踏み台にされたかどうかの確認方法と対策
- CentOS サーバでメールスパムが増加した際に、踏み台にされた可能性や対策方法について説明します。
- メールサーバのログを確認しても踏み台にされた形跡やメールの送信ログが見つからない場合、postfix の改ざんを疑う必要があります。
- 対策としては、メールアカウントのパスワード変更やセキュリティ対策の強化、問題のあるサーバへの接続制限などを検討すると良いでしょう。
- ベストアンサー
踏み台にされたかどうかの確認はどうすれば
CentOS がインストールされたサーバで、メールサーバ(postfix)を運用しています。 昨夜から、他のメールサーバからのスパム報告やセキュリティ報告のメールが多数届くようになりました。 メールのタイトルは下記のようなものです。 Email was Quarantined [Virus Notice] Payroll Invoice **あなたの送信したメールはスパムフィルタによってブロックされました** MDaemon Notification -- Attachment Removed 送信元は多岐にわたっていて、文面から、メールサーバのスパムチェッカやウィルスチェッカが送ってきたメールだと思われます。 拒否メールの宛先(もともとのスパムメールの送信元)は、下記のようにデタラメな英数字で作られていて、スパムであったことが推測されます。(*****.***の部分は実在する私のドメインです) sojournrjm178@*****.*** nagshq@*****.*** unravellingjia@*****.*** 存在しないアカウント宛のメールをすべて1つのアカウントで受信するようにしているので、気がつきました。 それで、踏み台にされているかもしれないと思って maillog を見てみたのですが、上記のメールを受信したログは見つかるのですが、もともとのスパムメールを送信した形跡が見つかりませんでした。 mailq にもそれらしい未送信のキューはありませんでした。 他のサーバから送られてくるセキュリティ警告メールは機械的に処理されるものなので、メールを受信したらすぐに返信されるものだと思っているのですが、送信ログがないのに、警告メールの受信だけが続いている感じです。 昨日まではこのようなことはなかったのですが、昨夜の日付が変わったころから急に発生し結構な頻度で警告メールが送られてきています。 postfix の改ざんも疑うべきでしょうか? 他にチェック項目とか、対策できる項目は何かありますでしょうか?
- haru44
- お礼率68% (153/223)
- ネットワーク
- 回答数2
- ありがとう数15
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
外部からログインされてmaillogを改ざんされている。 というのでなければ、スパマーが送信者のアドレスとして貴方の管理下のドメイン名を偽装しているのでしょう。 で、送信された先でエラーメールなりなんなりを自動返送するようになっていると思われます。 つまり、貴方のサーバから送信されていないので手の打ちようがありません。 送られてきている報告メールに元々のメールのヘッダ情報とかついていれば、とりあえずどこのIPから出されたものなのかを調べることは可能かも知れません。 # まぁ、調べられたとしても、その後の対処の方法がないのですが……。 >存在しないアカウント宛のメールをすべて1つのアカウントで受信するようにしている で、フィルタして破棄するくらいしかないんじゃないですかねぇ……。
その他の回答 (1)
- ahoo_ok
- ベストアンサー率31% (30/95)
>maillog の改ざんもされていないと思います。 巧妙に改ざんなんてされていたらそれが改ざんされていたかなんてわからない。 >rootアカウントや、その他のアカウントにログインされた形跡はありませんし さてねぇ。どうだろうね。改ざんされていたり質問者が気づいていないだけで すでにログインされていたりバックドアが仕掛けられていたり
関連するQ&A
- mailqでは何もたまっていないのにサーバーが何度も同じメールを送り続けます。
RHL9.0、postfixでメールサーバーを運用しています。Aさんが、/etc/postfix/aliasesのあるメーリングリストにWord文書添付のメールを1回送り、そのメールは各メンバーに受信されました。 その後、約1時間後おきに、まったく同様のメールが同じメーリングリストに送られます。初めはAさんのPCに問題があるのだろうと思いましたが、AさんのPCの電源を落としても送信されてきました。メール送信に失敗して再送信を試みているのかとmailqコマンドで調べましたが、何も残っていませんでした。その後、再起動したのですが、相変わらず送信が続いています。 ログには、Aさんの最初の送信も含めてまったく記録されていません。 現在、行き詰っています。どなたかアドバイスお願いいたします。
- 締切済み
- その他(OS)
- メールの踏み台について
知人より下記のメールが届きました。 何か対処方法、情報などありましたら教えて下さい。 宜しくお願い致します。 > 突然ですが、弊社のメールサーバーが何者かに踏み台にされています。 > ログからアドレスはわかりますが、このような情報は他にもありますか? > もし知っていたら場所(アドレス)を教えてください。 > > サンプルにログファイルを添付します。 > > このログによると、64.39.30.94 html guest@*****.com と > 64.39.30.94 html abc@*****.com からのメールが弊社のサーバーを > 踏み台にしてどこか?へ送信しています。 > > 弊社のメールサーバーソフト(EMwack)では転送の規制ができないので > 現在はルーターでこのアドレスをはじいています。
- ベストアンサー
- ネットワーク
- postfix+qpopperの設定(メールが受信できない)
postfix+qpopperの組み合わせでメールサーバを構築しようとしています。 postfixを使用したメールの送信は、他サーバへのものは成功しています。しかしながら、postfixから自サーバ内のqpopperへの送信(自アドレスへの送信)、また他のサーバから自サーバへの受信(外部アドレスから自アドレスへの受信)が出来ません。qpopperへのtelnet及びMUAでの接続はうまくいきますが、受信したメールが無いと言われてしまいます。 以上のことから、postfixからqpopperへのメールの受け渡しが正常に行なわれていない、と予想を立ててみたのですが、チェックするべき箇所が思いつきません。どうぞよろしくお願いいたします。 [環境] 自宅サーバで、Debianでpostfix、qpopperでメールサーバ機能を構築。 postfix:設定(不正中継の防止など)をした上で、メール送信(外部のアドレスへ)は無事成功 qpopper:inetdで動作。telnet等でアクセスするとちゃんと反応があり、パスワードを入力すると、受け付けられる。しかし、受信メールは無いとの表示。これはサーバ内でも同じ結果。
- ベストアンサー
- その他(ITシステム運用・管理)
- telnetでのメールテストについて
教えてください。 コマンドプロンプトを使って、telnetでメール送信をしました。 Windows Liveメールでメール受信していますが、 送信者と受信者が表示されていません。 telnetでメールテストをすると表示されないものなのでしょうか? メーラ(Windows Liveメール)を使って内部メール送信すると 送信者と受信者とも表示されています。 (例) telnet 1.1.1.1 25 MAIL FROM:test@aaa.co.jp RCPT TO:test@bbb.co.jp DATA test mail . QUIT 因みにテスト環境ですが、 OSはCentOSで、外部からの受信メールサーバ(Postfix)と 内部受信&送信メールサーバ(Postfix&Dovecot)の2つがあります。 外部メールサーバで受信したメールを内部メールサーバへ転送しています。 外部メールサーバへ別のPCからtelnetでログインし送信しています。 メールサーバのログには送信者、受信者両方表示されて残っていました。 よろしくお願いします。
- ベストアンサー
- Linux系OS
- Postfixのスパムメール対策について
スパムメール対策にspamassassinを使っているのですが、はじききれずに 受信してしまうスパムメールが多くなってきたので、併用してできる他の 方法を模索しております。 防止率が多少低くなってしまってもかまいませんので、正常なメールはちゃんと受信されることを優先した、いい方法をご教示頂きたいです。 宜しくお願い致します。 メールサーバはPostfix2.1.5、spamassassinは3.0.4-2.fc3のバージョンを使っております。
- ベストアンサー
- その他(ITシステム運用・管理)
- spamメール受信につきまして
社内へ先日、NTTのUTM導入により、 Security BOSS ゲートウェイ・セキュリティ運用監視をメール送受信時行われてます。 よくわからない事が多いので、どうぞ優しく教えて頂けましたら幸いです。 お伺いしたい内容は、社内メールにて何度かやり取りし長文もなっている内容で、 普段通りメールを返信した所、相手側に「spam Re おつかれさま。」となりました。 送信側には、「spam」は表示されておりません。 初めての事です。 メーラー 送信 アウトルック 2010 受信 アウトルック 2007 ノートンをインストールしてるのですが、恐らくUTMのセキュリティによって、spamと判断されたと言うことですよね? その場合、セキュリティ管理者に自動で報告メール?レポートして飛ぶのでしょうか? ホームページで調べたと頃、以下の内容がありました。 SMTPやPOP3で受信されるEメールや添付ファイルが、スパムメールに該当しないかスキャンをおこないます。 スパムが検知された場合、ゲートウェイ装置は次のどちらかの処理をおこないます。 ・隔離 → ゲートウェイ装置内にEメールを隔離 ・警告 → Eメールの件名の頭に『*SPAM*』を付加し、あて先へ送信 ※隔離したメール情報については、翌日の隔離レポートから確認してください ※スパムと判定されず、またウィルスも検知されなかったEメールは、通常通りに送信されます どちらかの処理とのことで、警告となり件名にspamがついてますが、通常通り送受信ができており、メールが隔離されてセキュリティ担当に報告されていないと考えてて良いでしょうか? 設定にもよると思いますが、どなたかお詳しい方おられましたらご回答をお願いします。 また、メール内容につにましては、愚痴っぽい感じの内容でそもそも良くないのは重々承知してまして、特定のワードでこの様になったと考えてます。 長くなり、申し訳ございませんが、どうぞよろしくお願い致します。
- 締切済み
- 迷惑メール
- メールフォームからスパム
私が使うドメインから、スパムが大量に発信されている、至急調査した方が良い、という警告をフォームメールから受けました。 レンタルサーバーに問い合わせたところ、警告されているようなメールアドレスやスパム送信の履歴はないとのことでした。 フォームメールのCGIを踏み台にして、そのようなスパムをばらまいているのではないかという見解をレンタルサーバー側はしています。 しかし、フォームメールはスパム防止のための受信専門で設置した物です。そのような事が出来るとはとうてい思えないのですが。。。 警告には氏名、連絡先等の記載は書いていないので、連絡の鶏用がありません。こういう場合はいったいどうしたら良いのでしょうか。 本当にスパムを所有ドメインを使って発信しているのであれば、申し訳ないので改めたいと思って居ます。
- ベストアンサー
- その他(メールサービス・ソフト)
- サンダーバードでYahoo!メールのアカウントを複数設定したときのこと。。
Yahoo!メールをサンダーバードを使って送受信しています。 先日、Yahoo!メールのアカウントを30個ほど作って、サンダーバードにすべて別アカウントで設定しました。 そして「すべての新着メッセージを受信」ボタンを押すと、いくつかのアカウントで パスワードを受信できませんでした。メールサーバpop.mail.yahoo.co.jpからの応答: temporarily unabailable - for help go to http:help.yahoo.co.jp/help/jp/mail/browser/browser-12.html と警告が出てパスワードを要求されます。 パスワードは記憶させているので、何度もOKボタンを押さなければなりません。 どうも、スパムメールを送信していると判断されているようですが、そのようなことはしていません。 この警告が出ないようにする方法はないものでしょうか? ちなみにYahoo!メールのアカウントは生きています。
- ベストアンサー
- その他(メールサービス・ソフト)
- postfixのセカンダリメールサーバについて
■環境 CentOS 5.6 postfix.x86_64 2:2.3.3-2.3.el5_6 ■質問経緯 postfixでセカンダリメールサーバを構築しました。 プライマリサーバのpostfixのサービスを停止し、他のドメインからメールを送信して、一定時間(約1時間)放置後にプライマリサーバのpostfixのサービスを開始すると正常にメールが受信できます。 上記より、セカンダリサーバが正常に動いていると考えております。 しかしながら、プライマリサーバがメールを受信できない場合にセカンダリサーバのどこにメールが保存されているのわかりません。 ■質問内容 1.セカンダリサーバのどこにメールが保存されているのでしょうか?
- ベストアンサー
- Linux系OS
お礼
早速の回答ありがとうございます。 rootアカウントや、その他のアカウントにログインされた形跡はありませんし、maillog の改ざんもされていないと思います。 「スパマーが送信者のアドレスとして貴方の管理下のドメイン名を偽装している」という可能性は高いのでしょうね。昨夜から急に現れたのでびっくりしてしまったのですが、スパマーに拾われただけという解釈にしたいと思います。 機械的に処理されているメールなので、先方の担当者には致命的な迷惑はかかっていないと考えて、フィルタリングして無視するしか手はなさそうですね。