人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

logwatchの内容が理解できません。踏み台にされているのか心配です。
所要部分を転記しますので、対処法を教えてください。
userと書き換えた箇所には、SSH認証でサーバにログインするユーザー名が書いてあります。

サーバ さくらVPS
サーバOS CENTOS

省略
******Detailed*
SentviaSMTP---
??????.comx
user
Deferrals----
?.?.?:PersistentTransientFailure:SecurityorPolicyStatus:Otherorundefined...
?.?.?[xx.xxx.xxx.xxxxx]Oursystemhasdetectedanunusualrateof421-4....
xxxxx.com
user
xx.xxx.xxx.xxxalt2.aspmx.l.google.com
?.?.?[xx.xxx.xxx.xxxxx]Oursystemhasdetectedanunusualrateof421-4....
xxxxxx.com
user
xx.xxx.xx.xxalt1.aspmx.l.google.com
HostALT1.ASPMX.L.GOOGLE.com[xx.xxx.xxx.xxx]refusedtotalktome:421-?.?.?[49...
xxxxxx.com
user
xx.xxx.xxx.xxxalt1.aspmx.l.google.com
HostALT1.ASPMX.L.GOOGLE.com[xx.xxx.xxx.xxx]refusedtotalktome:421-?.?.?[49...
xxxxxx.com
user

●質問者: news1
●カテゴリ:インターネット ウェブ制作
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● JULY
●100ポイント ベストアンサー

空白文字が抜けて読みにくいですが、「?.?.?[49.212.162.20610]Oursystemhasdetectedanunusualrateof421-4....」というのは、

Our system has detected an unusual rate of 421-4....

ですよね。

このログ自体は、Gmail 宛のメールを送信しようとして失敗し、Gmail 側の SMTP サーバとのやりとりの中で受け取ったメッセージが、ログに出力されたものだと思われます。
SMTP エラー リファレンス - Google Apps ヘルプ
お使いの VPS から Gmail へ大量のメールが送信されて、Gmail 側のメールサーバが拒否した時のメッセージが、/var/log/maillog 辺りに記録されたのを logwatch が拾って報告してきた、という事になります。後半の「refused to talk to me」も Gmail 側が拒否している事を示唆しています。

で、問題は、お使いの VPS が Gmail へメールを送信した理由です。契約されている VPS をどのような目的で使っているのか分かりませんが、「Gmail へメールを送信」ということに身に覚えがあれば、その原因を絶つ必要があります。

もし、全く身に覚えが無ければ、何らかの形で第3者が利用している可能性があります。これも、いろんなケースが考えられるので、このログだけで原因を推定するのは難しいですが、ユーザ名に SSH でログインする時のユーザ名が記録されているのであれば、SMTP サーバが第3者中継を許している可能性は低いです。


news1さんのコメント
VPSサーバ利用法は、グループウェア、データベース、ドメイン取得、マッピングです。 メールはgoogleappsを利用してますので、VPSサーバからの送信はグループウェアでの電話メモ送信程度です。 /var/log/maillogに何か書かれてないか確認してみます。

news1さんのコメント
以下のログがありました 1Dec2904:09:06www?????uepostfix/pickup[15513]:D69CE500C6E:uid=0from=<root> 2Dec2904:09:06www?????uepostfix/cleanup[16084]:D69CE500C6E:message-id=<20141228190906.D69CE500C6E@www?????ue.sakura.ne.jp> 3Dec2904:09:06www?????uepostfix/qmgr[1100]:D69CE500C6E:from=<root@www?????ue.sakura.ne.jp>,size=14523,nrcpt=1(queueactive) 4Dec2904:09:07www?????uepostfix/smtp[16119]:connecttoASPMX.L.GOOGLE.com[2404:6800:4008:c00::1b]:25:Networkisunreachable 5Dec2904:09:09www?????uepostfix/smtp[16119]:D69CE500C6E:to=<user@domein.com>,relay=ASPMX.L.GOOGLE.com[173.194.72.27]:25,delay=4.7,delays=2.2/0.07/0.82/1.6,dsn=2.0.0,status=sent(2502.0.0OK1419793749qa8si11932020pdb.195-gsmtp) 6Dec2904:09:09www?????uepostfix/qmgr[1100]:D69CE500C6E:removed 7Dec3003:34:08www?????uepostfix/pickup[24327]:C5B1E500C6E:uid=0from=<root> 8Dec3003:34:08www?????uepostfix/cleanup[24910]:C5B1E500C6E:message-id=<20141229183408.C5B1E500C6E@www?????ue.sakura.ne.jp> 9Dec3003:34:08www?????uepostfix/qmgr[1100]:C5B1E500C6E:from=<root@www?????ue.sakura.ne.jp>,size=6181,nrcpt=1(queueactive) 10Dec3003:34:08www?????uepostfix/smtp[24945]:connecttoASPMX.L.GOOGLE.com[2404:6800:4008:c01::1a]:25:Networkisunreachable user@domein.comはgoogleappsで管理している私のメアドです。 ここからなにかわかるものでしょうか

JULYさんのコメント
グループウェアを使っているとのことですが、そのグループウェアの設定で、メールの送信先のサーバをどこにしていますか? GoogleApps 側を指定しているのであれば、グループウェアからの送信記録は、maillog には現れません。グループウェア側の記録を調べる必要があります。 で、意図しないメールの送信があるのだとすれば、そのグループウェアの脆弱性や、アカウントの乗っ取りが無いか、あるいは、そのグループウェアを利用しているクライアント側のマルウェア、ということも考えられます。 提示していただいた maillog が間引きしたもので無ければ、postfix を経由したメールの大量送信は無いことになるので、そうなると、グループウェア経由が疑われます。 今回の件とは関係ないですが、maillog に Google の MTA へ送信した時に IPv6 アドレスで接続をトライして失敗した記録があります。通常、IPv6 が有効でも、リンクローカルアドレス(fe80 で始まるアドレス)しか割り当てられていない場合には、IPv4 アドレスが優先されるはずです。 IPv6 での送信に失敗したあとに、IPv4 で再送して送信できているようなので、転送されるのが再送の分だけ遅れる、ということ以外、実害は無いですが、ちょっと気になりました。

news1さんのコメント
グループウェアはサイボウズoffice6とデスクネッツNEOを稼働させています。 サイボウズのシステムメールアカウントは、SSL/TSL設定が使えないため、プロバイダのメールサーバを利用しています。 構成はsmtp認証(account&pass)、smtp(プロバイダ指定のもの),アドレス(プロバイダから取得したもの)です。 logwatchの Detailedを見ても、このプロバイダ名やアドレスは記載されておりません。 対策として、システム設定に入れるユーザーのパスワードと、システム設定のパスワードを変更しました。 なお、マニュアルを参考にサイボウズのLOGを探してみましたが、 .htaccessファイルしかなく、その記述は以下の内容でした。 1 <Limit GET POST HEAD> 2 Order allow,deny 3 Deny from all 4 </Limit> マニュアルアドレス http://kantan.cybozu.co.jp/cb6/manual/system/reference/system_reference0101.html つぎにデスクネッツNEOですが、こちのメールサーバー設定は、SSL/TSLが使えるため、smtp.gmail.comを使用しています。 現状では試験可動中のため、POP3の設定はしていません。 送信元メールアドレスは、desknets@当社ドメインです。 googleapps上での使用を確認しましたが、痕跡はありませんでした。 またlogwatchの Detailedを見ても、このプロバイダ名やアドレスは記載されておりません。 デスクネッツNEO上でのユーザーのメール設定(デスクネッツ上ではアカウントと表記)を行っておらず、質問のはじめで説明した、SSH認証でサーバにログインするユーザー名は登録しておりませんので、デスクネッツNEOでのメール発信は確認できません。 デスクネッツNEOのログをあたってみます。

news1さんのコメント
デスクネッツNEOでの対策として、システム設定に入れるユーザーのパスワードを変更しました。 desknets@当社ドメインのアドレスは、googleapps管理で削除しました。

関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ