現在さくらインターネット様の専用サーバーを

レンタルしているのですが、
スパムメールの踏み台にされて困っています。
全てリレーしてしまいます。
何をどう調べたらいいのか、分からないので、教えていただけないでしょうか?
よろしくお願いします。
環境は、
fedoracore4
Sendmail version 8.13.6, config V10/Berkeley
です。

回答の条件
  • 1人10回まで
  • 登録:2006/07/06 15:31:16
  • 終了:2006/07/07 15:57:23

ベストアンサー

id:toohigh No.6

toohigh回答回数291ベストアンサー獲得回数372006/07/06 19:17:59

ポイント50pt

例示されているメールヘッダを見る限り、実際にリレーできてしまっている、ということではないように見受けられます。

  • 利用されているドメインの存在しないアドレス向けに、From: を偽ったメールが大量に投げ込もうとされる
  • 当然 User Unknown になるので、元メールの From: にエラーメールを返そうとする
  • 偽られた From: へのエラーメールが送信できないことにより手元のキューに送り損ねたエラーメールがたまっていく

・・・という感じではないかと思います。

mailq コマンドなどでキューに蓄積しているメールを調べてみて MAILER-DAEMON ばかりでしたら、そういうことだと理解しておけば良いかと・・。

このような場合の対処法は、残念ながら特効薬的なものは無いのですが、こんなところでしょうか。

  • リトライの期間(標準は五日間)を短くする
  • エラーメール不達を伝えるエラーメール(ダブルバウンス)を送らないようにする
id:m_azuyan

そういうことだとうれしいのですが、

半分ほどはMAILER-DAEMONなんですが、残りは

以下のようなものです。

これも、気にしなくていいもの何でしょうか?

Return-Path: <�g>

Received: from 59-106-20-33.r-bl100.sakura.ne.jp (expsvr.azuyan.com. [59.106.20.33])by expsvr.azuyan.com (8.13.6/8.13.6) with SMTP id k66FQqEg002469;Fri, 7 Jul 2006 00:26:52 +0900

Message-id: <k5h772cp0alf4ib5a1p5c423@indiatimes.com>

To: silkegetzlaff@gmx.de, dorolennert@yahoo.de, boden@gd.nrw.de,webmaster@pharao-grimma.de

Cc: zukki1@gmx.de, bluelive76@freenet.de

From: "Emily amkleinenSchafstall" <Cnut232@indiatimes.com>

Subject: grillabend

Date: Thu, 06 Jul 2006 10:28:49 GMT

MIME-Version: 1.0

Content-Type: text/html; charset=iso-8859-1

Reply-To: Cnut232@indiatimes.com

X-MimeOLE: Produced by Microsoft MimeOLE V5.00.3018.1300

X-Mailer: Calypso Version 3.20.02.00 (4)

2006/07/07 13:29:25

その他の回答(6件)

id:tfujiyama No.1

tfujiyama回答回数216ベストアンサー獲得回数102006/07/06 15:44:59

id:m_azuyan

リレーテストのサイトリンクがありましたので、やってみました。

All tests performed, no relays accepted

とでてリレーできないことが確認出来たのですが、ではどうやってリレーしているのでしょうか?バックドア的なものが仕込まれているのでしょうか?

2006/07/06 15:53:59
id:hinetk No.2

hinetk回答回数516ベストアンサー獲得回数362006/07/06 15:48:06

ポイント30pt

http://japan.internet.com/linuxtutorial/20010310/2.html

http://www.iiis.ne.jp/server/sendmail/

このあたりを参考にしてはどうでしょうか?

id:m_azuyan

サイトでリレーのチェックをしてみました。通常の方法?ではリレーされないようです。しかしsendmailを立ち上げるとメールキューにメールがどんどんたまっていきます。

2006/07/06 16:08:27
id:tfujiyama No.3

tfujiyama回答回数216ベストアンサー獲得回数102006/07/06 16:10:54

ポイント30pt

SendMailのログにはどのように記録されているのでしょうか?

自社のSendmailサーバーを踏み台にされる場合は、

「Any → 自社ドメイン」、「Any ← 自社ドメイン」のみの中継を許容し、「Any → Any」を禁止すれば中継は止められると思います。

また、ドメインのなりすましには、SenderIDやDomainKeysといった技術を追加することで防げます。

http://fumika.jp/nikki/2004/09/senderid


もし自社ドメインから送信されたように見えるメールが宛先無しなどで大量にエラーメールとして帰ってくる場合には、自社ドメインになりすまして外部のメールサーバで不正中継が行われていると思いますので、その場合は、エラーメールのヘッダーを確認し、不正に中継しているメールサーバ管理者に改善を申し入れる対応になると思います。

いずれにしても、SendMailのログと不正メールのヘッダー情報でかなり具体的に対策が立てられると思います。

id:m_azuyan

以下がヘッダー情報です。

Return-Path: <�g>

Received: from localhost (localhost)by expsvr.azuyan.com (8.13.6/8.13.6) id k667Fi79002005;Thu, 6 Jul 2006 16:15:44 +0900

Date: Thu, 6 Jul 2006 16:15:44 +0900

From: Mail Delivery Subsystem <MAILER-DAEMON>

Full-Name: Mail Delivery Subsystem

Message-Id: <200607060715.k667Fi79002005@expsvr.azuyan.com>

To: <Domuel9788@indiatimes.com>

MIME-Version: 1.0

Content-Type: multipart/report; report-type=delivery-status;boundary="k667Fi79002005.1152170144/expsvr.azuyan.com"

Content-Transfer-Encoding: 8bit

Subject: Returned mail: see transcript for details

Auto-Submitted: auto-generated (failure)

メールのログですが、たぶんこれだと思うのを付けます。不勉強ですいません。

Jul 6 16:23:27 expsvr sendmail[2091]: k667EfKA001996: to=<henschelmann@iued.uni</p>

-heidelberg.de>, delay=00:08:45, xdelay=00:00:06, mailer=esmtp, pri=393291, rela

y=relay.uni-heidelberg.de. [129.206.100.212], dsn=4.3.0, stat=Deferred: 451 4.3.

0 First time spam check for 59-106-20-33.r-bl100.sakura.ne.jp, please retry in 2

2 minutes.

Jul 6 16:23:31 expsvr sendmail[2091]: k667EfKA001996: to=<henschelmann@iued.uni</p>

-heidelberg.de>, delay=00:08:49, xdelay=00:00:10, mailer=esmtp, pri=393291, rela

y=relay2.uni-heidelberg.de. [129.206.210.211], dsn=4.3.0, stat=Deferred: 451 4.3

.0 First time spam check for 59-106-20-33.r-bl100.sakura.ne.jp, please retry in

22 minutes.

Jul 6 16:25:52 expsvr sendmail[2010]: k667KUYp002010: timeout waiting for input

from amuro-net.mr.outblaze.com. during client greeting

Jul 6 16:26:20 expsvr sendmail[2015]: k667KJ81002015: timeout waiting for input

from amuro-net.mr.outblaze.com. during client greeting

2006/07/06 16:30:39
id:aiaina No.4

aiaina回答回数8179ベストアンサー獲得回数1312006/07/06 16:38:26

ポイント30pt

http://www.rbl.jp/svcheck.php

こちらはどうでしょうか

id:m_azuyan

no relays acceptedでリレーされないようです。でもどんどんキューにたまっていきます。

2006/07/06 16:59:59
id:tfujiyama No.5

tfujiyama回答回数216ベストアンサー獲得回数102006/07/06 16:53:55

ポイント30pt

SendMailのログは、「to=<~>」が含まれるレコードと、「from=<~>」が含まれるレコードが2つでセットになります。

その2つをひも付けるためのキー項目が各レコードに含まれていて、いただいた例では、「k667EfKA001996」とか「k667EfKA001996」になります。

これらのキーを含んだ、「from=<~>」のレコードが実際に外部から受信した際のログですので、ここに記されている送信元のIPアドレスやドメイン名を個別に拒否設定しても良いかもしれません。

※国内のISPなど、メジャー所のドメイン名の場合、拒否設定すると、正規の人からもメールを受信できなくなるので、その場合は、いろんなところで提供されているスパムフィルタパターンを組み込むなど、若干高度な対応が必要になります。

こちらのサイトも参考にしてみてください。

http://www.ocn.ad.jp/tw/tech_2.html

http://www.hart.co.jp/spam/yahoospammer.html

id:toohigh No.6

toohigh回答回数291ベストアンサー獲得回数372006/07/06 19:17:59ここでベストアンサー

ポイント50pt

例示されているメールヘッダを見る限り、実際にリレーできてしまっている、ということではないように見受けられます。

  • 利用されているドメインの存在しないアドレス向けに、From: を偽ったメールが大量に投げ込もうとされる
  • 当然 User Unknown になるので、元メールの From: にエラーメールを返そうとする
  • 偽られた From: へのエラーメールが送信できないことにより手元のキューに送り損ねたエラーメールがたまっていく

・・・という感じではないかと思います。

mailq コマンドなどでキューに蓄積しているメールを調べてみて MAILER-DAEMON ばかりでしたら、そういうことだと理解しておけば良いかと・・。

このような場合の対処法は、残念ながら特効薬的なものは無いのですが、こんなところでしょうか。

  • リトライの期間(標準は五日間)を短くする
  • エラーメール不達を伝えるエラーメール(ダブルバウンス)を送らないようにする
id:m_azuyan

そういうことだとうれしいのですが、

半分ほどはMAILER-DAEMONなんですが、残りは

以下のようなものです。

これも、気にしなくていいもの何でしょうか?

Return-Path: <�g>

Received: from 59-106-20-33.r-bl100.sakura.ne.jp (expsvr.azuyan.com. [59.106.20.33])by expsvr.azuyan.com (8.13.6/8.13.6) with SMTP id k66FQqEg002469;Fri, 7 Jul 2006 00:26:52 +0900

Message-id: <k5h772cp0alf4ib5a1p5c423@indiatimes.com>

To: silkegetzlaff@gmx.de, dorolennert@yahoo.de, boden@gd.nrw.de,webmaster@pharao-grimma.de

Cc: zukki1@gmx.de, bluelive76@freenet.de

From: "Emily amkleinenSchafstall" <Cnut232@indiatimes.com>

Subject: grillabend

Date: Thu, 06 Jul 2006 10:28:49 GMT

MIME-Version: 1.0

Content-Type: text/html; charset=iso-8859-1

Reply-To: Cnut232@indiatimes.com

X-MimeOLE: Produced by Microsoft MimeOLE V5.00.3018.1300

X-Mailer: Calypso Version 3.20.02.00 (4)

2006/07/07 13:29:25
id:mirakuruaho No.7

mirakuruaho回答回数63ベストアンサー獲得回数12006/07/07 01:22:10

ポイント20pt

http://www.cyberpolice.go.jp/case/taisho07.html

設定を固めてみては?

id:m_azuyan

みなさんお騒がせしました。どうも、toohigh様の仰っているように、リレーできているわけではないようです。4万件もキューがたまっていたのでビックリしてあわててしまいました。

皆さんに教えていただいたHPを参考にダブルバウンスを送らない設定だとかを詰めていきたいと思います。

ありがとうございます。

2006/07/07 15:53:12

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません