logwatchの内容が理解できません。踏み台にされているのか心配です。

所要部分を転記しますので、対処法を教えてください。
userと書き換えた箇所には、SSH認証でサーバにログインするユーザー名が書いてあります。

サーバ さくらVPS
サーバOS CENTOS 

省略
******Detailed*
SentviaSMTP---
??????.comx
user
Deferrals----
?.?.?:PersistentTransientFailure:SecurityorPolicyStatus:Otherorundefined...
?.?.?[xx.xxx.xxx.xxxxx]Oursystemhasdetectedanunusualrateof421-4....
xxxxx.com
user
xx.xxx.xxx.xxxalt2.aspmx.l.google.com
?.?.?[xx.xxx.xxx.xxxxx]Oursystemhasdetectedanunusualrateof421-4....
xxxxxx.com
user
xx.xxx.xx.xxalt1.aspmx.l.google.com
HostALT1.ASPMX.L.GOOGLE.com[xx.xxx.xxx.xxx]refusedtotalktome:421-?.?.?[49...
xxxxxx.com
user
xx.xxx.xxx.xxxalt1.aspmx.l.google.com
HostALT1.ASPMX.L.GOOGLE.com[xx.xxx.xxx.xxx]refusedtotalktome:421-?.?.?[49...
xxxxxx.com
user

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2015/01/03 14:22:17
  • 終了:2015/01/08 08:44:46

ベストアンサー

id:JULY No.1

JULY回答回数966ベストアンサー獲得回数2472015/01/03 16:15:55

ポイント100pt

空白文字が抜けて読みにくいですが、「?.?.?[49.212.162.20610]Oursystemhasdetectedanunusualrateof421-4....」というのは、

Our system has detected an unusual rate of 421-4....

ですよね。

このログ自体は、Gmail 宛のメールを送信しようとして失敗し、Gmail 側の SMTP サーバとのやりとりの中で受け取ったメッセージが、ログに出力されたものだと思われます。
SMTP エラー リファレンス - Google Apps ヘルプ
お使いの VPS から Gmail へ大量のメールが送信されて、Gmail 側のメールサーバが拒否した時のメッセージが、/var/log/maillog 辺りに記録されたのを logwatch が拾って報告してきた、という事になります。後半の「refused to talk to me」も Gmail 側が拒否している事を示唆しています。

で、問題は、お使いの VPS が Gmail へメールを送信した理由です。契約されている VPS をどのような目的で使っているのか分かりませんが、「Gmail へメールを送信」ということに身に覚えがあれば、その原因を絶つ必要があります。

もし、全く身に覚えが無ければ、何らかの形で第3者が利用している可能性があります。これも、いろんなケースが考えられるので、このログだけで原因を推定するのは難しいですが、ユーザ名に SSH でログインする時のユーザ名が記録されているのであれば、SMTP サーバが第3者中継を許している可能性は低いです。

他3件のコメントを見る
id:news1

グループウェアはサイボウズoffice6とデスクネッツNEOを稼働させています。
サイボウズのシステムメールアカウントは、SSL/TSL設定が使えないため、プロバイダのメールサーバを利用しています。
構成はsmtp認証(account&pass)、smtp(プロバイダ指定のもの),アドレス(プロバイダから取得したもの)です。
logwatchの Detailedを見ても、このプロバイダ名やアドレスは記載されておりません。

対策として、システム設定に入れるユーザーのパスワードと、システム設定のパスワードを変更しました。

なお、マニュアルを参考にサイボウズのLOGを探してみましたが、 .htaccessファイルしかなく、その記述は以下の内容でした。
1 <Limit GET POST HEAD>
2 Order allow,deny
3 Deny from all
4 </Limit>
マニュアルアドレス
http://kantan.cybozu.co.jp/cb6/manual/system/reference/system_reference0101.html

つぎにデスクネッツNEOですが、こちのメールサーバー設定は、SSL/TSLが使えるため、smtp.gmail.comを使用しています。
現状では試験可動中のため、POP3の設定はしていません。
送信元メールアドレスは、desknets@当社ドメインです。
googleapps上での使用を確認しましたが、痕跡はありませんでした。
またlogwatchの Detailedを見ても、このプロバイダ名やアドレスは記載されておりません。
デスクネッツNEO上でのユーザーのメール設定(デスクネッツ上ではアカウントと表記)を行っておらず、質問のはじめで説明した、SSH認証でサーバにログインするユーザー名は登録しておりませんので、デスクネッツNEOでのメール発信は確認できません。

デスクネッツNEOのログをあたってみます。

2015/01/04 09:40:31
id:news1

デスクネッツNEOでの対策として、システム設定に入れるユーザーのパスワードを変更しました。
desknets@当社ドメインのアドレスは、googleapps管理で削除しました。

2015/01/04 09:42:00

その他の回答(0件)

id:JULY No.1

JULY回答回数966ベストアンサー獲得回数2472015/01/03 16:15:55ここでベストアンサー

ポイント100pt

空白文字が抜けて読みにくいですが、「?.?.?[49.212.162.20610]Oursystemhasdetectedanunusualrateof421-4....」というのは、

Our system has detected an unusual rate of 421-4....

ですよね。

このログ自体は、Gmail 宛のメールを送信しようとして失敗し、Gmail 側の SMTP サーバとのやりとりの中で受け取ったメッセージが、ログに出力されたものだと思われます。
SMTP エラー リファレンス - Google Apps ヘルプ
お使いの VPS から Gmail へ大量のメールが送信されて、Gmail 側のメールサーバが拒否した時のメッセージが、/var/log/maillog 辺りに記録されたのを logwatch が拾って報告してきた、という事になります。後半の「refused to talk to me」も Gmail 側が拒否している事を示唆しています。

で、問題は、お使いの VPS が Gmail へメールを送信した理由です。契約されている VPS をどのような目的で使っているのか分かりませんが、「Gmail へメールを送信」ということに身に覚えがあれば、その原因を絶つ必要があります。

もし、全く身に覚えが無ければ、何らかの形で第3者が利用している可能性があります。これも、いろんなケースが考えられるので、このログだけで原因を推定するのは難しいですが、ユーザ名に SSH でログインする時のユーザ名が記録されているのであれば、SMTP サーバが第3者中継を許している可能性は低いです。

他3件のコメントを見る
id:news1

グループウェアはサイボウズoffice6とデスクネッツNEOを稼働させています。
サイボウズのシステムメールアカウントは、SSL/TSL設定が使えないため、プロバイダのメールサーバを利用しています。
構成はsmtp認証(account&pass)、smtp(プロバイダ指定のもの),アドレス(プロバイダから取得したもの)です。
logwatchの Detailedを見ても、このプロバイダ名やアドレスは記載されておりません。

対策として、システム設定に入れるユーザーのパスワードと、システム設定のパスワードを変更しました。

なお、マニュアルを参考にサイボウズのLOGを探してみましたが、 .htaccessファイルしかなく、その記述は以下の内容でした。
1 <Limit GET POST HEAD>
2 Order allow,deny
3 Deny from all
4 </Limit>
マニュアルアドレス
http://kantan.cybozu.co.jp/cb6/manual/system/reference/system_reference0101.html

つぎにデスクネッツNEOですが、こちのメールサーバー設定は、SSL/TSLが使えるため、smtp.gmail.comを使用しています。
現状では試験可動中のため、POP3の設定はしていません。
送信元メールアドレスは、desknets@当社ドメインです。
googleapps上での使用を確認しましたが、痕跡はありませんでした。
またlogwatchの Detailedを見ても、このプロバイダ名やアドレスは記載されておりません。
デスクネッツNEO上でのユーザーのメール設定(デスクネッツ上ではアカウントと表記)を行っておらず、質問のはじめで説明した、SSH認証でサーバにログインするユーザー名は登録しておりませんので、デスクネッツNEOでのメール発信は確認できません。

デスクネッツNEOのログをあたってみます。

2015/01/04 09:40:31
id:news1

デスクネッツNEOでの対策として、システム設定に入れるユーザーのパスワードを変更しました。
desknets@当社ドメインのアドレスは、googleapps管理で削除しました。

2015/01/04 09:42:00
id:news1

質問者から

news12015/01/08 08:44:18

質問文を編集しました。詳細はこちら

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません