レンタルしているのですが、
スパムメールの踏み台にされて困っています。
全てリレーしてしまいます。
何をどう調べたらいいのか、分からないので、教えていただけないでしょうか?
よろしくお願いします。
環境は、
fedoracore4
Sendmail version 8.13.6, config V10/Berkeley
です。
例示されているメールヘッダを見る限り、実際にリレーできてしまっている、ということではないように見受けられます。
・・・という感じではないかと思います。
mailq コマンドなどでキューに蓄積しているメールを調べてみて MAILER-DAEMON ばかりでしたら、そういうことだと理解しておけば良いかと・・。
このような場合の対処法は、残念ながら特効薬的なものは無いのですが、こんなところでしょうか。
リレーテストのサイトリンクがありましたので、やってみました。
All tests performed, no relays accepted
とでてリレーできないことが確認出来たのですが、ではどうやってリレーしているのでしょうか?バックドア的なものが仕込まれているのでしょうか?
http://japan.internet.com/linuxtutorial/20010310/2.html
http://www.iiis.ne.jp/server/sendmail/
このあたりを参考にしてはどうでしょうか?
サイトでリレーのチェックをしてみました。通常の方法?ではリレーされないようです。しかしsendmailを立ち上げるとメールキューにメールがどんどんたまっていきます。
SendMailのログにはどのように記録されているのでしょうか?
自社のSendmailサーバーを踏み台にされる場合は、
「Any → 自社ドメイン」、「Any ← 自社ドメイン」のみの中継を許容し、「Any → Any」を禁止すれば中継は止められると思います。
また、ドメインのなりすましには、SenderIDやDomainKeysといった技術を追加することで防げます。
http://fumika.jp/nikki/2004/09/senderid
もし自社ドメインから送信されたように見えるメールが宛先無しなどで大量にエラーメールとして帰ってくる場合には、自社ドメインになりすまして外部のメールサーバで不正中継が行われていると思いますので、その場合は、エラーメールのヘッダーを確認し、不正に中継しているメールサーバ管理者に改善を申し入れる対応になると思います。
いずれにしても、SendMailのログと不正メールのヘッダー情報でかなり具体的に対策が立てられると思います。
以下がヘッダー情報です。
Return-Path: <�g>
Received: from localhost (localhost)by expsvr.azuyan.com (8.13.6/8.13.6) id k667Fi79002005;Thu, 6 Jul 2006 16:15:44 +0900
Date: Thu, 6 Jul 2006 16:15:44 +0900
From: Mail Delivery Subsystem <MAILER-DAEMON>
Full-Name: Mail Delivery Subsystem
Message-Id: <200607060715.k667Fi79002005@expsvr.azuyan.com>
To: <Domuel9788@indiatimes.com>
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;boundary="k667Fi79002005.1152170144/expsvr.azuyan.com"
Content-Transfer-Encoding: 8bit
Subject: Returned mail: see transcript for details
Auto-Submitted: auto-generated (failure)
メールのログですが、たぶんこれだと思うのを付けます。不勉強ですいません。
Jul 6 16:23:27 expsvr sendmail[2091]: k667EfKA001996: to=<henschelmann@iued.uni</p>
-heidelberg.de>, delay=00:08:45, xdelay=00:00:06, mailer=esmtp, pri=393291, rela
y=relay.uni-heidelberg.de. [129.206.100.212], dsn=4.3.0, stat=Deferred: 451 4.3.
0 First time spam check for 59-106-20-33.r-bl100.sakura.ne.jp, please retry in 2
2 minutes.
Jul 6 16:23:31 expsvr sendmail[2091]: k667EfKA001996: to=<henschelmann@iued.uni</p>
-heidelberg.de>, delay=00:08:49, xdelay=00:00:10, mailer=esmtp, pri=393291, rela
y=relay2.uni-heidelberg.de. [129.206.210.211], dsn=4.3.0, stat=Deferred: 451 4.3
.0 First time spam check for 59-106-20-33.r-bl100.sakura.ne.jp, please retry in
22 minutes.
Jul 6 16:25:52 expsvr sendmail[2010]: k667KUYp002010: timeout waiting for input
from amuro-net.mr.outblaze.com. during client greeting
Jul 6 16:26:20 expsvr sendmail[2015]: k667KJ81002015: timeout waiting for input
from amuro-net.mr.outblaze.com. during client greeting
no relays acceptedでリレーされないようです。でもどんどんキューにたまっていきます。
SendMailのログは、「to=<~>」が含まれるレコードと、「from=<~>」が含まれるレコードが2つでセットになります。
その2つをひも付けるためのキー項目が各レコードに含まれていて、いただいた例では、「k667EfKA001996」とか「k667EfKA001996」になります。
これらのキーを含んだ、「from=<~>」のレコードが実際に外部から受信した際のログですので、ここに記されている送信元のIPアドレスやドメイン名を個別に拒否設定しても良いかもしれません。
※国内のISPなど、メジャー所のドメイン名の場合、拒否設定すると、正規の人からもメールを受信できなくなるので、その場合は、いろんなところで提供されているスパムフィルタパターンを組み込むなど、若干高度な対応が必要になります。
こちらのサイトも参考にしてみてください。
例示されているメールヘッダを見る限り、実際にリレーできてしまっている、ということではないように見受けられます。
・・・という感じではないかと思います。
mailq コマンドなどでキューに蓄積しているメールを調べてみて MAILER-DAEMON ばかりでしたら、そういうことだと理解しておけば良いかと・・。
このような場合の対処法は、残念ながら特効薬的なものは無いのですが、こんなところでしょうか。
そういうことだとうれしいのですが、
半分ほどはMAILER-DAEMONなんですが、残りは
以下のようなものです。
これも、気にしなくていいもの何でしょうか?
Return-Path: <�g>
Received: from 59-106-20-33.r-bl100.sakura.ne.jp (expsvr.azuyan.com. [59.106.20.33])by expsvr.azuyan.com (8.13.6/8.13.6) with SMTP id k66FQqEg002469;Fri, 7 Jul 2006 00:26:52 +0900
Message-id: <k5h772cp0alf4ib5a1p5c423@indiatimes.com>
To: silkegetzlaff@gmx.de, dorolennert@yahoo.de, boden@gd.nrw.de,webmaster@pharao-grimma.de
Cc: zukki1@gmx.de, bluelive76@freenet.de
From: "Emily amkleinenSchafstall" <Cnut232@indiatimes.com>
Subject: grillabend
Date: Thu, 06 Jul 2006 10:28:49 GMT
MIME-Version: 1.0
Content-Type: text/html; charset=iso-8859-1
Reply-To: Cnut232@indiatimes.com
X-MimeOLE: Produced by Microsoft MimeOLE V5.00.3018.1300
X-Mailer: Calypso Version 3.20.02.00 (4)
みなさんお騒がせしました。どうも、toohigh様の仰っているように、リレーできているわけではないようです。4万件もキューがたまっていたのでビックリしてあわててしまいました。
皆さんに教えていただいたHPを参考にダブルバウンスを送らない設定だとかを詰めていきたいと思います。
ありがとうございます。
そういうことだとうれしいのですが、
半分ほどはMAILER-DAEMONなんですが、残りは
以下のようなものです。
これも、気にしなくていいもの何でしょうか?
Return-Path: <�g>
Received: from 59-106-20-33.r-bl100.sakura.ne.jp (expsvr.azuyan.com. [59.106.20.33])by expsvr.azuyan.com (8.13.6/8.13.6) with SMTP id k66FQqEg002469;Fri, 7 Jul 2006 00:26:52 +0900
Message-id: <k5h772cp0alf4ib5a1p5c423@indiatimes.com>
To: silkegetzlaff@gmx.de, dorolennert@yahoo.de, boden@gd.nrw.de,webmaster@pharao-grimma.de
Cc: zukki1@gmx.de, bluelive76@freenet.de
From: "Emily amkleinenSchafstall" <Cnut232@indiatimes.com>
Subject: grillabend
Date: Thu, 06 Jul 2006 10:28:49 GMT
MIME-Version: 1.0
Content-Type: text/html; charset=iso-8859-1
Reply-To: Cnut232@indiatimes.com
X-MimeOLE: Produced by Microsoft MimeOLE V5.00.3018.1300
X-Mailer: Calypso Version 3.20.02.00 (4)