• 締切済み
  • 困ってます

不正なメール送信元で、sendmailがダウン、ほんと?

VPSサーバーをレンタルし、独自ドメインでメール及びwebサイトを構築しています。FreeBSD4.7とsendmailで送信にはSMTP authを採用していますが、突然メール送受信不可となりサポートへ相談すると、「アカウントから大量のメール送信があり、sendmailのプロセスが異常に増えストップしている」と説明されました。 サポートでsendmailを再起動し復旧しましたが、対処方法はユーザのメールPWを変更するしかないと説明されました。それは即ち、サーバーでなくメールPWが漏れていて、アカウントから不正送信がされているとの説明でした。 /var/log/mail ログには、「@paypal.com」や、怪しいメールアドレス宛の送信ログが大量に残り、defferdを示していました。また、/var/spool/mqueue にも未送信のデータが数千と残っていました(削除してもらい済み)。 そこで以下の疑問があります。 1.このサポートセンターの説明は正しいと思われますか? 現在150ほどのアカウントを管理していますが、PWはもともと難解に設定しており、簡単に漏れるとは思えません(エンドユーザが勝手に変更出来ないようにも設定済)もっと別の原因は考えられませんか? 2. 150近いアカウントのPW全変更は大変な作業である上、実際メールを利用しているのはクライアントの為、最小限に抑えたいのです。 ログから、クラックされているアカウントを目星だけでもと質問したのですが、ログからは調査不可の説明でした。これも本当に無理ですか?送信元の情報も(IPアドレスやホスト名など)と質問しましたが、送信元は偽装してくるとかで、これも特定不可と説明されました 4.ちょっと本筋とは外れるのですが、/var/spool/mqueueと同じディレクトリにある、clientmqueueは何が違うのでしょうか? サポートに連絡しても、はっきりと説明をしてくれませんでした。(たぶん分からないのだと思いますが・・・) お願いします。

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数817
  • ありがとう数4

みんなの回答

  • 回答No.1
  • kalze
  • ベストアンサー率47% (522/1092)

1,2に関しては、ログみないとなんともいえないことを予め書いておきます。 >>1 正しい可能性はあります。 まず、第三者中継に関する対策が完全になされていたと仮定して。 原因としては、SMTP authのユーザーアカウントとそのパスワードが漏れて、そのアカウントを利用して送られた。 サーバ自体に不正アクセスされた。 他のシステムの脆弱性を突かれた。 など可能性は多数考えられます。 その可能性のうち、いずれか、またはその組み合わせかということを調べるのにログが必要です。 パスワードの漏れ方としては、 ・ユーザーから漏れた場合 ・サーバにアタックかけられた場合 が簡単なところだとあります。 前者は、ユーザーのPCなどにスパイウェアなどを仕掛けられるなど事故によるものや、ユーザーがちゃんとパスワードを管理していなかったなど比較的簡単に起きます。 後者は、まず、辞書に載っている言葉などで、認証をしようとして、パスワードではじかれたら、ユーザーは固定して、パスワードは総当りで調べていくなど。 SMTP auth用のアカウント情報が漏れただけなら、ログを操作されることはないでしょうから、ログ見ればどのアカウントで認証されたかわかるでしょう。 2については、クラックされた方法によるでしょう。 1で説明したように、SMTP authの認証のためのアカウント情報が漏れて、それが利用されただけならば、きちんとログをとる設定にしてあれば、メールログに認証のログが残っているでしょう。 ログを書き換えるようなクラックをされていれば、ログに残ってないでしょうけど。 個人的な意見を言わせてもらうと、別に送信元もクラックされたアカウントもわからなくてもいいからログを閲覧することを要求します。 共有ホストであろうが、占有であろうが、自分のところに関するところだけでよいので、よこせといいます。 もし、ログを渡さないようであれば、別の会社の穂スティングサービスに乗り換えるでしょう。 ログからはシステムの不具合に関することだけではなく、いろいろなことが読み取れます。 そして、そのログを閲覧する権利は管理者(穂スティングの利用者)にはあります。 >>4 /var/spool/mqueue MTAが使うメールキュー /var/spool/clientmqueue MSPが使うメールキュー 簡単にいえば、前者はネットワークから受け取り送信するメールが入るキュー。 後者は、ローカルから送信されるメールが入るキュー

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • sendmailのメールキューの削除の仕方

    『No.153471 質問:ループしている?メール接続を消す方法 』 でも同じような質問をしているのですが、 現在sendmailの設定を行っています。 AというサーバからBというdns兼Aのメールサーバの中継の設定を行ってメールを 送信しようとしています。当初sendmailの設定が上手くいかず、そのときのエラー メールが今でもループしています。mailコマンドで、あるわけもないアカウントに 送信もしました。とりあえず、/var/spool/mqueue/の内容は消しました。 このような、行き場所のないメールキューをクリアする方法はないでしょうか。

  • sendmailの動作に関して

    現在、AIX5.1、sendmail8.11.6p2でメールシステムを 構築しています。 今まで普通に動いていたのですが、ここ最近、/var/spool/mqueueがいっぱいになって、メールが送受信できない事態が起こっています。 ログを見ると、ある人からメールが届くのですが、何らかの理由で受信できない場合、Mailer daemonが返信しようとします。しかし、data Format errorのため送信できないようです。このため、定期的にMailer daemonがメールを送信をしようと試み、そのたびに、失敗しています。同時に、新しいメッセージIDが付いたメールが/var/spool/mqueueに溜まっていってしまいます。 ログはこんな感じです。定期的に以下のような内容が出力されます(メッセージIDは異なる) Sep 20 09:38:55 dns1 sendmail[114638]: j8K0aDb114638: to=<foo@hogehoge.co.jp>, delay=00:00:02, xdelay=00:00:00, mailer=smtp, pri=4622146, r elay=***.*****co.jp. [123.456.789.1011], dsn=5.6.0, stat=Data format error Sep 20 09:38:55 dns1 sendmail[114638]: j8K0aDb114638: j8K0aDc114638: return to sender: Data format error Sep 20 09:39:06 dns1 sendmail[114638]: j8K0aDb114638: Losing ./qfj8K0aDb114638: savemail panic Sep 20 09:39:06 dns1 sendmail[114638]: j8K0aDb114638: SYSERR(root): savemail: cannot save rejected email anywhere: No such file or directory このように、メールが返信できないと、次々に新しいメッセージIDをもったキューを作り出すのは、仕様なのでしょうか?それとも、バグなのでしょうか? また、Mailqを見ても、キューはないのに、/var/spool/mqueueにはメッセージがたくさん残っているように見えるのですが、これは、正常なsendmailの動作の結果できたごみファイルで、できるのが普通なのでしょうか?

  • 【sendmail】mqueueの再送について

    はじめまして。 sendmailを使ってのMTAの運用をしているのですが、sendmailの仕様でわからないことがあり困っています。 ある宛先のメールが[stat=deffered,no such file or directory ]というメールログが出力されていて、 送信できませんでした。 調べると送信先のメールサーバの負荷がそのとき高かったので送信できなかったというとはわかりました。 その時、そのメールは「mqueue」に保留されていたようです。 ただ、その宛先へ再送されたのが上記エラーが出た6日後でした。 教えていただきたいのは、 sendmailの仕様として、「mqueue」に保管されたメールの再送タイミングは、 どこか(sendmail.cf)に設定があるのでしょうか。 また、メールの再送が6日後になったことについて、考えられる原因はなんでしょうか。 一定期間で再送されるものではないのでしょうか。 当時の状況としては、 1.「mqueue」には約8000件のメールがたまっていました。 (ほとんどが送信元偽装のSPAMのリターンメール) 2.送信先サーバは、負荷が高かったようです。 教えてもらいたいことは、 1.「mqueue」の再送は、sendmail.cfに設定がありますでしょうか。 2.「mqueue」の再送は、古いものから順に再送されるのでしょうか。 3.6日間再送されなかった原因として想定されることはなんでしょうか。 4.このようなことを防止する策としてはどのようなことがあるのでしょうか。 以上、ご教授いただけると幸いです。宜しくお願いします。

  • sendmailの送信

    SSD/LINUXというメーカーのLinuxのOSです。  rootで送受信はうまく行っています。一般のユーザで は受信はうまく行えますが、送信する際: Linux[377]$ can not chdir(/var/spool/mqueue/): Permission denied Program mode requires special privileges, e.g., root or TrustedUser. のようなメッセージが出て、できませんでした。  アドバイスをよろしくお願いします。

  • sendmailについて

    こんにちは。Linux初心者です。 sendmailについて質問をさせてください。 サーバ1からサーバ2へメールを送信しようと考えております。 サーバ1、サーバ2:red hat enterprise linux 5。 両方にsendmailはインストール済み。 sendmailは起動済み。 サーバ1からmailコマンドで % echo "test" | mail ユーザ@サーバ2 を実行したところ、サーバ2の/var/spool/mail/ユーザに メールが到着しません。 サーバ2のポート25をtcpdumpでモニタリングしていると、 サーバ1でmailコマンドを実行してもサーバ2のポート25には、 何もデータは到着しません。 *サーバ1からの以下のコマンドは正常にサーバ2のポート25に到着します。  % telnet サーバ2 25 また、サーバ1からサーバ1へのmailコマンドを使用したメール送付は 正常に実行されます。 サーバ1側の何かしらの設定が悪いかと考えているのですが、 どこをどう修正すればよいのかがわかりません。 質問 送信できない原因、または調査方法をご教示ください。

  • sendmailにおいての/var/spool/mqueueディレクトリに関して

    Sendmailを使用して、メールシステムを作っています。 mailqとうっても、キューにはメールがない旨、表示されるのですが、/var/spool/mqueueディレクトリには、多くのファイルが存在し、/varの領域を圧迫しています。手動で、これらのファイルを削除してもいいものなのでしょうか? よろしくお願いいたします。

  • sendmailでメール送信が遅延してしまいます

    こんにちは、はじめて投稿させていただきます。 当方、Solaris上でsendmailを立ててメールサーバとしていますが、ユーザから「メールが2~3日送れて届く」と苦情が来てしまいました。 sendmailのログを確認したところ、遅延しているメールには "dsn=4.0.0, stat=Deferred: Connection reset by <送信先ドメイン名>" とのログが残っています。 この場合sendmailは一定間隔で再送を繰り返し、何回かリトライした後に送信されております。 平均すると送信を開始してから1.5日後位に届いております。 すべてのメールが遅延しているというわけではなく、すぐに届くメールも存在します。 これは何が原因なのでしょうか? 何かお心当たりのある方、アドバイス頂けると幸いです。

  • sendmailのキューと/vvar/spool/mqueueの数が異なる

    Sendmail初心者です。よろしくお願いします。 数件なのですが/var/spool/mqueue以下にメールが滞留しています。 このメールは一週間以上経過しています。 (どこからもクレームもありませんし、今のところ大きな問題はありません。) ただ、mailqでは滞留メールは表示されません。 sendmail -q -vコマンドにも反応しません。。。 (mailqで滞留メールがないので、当然かもしれませんが。。。) ちゃんとPostmasterのアドレスは設定されていますし、QUEUERETURN'に関しても設定しております。 define(`confTO_QUEUERETURN', `4h')dnl define(`confTO_QUEUERETURN_URGENT', `90m')dnl define(`confTO_QUEUEWARN', `3h')dnl にもかかわらず、なぜ/var/spool/mqueueにメールが存在し続けるのかが分かりません。また、なぜmailqにも表示されないのでしょうか? 本来、正常なメールならば未送信レポートを返して、キューから削除され、 spamなどの宛先不明メールならば、一定期間がすぎたら自動でキューから削除されると思います。 よろしくお願いします。

  • sendmailのキュー

    古いメールサーバを廃棄します。 その前にキューにたまったメールの処理をしたいと思います。 キューの消し方は、mailqコマンドでメッセージIDを調べ、 【手順1】 $ rm /var/spool/mqueue/dfJAA00**** $ rm /var/spool/mqueue/qfJAA00**** などとすればよいと聞きました。→d***とq***を消す。 しかし、/var/spool/mqueueをみると、頭文字がdやqのメッセージ ばかりではなく、頭文字が大文字のQや大文字のT、小文字のt、 小文字のxなどのファイルがあります。 これらのファイルは、どのような性質のファイルなのでしょうか? 【手順1】を実行すれば、自動的に消えてくれるようなファイル なのでしょうか? mailqコマンドで、メールキューがなくなった後も、これらのファイルが残っていた場合の対処方法などもご教授いただければ幸いです。 よろしくお願いいたします。

  • freeBSD6.0で sendmail8.13.4が動かない

    教えてください。freeBSD6.0でにsendmail8.13.4をインストールしました。 下記の通り、sendmailは起動していますし、このマシンにログインして、 telnet localhost smtpにより接続して、他のメールサーにメールを送ることも可能です。しかし、他のマシンから本マシンへはポート25指定で接続できません。ポートスキャンしてもポート25は、開いていません。 何が問題なのでしょうか? よろしくお願いします。 484 ?? Ss 0:00.38 sendmail: accepting connections (sendmail) 488 ?? Is 0:00.01 sendmail: Queue runner@00:30:00 for /var/spool/clientmqueue (sendmail)