- ベストアンサー
メールの踏み台について
知人より下記のメールが届きました。 何か対処方法、情報などありましたら教えて下さい。 宜しくお願い致します。 > 突然ですが、弊社のメールサーバーが何者かに踏み台にされています。 > ログからアドレスはわかりますが、このような情報は他にもありますか? > もし知っていたら場所(アドレス)を教えてください。 > > サンプルにログファイルを添付します。 > > このログによると、64.39.30.94 html guest@*****.com と > 64.39.30.94 html abc@*****.com からのメールが弊社のサーバーを > 踏み台にしてどこか?へ送信しています。 > > 弊社のメールサーバーソフト(EMwack)では転送の規制ができないので > 現在はルーターでこのアドレスをはじいています。
- ネットワーク
- 回答数2
- ありがとう数4
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
理想は不正中継を拒否するように設定することですよね もし不正中継の拒否が出来なければメールサーバーを停止し、他のメールサーバーへの乗り換えをお勧めします。 ・・・とはいえ、メールサーバーは簡単に停止できないですよねぇ~ というわけで、最低限ルーターでSMTPポート(標準では25)だけでも社外からのアクセスを全て遮断するように設定し、その間に別のメールサーバーソフトの導入を進めてみてはいかがでしょうか? 参考までに
その他の回答 (1)
- Yanchaboy
- ベストアンサー率29% (65/220)
使用しているシステムなどがわからないので具体的な事はご自身で調べていただくなり、専門家に相談するなりしていただくとして...。 とりあえず、メールサービスを停止した方がよろしいかと。 質問の文面から察するに、セキュリティにに関する知識があまり充分では内容にお見受けしますので(違ってたらごめんなさい)、他の人に対して「加害者」になるのをとりあえず避けましょう。 で、そのあとで、何が問題か(システムだけでなく管理者としての知識や考え方なども含めて)、どうすべきかを検討するのがよろしいのではないでしょうか? ご自身の手に余るようでしたら、それなりの組織や会社に協力を依頼することもお考えください。
お礼
早々にお返事いただきありがとうございました。 ご指摘いただいたとおりだと思います。 また何かありましたら宜しくお願い致します。
関連するQ&A
- 転送メールの利用に関して
OEを使っています。 転送メールサービスを利用していて、受信はうまくできるのですが 送信するときに、送信元のメールアドレスとして初めにプロバイダーから もらったアドレスではなく、転送メールのアドレスから出しているように するにはどのような設定をすればよいのでしょうか? 例として 初めにもらったアドレス: abc@***def.ne.jp 転送メールのアドレス: 012@***345.ne.jp abc@***def.ne.jp のメールサーバーを通して、受信者には 012@***345.ne.jp から届いているようにしたいのです。 お願いします。
- ベストアンサー
- その他(メールサービス・ソフト)
- Windowsメールサーバー 踏み台にされている?SMTP
自宅マシンにメールサーバを導入してみたのですが、まだ誰にも自宅サーバで作成したアドレスを教えていないにもかかわらずSMTPの通信ログに身に覚えのないIPがいくつか表示されています。 OS : WindowsXP Pro SP3 メールサーバ : MercuryMail http://www.aconus.com/~oyaji/mail2/mercurymail.htm こちらのサイトを参考にSSLの証明書ファイルを作成・適応するところまでは行っているのですが、これだけでは踏み台対策にはならないでしょうか? Q.1 証明書ファイル(pem)を作成するところまでは行ったのですが、ローカルでつながっている別PCのメールクライアント(Outlook07)で送信を行おうとすると「証明書がインストールされていません」のようなメッセージが出てきます。しかし、OKを押すと送信は正常に行われます。このままの運用で問題はありますでしょうか?問題がありましたら対処を教えて頂けると助かります。 Q.2 SMTPサーバのログに以下のような見覚えのないアクセスログが残っていたのですが、これは踏み台にされているということでしょうか?もしされているようでしたら対処法を教えて頂けますか。 正常送信時 Connection from 192.168.1.~, Tue Nov 18 22:30:06 2008 EHLO ローカルPC名 STARTTLS EHLO ローカルPC名 AUTH LOGIN MAIL FROM: <foobar@homeserver.jp> RCPT TO: <hogehoge@ezweb.ne.jp> DATA DATA - 15 lines, 458 bytes. QUIT 30 sec. elapsed, connection closed Tue Nov 18 22:30:36 2008 正常受信時 Connection from ○.○.○.○, Mon Nov 17 01:55:04 2008 EHLO ezweb.ne.jp MAIL FROM:<hogehoge@ezweb.ne.jp> SIZE=578 RCPT TO:<foobar@homeserver.jp> DATA DATA - 13 lines, 578 bytes. QUIT 1 sec. elapsed, connection closed Mon Nov 17 01:55:05 2008 見覚えのないIPのログ Connection from ●.●.●.●, Mon Nov 17 04:32:41 2008 EHLO unA.com un_1@unknown1.com:<MAIL FROM> RCPT TO:<un_2@unknown2.com> QUIT 2 sec. elapsed, connection closed Mon Nov 17 04:32:43 2008 Connection from ■.■.■.■, Tue Nov 18 12:46:40 2008 HELO ▲.▲.▲.▲ 554 Invalid HELO format 1 sec. elapsed, connection closed Tue Nov 18 12:46:41 2008 Connection from ▼.▼.▼.▼, Tue Nov 18 20:45:51 2008 EHLO unB.com 25 sec. elapsed, connection closed Tue Nov 18 20:46:16 2008 Linuxで構築しろと言われる気がしないでもないですが、現状で解決できるならばそれで済ませたいので解決策がありましたら教えて頂けますでしょうか。 よろしくお願いします。
- ベストアンサー
- ハードウェア・サーバー
- クラッカーと、踏み台にされるゾンビPCとの関係について
クラッカーは公官庁や企業を攻撃するためにゾンビPC(言い方は正しいですか?)を踏み台にするということを聞きましたが、以下の点についてはどうなっているのでしょうか。 1.ゾンビPCを踏み台にしたところで、そこに接続するクラッカーのIPアドレスはそのゾンビPC内のファイアウォールなどのログを調べれば結局のところ割れてしまうのではないでしょうか。 2.例えばゾンビPCをリモート操作して2chに書き込むとします。その場合、2chのサーバにはゾンビPCのIPアドレスが残るのでしょうか。クラッカーの痕跡は何も残らないのでしょうか。 3.このようなクラッカーを逮捕するには、どのようなところを糸口にして逮捕にこぎつけるのでしょうか。 お詳しい方がいらっしゃいましたら、よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- メールヘッダのreceivedの追記について
メールヘッダのreceivedのヘッダフィールドについて 分からないことがあります。 端末1が、端末2の電子メールアドレス(XXX@CCC.jpとします) を宛先アドレスとして電子メールを送信したとします。 端末1 SMTPサーバ1 SMTPサーバ2 SMTPサーバ3 YYY@AAA.jp mail.AAA.jp mail.BBB.jp mail.CCC.jp ↓ ↑↓ ↑↓ ↑ ルータa→→→ルータb→→ルータc→ ルータd ↓↑(POP) 端末2XXX@CCC.jp SMTPのプロトコルだと、 このメールは端末1と同じドメイン(AAA.jp)のSMTPサーバ1から 宛先と同じドメイン(CCC.jp)のSMTPサーバ3まで転送され、 その間に、経由点上のSMTPサーバのトレース情報を示すreveiveのヘッダフィールドが追記されて行くということが分かりました。 ここで、質問なのですが、 端末1(または、SMTPサーバ1?)が、CCCのドメインネームサーバに SMTPサーバ3のIPアドレスを問い合わせて取得し、 そのIPアドレスを(メールを記述したTCPパケットの)TCPヘッダに付加してルータaに渡してしまえば、 あとはルータa~dが勝手にSMTPサーバ3まで転送してくれるような気がするのですが、 SMTPサーバ1やSMTPサーバ3以外の他の経由点(上の例でいうとSMTPサーバ2 )のトレース情報も追記されることもあり得るのでしょうか。 だとすれば、その理由が分かりません。 SMTPサーバ2と繋がっているルータcは、宛先IPアドレスと 自分のルーティングテーブルさえ照合すれば、 TCPよりも上位層のSMTPの処理をするまでもなく(SMTPサーバ2に ペイロードを渡す必要なく)、 そのままルータdに転送すればいいとすぐに分かるような気が致します。 TCPのペイロード部に含まれているデータが電子メールの場合、 ルーティング経路上のルータは、SMTPサーバに一度渡し、 その結果を受け取ってまた流す、というような 規約になっているのでしょうか。 とすれば、宛先に到達するまでに ものすごい数のreveiveのヘッダフィールドが追加されてしまうような 気がいたします。この理解で合っておりますでしょうか。 つたない説明ですいませんが、どなたか教えてください。
- ベストアンサー
- ハードウェア・サーバー
- メールサーバー設定について
Linuxについても、サーバーについても超のつく初心者です。 メールサーバーを立ち上げたのですが、送信歯科できなくてこまっています。ドメイン名は、お名前.comで登録し、お名前.comのDNSサービスで、レコードの登録もしました。ホスト登録、ネームサーバーもお名前.comのホームページで登録しました。 自宅のメールサーバーには、postfixとdovecotもインストール済みです。 もちろん、ルーター(コレガ製)のヴァーチャルサーバーの設定もしました。(pop3) もちろん自宅LAN内での、メールの送信、受信に関してはできますが、携帯宛のメール、友人のメールアドレスにも送信できます。 しかし、サーバー宛のメール(受信メール)については、携帯からも、友人からのメールも、わたくしの他のメールアドレスからのものについては、どれも受信できません。回答のほう宜しくお願いします。
- 締切済み
- Linux系OS
- 踏み台にされたかどうかの確認はどうすれば
CentOS がインストールされたサーバで、メールサーバ(postfix)を運用しています。 昨夜から、他のメールサーバからのスパム報告やセキュリティ報告のメールが多数届くようになりました。 メールのタイトルは下記のようなものです。 Email was Quarantined [Virus Notice] Payroll Invoice **あなたの送信したメールはスパムフィルタによってブロックされました** MDaemon Notification -- Attachment Removed 送信元は多岐にわたっていて、文面から、メールサーバのスパムチェッカやウィルスチェッカが送ってきたメールだと思われます。 拒否メールの宛先(もともとのスパムメールの送信元)は、下記のようにデタラメな英数字で作られていて、スパムであったことが推測されます。(*****.***の部分は実在する私のドメインです) sojournrjm178@*****.*** nagshq@*****.*** unravellingjia@*****.*** 存在しないアカウント宛のメールをすべて1つのアカウントで受信するようにしているので、気がつきました。 それで、踏み台にされているかもしれないと思って maillog を見てみたのですが、上記のメールを受信したログは見つかるのですが、もともとのスパムメールを送信した形跡が見つかりませんでした。 mailq にもそれらしい未送信のキューはありませんでした。 他のサーバから送られてくるセキュリティ警告メールは機械的に処理されるものなので、メールを受信したらすぐに返信されるものだと思っているのですが、送信ログがないのに、警告メールの受信だけが続いている感じです。 昨日まではこのようなことはなかったのですが、昨夜の日付が変わったころから急に発生し結構な頻度で警告メールが送られてきています。 postfix の改ざんも疑うべきでしょうか? 他にチェック項目とか、対策できる項目は何かありますでしょうか?
- ベストアンサー
- ネットワーク
- メールサーバの転送限界?
メールサーバについての疑問です。 メールサーバで、メールを転送するサービスがありますよね。例えば、特定のアドレスAに来たメールを携帯へ転送などといった事ができたと思います。ここで、例えばアドレスAに来たメールをアドレスBに転送するようにサーバに設定し、アドレスBに来たメールをさらにアドレスAに再転送するようにサーバに設定するとどうなるのでしょうか? ヘッダを見て再転送しないようになるのでしょうか?
- ベストアンサー
- Linux系OS
- メールサーバーが外部からのメールを受信できません。
現在メールサーバーを構築し、Lan内の送受信、外部へのメール送信はできるのですが、外部からのサーバーへのメールが受信できません。 何か設定がまちがっているのでしょうか? ドメインは、お名前.comとJPRSで、取得しています。両ドメインは、同じYahooBB12Mの同じWAN側アドレスをしようしています。 今回は、お名前.comのドメインを使用してメールサーバー構築をすることに、しました。 お名前.comのDNSレコード設定、ホスト設定、ネームサーバー設定(01.dnsv.jp、02.dnsv.jp)はしてあります。 ルーターはcoregaの有線ルーターを使用しています。設定はバーチャルサーバーを使用しています。smtpメール送信 サーバーipアドレス 入力25ポート出力587ポートで、設定しています。 同じLan内win-vistaパソコンのnslookupステータスを記入しておきます。 xxxxx.net は お名前.comでの取得ドメイン名です。 c:\>nslookup 既存のサーバー:UnKnown Address:; xxx.xxx.xxx.xxx (ルーターのLan側ipアドレス) >set type=all >xxxxx.net サーバー: UnKnown Address: xxx.xxx.xxx.xxx (ルーターのLan側アドレス) 権限のない回答: xxxxx.net MX preference = 10, mail exchanger = linux.xxxxx.net xxxxx.net primary name server= 01.dnsv.jp responsible mail addr = hostmaster.dnsv.jp serial = 1248589253 refresh = 3600 (1 hour) retry = 900 (15 mins) expire = 604800 (7 days) default TTL = 3600 (1 hour) xxxxx.net nameserver = 01.dnsv.jp xxxxx.net nameserver = 02.dnsv.jp xxxxx.net nameserver = 02.dnsv.jp xxxxx.net nameserver = 01.dnsv.jp 01.dnsv.jp internet address = 210.172.129.68 02.dnsv.jp internet address = 210.172.129.69 > です。 よろしくお願いします。
- 締切済み
- ハードウェア・サーバー
- .forward経由でメールと添付ファイルを分類したい
初めて投稿します。Perl初心者なのでよろしくお願いします。 今、携帯電話からの画像メールをサーバのイメージフォルダに自動登録する事を考えています。 メールサーバからWebサーバにメールを転送し.forwardを参照して処理をしている所までは正常に動作しているのは確認しています。わからないのはパイプで渡すプログラムです。メールの本文を抜き出すサンプルプログラムはあったので試したら上手く行きました。FromアドレスやSubject、添付ファイルの入力と分類の仕方がわかりません。 .forwardに違うメールアドレスを書いたらチャント転送もできたし、サンプルプログラムをパイプで渡したら上手くプログラムが動いたので.forwardの記述などは問題ないと思っています。どこかにサンプルプログラムはありませんか?また、Perlでの入力や分類の方法を教えてください。
- 締切済み
- Perl
- メールが受信できない
お世話になっております。 現在サーバーにwebmin(virtualmin)を入れています。 メールの送受信の設定はできているのですが、以下のような問題が発生します。 「問題」 特定のメールアドレスからメールが受信できない。 (相手は間違いなくメールを送って、エラーになって帰ってきてない) こちらから相手側への送信は出来ています。 ちなみに、この現象はすべてのメールアドレスに当てはまるわけではありません。 うまく送受信できるメールもあります。 「現状」 お名前.comでドメイン取得 ネームサーバーはお名前.comが提供しているレンタルDNSを利用。 01.dnsv.jp 02.dnsv.jp レンタルDNSには ○○○○○○.com MX mail.○○○○○○.com 10 *.○○○○○○.com A 163.**.**.** mail.○○○○○○.com A 163.**.**.** ← レンタルサーバーのアドレス のように設定しました。 現在どのように調べていけば、何が原因なのか皆目検討がつかず、お知恵をいただければと思っています。 大変恐縮なのですが、ご回答いただければと思います。 よろしくお願いいたします。
- ベストアンサー
- ハードウェア・サーバー
お礼
早々にお返事いただきましてありがとうございました。 ご指摘どおり、一時的に停止し乗り換えををするようです。 また何かありましたら宜しくお願い致します。