人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

現在さくらインターネット様の専用サーバーを
レンタルしているのですが、
スパムメールの踏み台にされて困っています。
全てリレーしてしまいます。
何をどう調べたらいいのか、分からないので、教えていただけないでしょうか?
よろしくお願いします。
環境は、
fedoracore4
Sendmail version 8.13.6, config V10/Berkeley
です。

●質問者: m_azuyan
●カテゴリ:コンピュータ
✍キーワード:config sendmail V10 さくらインターネット サーバー
○ 状態 :終了
└ 回答数 : 7/7件

▽最新の回答へ

1 ● tfujiyama
●30ポイント

ここのサイトが参考になると思います。

http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap...

http://safe-linux.homeip.net/mail/linux-sm12fc2apop-02.html

◎質問者からの返答

リレーテストのサイトリンクがありましたので、やってみました。

All tests performed, no relays accepted

とでてリレーできないことが確認出来たのですが、ではどうやってリレーしているのでしょうか?バックドア的なものが仕込まれているのでしょうか?


2 ● hinetk
●30ポイント

http://japan.internet.com/linuxtutorial/20010310/2.html

http://www.iiis.ne.jp/server/sendmail/

このあたりを参考にしてはどうでしょうか?

◎質問者からの返答

サイトでリレーのチェックをしてみました。通常の方法?ではリレーされないようです。しかしsendmailを立ち上げるとメールキューにメールがどんどんたまっていきます。


3 ● tfujiyama
●30ポイント

SendMailのログにはどのように記録されているのでしょうか?

自社のSendmailサーバーを踏み台にされる場合は、

「Any → 自社ドメイン」、「Any ← 自社ドメイン」のみの中継を許容し、「Any → Any」を禁止すれば中継は止められると思います。

また、ドメインのなりすましには、SenderIDやDomainKeysといった技術を追加することで防げます。

http://fumika.jp/nikki/2004/09/senderid


もし自社ドメインから送信されたように見えるメールが宛先無しなどで大量にエラーメールとして帰ってくる場合には、自社ドメインになりすまして外部のメールサーバで不正中継が行われていると思いますので、その場合は、エラーメールのヘッダーを確認し、不正に中継しているメールサーバ管理者に改善を申し入れる対応になると思います。

いずれにしても、SendMailのログと不正メールのヘッダー情報でかなり具体的に対策が立てられると思います。

◎質問者からの返答

以下がヘッダー情報です。

Return-Path: <?g>

Received: from localhost (localhost)by expsvr.azuyan.com (8.13.6/8.13.6) id k667Fi79002005;Thu, 6 Jul 2006 16:15:44 +0900

Date: Thu, 6 Jul 2006 16:15:44 +0900

From: Mail Delivery Subsystem <MAILER-DAEMON>

Full-Name: Mail Delivery Subsystem

Message-Id: <200607060715.k667Fi79002005@expsvr.azuyan.com>

To: <Domuel9788@indiatimes.com>

MIME-Version: 1.0

Content-Type: multipart/report; report-type=delivery-status;boundary="k667Fi79002005.1152170144/expsvr.azuyan.com"

Content-Transfer-Encoding: 8bit

Subject: Returned mail: see transcript for details

Auto-Submitted: auto-generated (failure)

メールのログですが、たぶんこれだと思うのを付けます。不勉強ですいません。

Jul 6 16:23:27 expsvr sendmail[2091]: k667EfKA001996: to=<henschelmann@iued.uni</p>

-heidelberg.de>, delay=00:08:45, xdelay=00:00:06, mailer=esmtp, pri=393291, rela

y=relay.uni-heidelberg.de. [129.206.100.212], dsn=4.3.0, stat=Deferred: 451 4.3.

0 First time spam check for 59-106-20-33.r-bl100.sakura.ne.jp, please retry in 2

2 minutes.

Jul 6 16:23:31 expsvr sendmail[2091]: k667EfKA001996: to=<henschelmann@iued.uni</p>

-heidelberg.de>, delay=00:08:49, xdelay=00:00:10, mailer=esmtp, pri=393291, rela

y=relay2.uni-heidelberg.de. [129.206.210.211], dsn=4.3.0, stat=Deferred: 451 4.3

.0 First time spam check for 59-106-20-33.r-bl100.sakura.ne.jp, please retry in

22 minutes.

Jul 6 16:25:52 expsvr sendmail[2010]: k667KUYp002010: timeout waiting for input

from amuro-net.mr.outblaze.com. during client greeting

Jul 6 16:26:20 expsvr sendmail[2015]: k667KJ81002015: timeout waiting for input

from amuro-net.mr.outblaze.com. during client greeting


4 ● aiaina
●30ポイント

http://www.rbl.jp/svcheck.php

こちらはどうでしょうか

◎質問者からの返答

no relays acceptedでリレーされないようです。でもどんどんキューにたまっていきます。


5 ● tfujiyama
●30ポイント

SendMailのログは、「to=<?>」が含まれるレコードと、「from=<?>」が含まれるレコードが2つでセットになります。

その2つをひも付けるためのキー項目が各レコードに含まれていて、いただいた例では、「k667EfKA001996」とか「k667EfKA001996」になります。

これらのキーを含んだ、「from=<?>」のレコードが実際に外部から受信した際のログですので、ここに記されている送信元のIPアドレスやドメイン名を個別に拒否設定しても良いかもしれません。

※国内のISPなど、メジャー所のドメイン名の場合、拒否設定すると、正規の人からもメールを受信できなくなるので、その場合は、いろんなところで提供されているスパムフィルタパターンを組み込むなど、若干高度な対応が必要になります。

こちらのサイトも参考にしてみてください。

http://www.ocn.ad.jp/tw/tech_2.html

http://www.hart.co.jp/spam/yahoospammer.html


1-5件表示/7件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ