editing delle voci della tabella.

Il pannello per l'editing della voce si divide in 5 sezioni: "Sorgente", "Destinazione" e "Intervalli temporali" per definire la condizione relativa a quella particolare voce della tabella, "Azione" definisce l'azione associata e "Commento" per inserire una nota esplicativa della regola.

  • Abilitazione o disabilitazione di una regola. È possibile abilitare o disabilitare una regola senza rimuoverla dall'elenco. Una regola abilitata è contrassegnata da una spunta verde mentre una disabilitata è indicata da una croce rossa. Cliccando sul simbolo è possibile cambiarne lo stato.

    Sorgente: Definisce l'insieme dei client che possono connettersi al modulo. È possibile definire l'insieme dei client attraverso il loro indirizzo IP, definendoli singolarmente come un insieme di 4 interi fra 0 e 255, oppure mediante una subnet cioè un insieme di indirizzi IP. La subnet si può definire mediante l'uso del carattere '*' che indica un valore qualunque compreso tra 0 e 255 in numero tale da formare un indirizzo IP valido: ad esempio 10.1.* indica un qualunque indirizzo IP avente come primi due numeri 10 e 1. Un insieme di indirizzi IP può essere rappresentato anche come intervallo, quindi è possibile scrivere 10.1.1.3-8 indicando così gli indirizzi 10.1.1.3, 10.1.1.4, 10.1.1.5, 10.1.1.6, 10.1.1.7 e 10.1.1.8. Oppure è possibile adottare la notazione NSC; ad esempio per indicare tutti gli indirizzi aventi come primi due numeri 10 e 1 si scriverà 10.1.0.0/16, dove il numero successivo al carattere "/" indica il numero di bit a 1 della subnet mask a partire da quello più significativo. Quindi se la subnet mask fosse 255.0.0.0 sarà 8; con 255.255.0.0 sarà 16; con 255.255.255.0 sarà 24 e con 255.255.255.255 sarà 32 (quindi l'indirizzo esatto che precede il carattere di "/"). Siccome ogni host oltre all'indirizzo IP può avere associato un nome, è possibile creare regole basate su questo. Utilizzando una simple expression o una più complessa regular expression è possibile riconoscere nomi aventi determinate caratteristiche (ad esempio *.example.com identifica un qualunque nome nel dominio example.com). Per avere maggiori informazioni riguardo simple expression e regular expression vedere Capitolo 9, Pattern matching. Se non si desidera imporre vincoli sulla sorgente, lasciare indicato "Tutti" nel box a fianco. Oltre all'host è possibile anche definire una porta, che sarà la porta utilizzata dal client per connettersi (solitamente i client utilizzano delle porte sorgenti sempre diverse, per questo motivo questa impostazione viene raramente utilizzata).

  • Destinazione: Analogamente alla sorgente; la destinazione consente di imporre vincoli sui server che il client può contattare attraverso il modulo mediante gli stessi formalismi.

  • Azione: L'azione definisce cosa fare nel caso la condizione venga soddisfatta. Le scelte sono due: "Blocca" o "Permetti".

  • Intervalli temporali: Permette di definire una fascia oraria in cui la condizione è valida. Il box sulla destra indica quale tipo di intervallo inserire e il box sulla sinistra indica la lista degli intervalli considerati.

  • Commento: In questo spazio l'utente può inserire un commento allo scopo di chiarire (ad esempio) il perché di una data voce.

Quando si termina l'editing della voce è possibile confermare il tutto con il tasto "Conferma" sul bordo inferiore del pannello, oppure annullare l'inserimento/modifica con il tasto "Annulla".

Filtro email

In questa sezione sono presenti tre sottosezioni principali. La sezione Avanzate parametrizza il comportamento dei filtri definendone dei parametri generici mentre le altre due definiscono i filtri applicati agli header e agli allegati. Ogni volta che arriva un messaggio viene prima applicato il filtro sugli header e poi quello sugli allegati.

Avanzate

La sezione Avanzate permette di definire dei parametri che modificano il comportamento dei filtri sugli header e sugli allegati. I parametri sono:

  • Disabilita controllo sul path assoluto: talvolta capita che nel messaggio il nome dell'allegato contenga riferimenti (path) assoluti. Se questa voce viene abilitata, il messaggio viene lasciato passare anche se questo accade, altrimenti viene bloccato dal filtro sugli allegati senza che le regole di quest'ultimo vengano applicate. In altre parole il controllo sul path assoluto ha la precedenza sulle regole associate al filtro.

  • Disabilita controllo sui nomi in Content-Type: esistono due campi per specificare il nome di un allegato nel formato MIME; se i due campi in questione sono in disaccordo, il messaggio viene lasciato passare solo se il box in questione è spuntato, altrimenti viene bloccato dal filtro sugli allegati prima di applicarne le regole.

  • Numero massimo di estrazioni ricorsive negli archivi: indica fino a che livello di ricorsività estrarre gli archivi (ad esempio .zip) che contengono altri archivi, che contengono altri achivi, etc...

  • Filtra anche il contenuto degli archivi: applica le stesse regole degli allegati anche al contenuto degli archivi. Per esempio, se si vietano le estensioni .doc, e se questa casella non è spuntata, un .doc all'interno di un file .zip non viene rilevato. Se tale opzione invece è attiva, allora il file viene riconosciuto.

  • Blocca file crittati: Quarantena tutti gli allegati crittati, anche se contenuti in un archivio.

Filtro sugli Header

Il filtro sugli header permette di eseguire determinate azioni in base al contenuto di header indicati.

Col pulsante Aggiungi è possibile inserire un numero a piacere di condizioni che dovranno essere tutte quante verificate affinché l'azione associata venga eseguita. Tali condizioni riguardano gli header del messaggio e sono:

  • To o Cc: viene verificato il campo "To"("A") e "CC" ("CopiaConoscenza") del messaggio.

  • Cc: campo "CopiaConoscenza" del messaggio.

  • Subject: campo "Oggetto" del messaggio.

  • Body: corpo del messaggio, si intende tutto ciò che non comprende gli header.

  • From: è il mittente dichiarato (non necessariamente quello reale) del messaggio.

  • To: campo "To" del messaggio.

  • Categoria link: verifica la presenza di link all'interno del messaggio relativi a siti di determinate categorie.

  • Libero: se si seleziona il suddetto campo sarà possibile digitare nel box che compare a fianco il testo che identifica il nome dell'header (può tornare utile quando si vogliono utilizzare header non supportati nativamente dal prodotto).

Ogni sottosezione accetta tre tipi diversi di input, vale a dire delle simple expression, delle regular expression e delle case sensitive simple expression. Se si desiderano informazioni sulla sintassi di questi costrutti, oppure avere una panoramica generale delle stesse vedere Capitolo 9, Pattern matching

Le possibili azioni associate a questo filtro sono:

  • Continua: vengono saltate le rimanenti regole e si passa al filtro successivo (che in questo caso è il filtro AntiVirus).

  • Elimina: il messaggio viene eliminato.

  • Permetti: il messaggio viene accettato e quindi viene inviato all'utente che sta scaricando la posta.

  • Quarantena: il messaggio viene trasferito nella sezione quarantena "email bloccate" e dovrà essere gestito dall'amministratore, che deciderà se rilasciarlo o eliminarlo.

Filtro sugli Allegati

Permette di filtrare i messaggi in base al contenuto degli allegati. Una volta selezionata una regola si passa a un pannello nel quale è possibile impostare oltre al "From" e al "To" una serie di condizioni ulteriori sul tipo di allegato. Da notare che in questo caso, a differenza del modulo SMTP, il "From" e il "To" si riferiscono ai dati dichiarati negli header. I pulsanti Aggiungi e Rimuovi permettono l'inserimento di condizioni aggiuntive alle regole presenti. Ogni condizione può essere del tipo:

  • From: la condizione è applicata al campo "From" dell'header del messaggio.

  • To: la condizione è applicata al campo "To" dell'header del messaggio.

  • Nome dell'allegato: la condizione è applicata al nome del file allegato.

  • Dimensione del messaggio: la condizione è applicata alla dimensione dell'intero messaggio, imponendo un vincolo sulla sua dimensione e richiedendo che sia più grande o più piccolo di un determinato valore.

  • Tipo dell'allegato: la condizione è applicata al tipo di file (apparirà a fianco una lista di tipi di file conosciuti). È importante ricordare che la tipologia viene dedotta dalla struttura interna del file e non dalla sua estensione.

Il filtro sugli allegati permette di effettuare le stesse azioni del filtro precedente (quello sugli header) e accetta la stessa forma di regular expression per la definizione delle regole.

Se nessuna delle condizioni in questa sottosezione viene verificata, il programma passa all'elaborazione del messaggio con il filtro successivo (in questo caso l'AntiVirus).

AntiVirus

Il filtro AntiVirus permette di bloccare le mail contenenti virus, worm o altro codice dannoso.

La sezione si compone di due sottosezioni: Generale ed Eccezioni. La sottosezione Generale è composta delle seguenti voci:

  • Controllo AntiVirus: spuntare questa casella per abilitare il controllo AntiVirus. Se manca la spunta le rimanenti opzioni perdono di significato e vengono pertanto ignorate.

  • Tempo massimo di scansione (sec.): se l'antivirus non restituisce una risposta entro il tempo specificato in questa casella, la mail viene considerata infetta.

  • Comando AntiVirus (con path): in questo box occorre digitare il nome dell'eseguibile che da linea di comando deve essere lanciato per effettuare la scansione antivirus.

  • Parametri del comando AntiVirus : in questo box è possibile digitare i parametri che si desiderano passare al motore antivirus quando viene avviata la scansione di un allegato.

La sottosezione Eccezioni permette di specificare uno o più indirizzi e-mail o domini che saranno esclusi dal controllo antivirus (quando presenti come destinazione). Se si specifica un dominio tutti gli indirizzi destinati al dominio o ad uno dei sottodomini verranno esclusi dal controllo (es: indicando example.com gli indirizzi user01@example.com e user02@under.example.com non saranno controllati).

Se eXtensiveControl® rileva la presenza di un AntiVirus supportato riempie automaticamente i campi Comando AntiVirus e Parametri del comando AntiVirus.

Se né il messaggio né gli allegati contenuti risultano infetti, l'analisi prosegue con il filtro antispam.

AntiSpam

La sezione si divide nelle seguenti sottosezioni:

  • Generale: Questa sottosezione si compone dei seguenti parametri:

    • Controllo AntiSpam: questa casella determina se il filtro antispam è attivo. Se questa casella non fosse spuntata il resto delle impostazioni perderebbe di significato.

    • Marcatore dello Spam inserito nel subject: Indica la stringa che viene inserita come prefisso nel subject dei messaggi riconosciuti come spam. Per default tale valore è "[SPAM]".

    • Soglia di Spam: Indica la soglia oltre la quale il messaggio è considerato spam.

  • Whitelist: si tratta di una lista di domini o indirizzi di posta dai quale i messaggi vengono automaticamente riconosciuti come buoni con un peso di spam pari a 0 (il valore minimo).

  • Backlist: si tratta di una lista di domini o indirizzi di posta dai quale i messaggi vengono automaticamente riconosciuti come spam con un peso di spam pari a 100 (il valore massimo).

  • Aggiornamento DB: questa sezione è un collegamento alla sezione Symbolic DB all'interno della voce AntiSpam della sezione Sistema e permette di effettuare un aggiornamento del database di spam, di pianificare il download in automatico e di configurare l'uso di un server proxy se è necessario per comunicare con Internet.

Il tasto Annulla le modifiche legge la configurazione correntemente presente sul disco cancellando le modifiche inserite fino a quel momento e non ancora salvate, mentre il tasto Salva scrive la configurazione impostata nel file di configurazione.

AntiPhishing

Questa sezione abilita il fitraggio antiphishing sulla posta scaricata ed è composta dalle seguenti sezioni:

  • Generale:

    • Controllo AntiPhishing: questo checkbox abilita il controllo AntiPhishing sul traffico POP3.

    • Marcatore del Phishing inserito nel subject: questo form permette di specificare il tag da inserire nel subject delle mail ritenute phishing.

  • Aggiornamento DB: questa sezione è un collegamento alla sezione Symbolic DB all'interno della voce AntiPhishing della sezione Sistema e permette di effettuare un aggiornamento del database, di pianificare il download in automatico e di configurare l'uso di un server proxy se è necessario per comunicare con Internet.

Il tasto Annulla le modifiche legge la configurazione correntemente presente sul disco cancellando le modifiche inserite e non ancora salvate, mentre il tasto Salva scrive la configurazione impostata nel file di configurazione.

Quarantena

La sezione di quarantena permette di gestire i messaggi che vengono bloccati e quarantenati da uno dei filtri applicati alla posta.

In questa sezione è possibile effettuare le seguenti azioni:

  • Rimuovi tutto: elimina tutti i messaggi che sono stati messi in quarantena.

  • Rimuovi tutti i messaggi infetti: cancella tutti i messaggi sicuramente infetti. I messaggi posti in quarantena dai filtri o per i quali il controllo antivirus non ha fornito il responso di sicuremente infetti non sono cancellati.

Sono presenti le seguenti sezioni:

  • Email bloccate: questa sezione mostra i messaggi che vengono messi in quarantena perché ritenuti infetti o perché bloccati dalle regole di filtraggio sugli header o sugli allegati. Le tre righe presenti permettono di cercare per: id del messaggio, coda di messaggi più recenti (mostra gli ultimi n messaggi, dove n viene inserito nel box a fianco), oppure mostra i messaggi ricevuti nelle ultime m ore.

Visualizzatore Log

La sezione Visualizzatore Log è divisa in 3 sotto sezioni che hanno funzionamento analogo fra loro, cioè quella di permettere la visualizzazione dei dati registrati nei 3 diversi file di log generati.

  • Log: mostra il contenuto del file di log dove vengono registrate le attività dei proxy, in particolare essi tengono traccia delle azioni svolte dai client. Il formato segue lo standard Welf, pertanto suddetti file possono essere utilizzati per compilare report non solo dal motore interno di eXtensiveControl® ma anche da programmi di terze parti che supportano il formato Welf.

  • Comandi: questa sezione mostra il contenuto del file comandi; nel file comandi vengono registrate informazioni aggiuntive rispetto al file di log, che per motivi di compatibilità col formato Welf non possono essere inserite direttamente nel file di log.

  • Debug: mostra il contenuto del file di debug. Questo file risulta particolarmente indicato per diagnosticare eventuali problemi di funzionamento del modulo. La quantità di informazioni registrate nel file dipende dal livello di debug impostato nel menu Avanzate. Più il livello di debug è alto, maggiori saranno le informazioni registrate nel file (ma anche lo spazio occupato su disco, mentre le prestazioni del sistema tendono invece a calare). Solitamente si alza il livello di debug quando si presentano problemi di funzionamento e il numero di informazioni con il livello di default risulta essere insufficiente.

Tutti e tre i pannelli presentano la medesima interfaccia che si compone di tre voci:

  • Punto di inizio della lettura: Permette di stabilire da quale punto del file iniziare la visualizzazione. È possibile visualizzare il contenuto dall'inizio del file, dalla fine o a partire da una linea specificata dall'utente.

  • Numeri di linee: Numero di linee che l'utente intende visualizzare. Ad esempio impostando tale valore a 10 e la visualizzazione a partire dalla fine del file, si otterranno le ultime 10 linee del file. Tipicamente questa è la scelta più comune in quanto spesso si vogliono visualizzare le linee in prossimità di un errore appena avvenuto e che si trova dunque nelle alla fine del file.

  • Risoluzione dei nomi: Con questa impostazione gli indirizzi IP vengono risolti in hostname in modo da essere più esplicativi. Ad esempio l'amministratore potrebbe voler sapere su quali siti navigano i suoi utenti (e non accontentarsi degli indirizzi IP). Non sempre è possibile risalire al nome di un host conoscendone l'indirizzo IP.