2006年7月 9日

[postfix-jp: 2144] Re: ログの設定について(送信者の特定)

岩本といいます。

On Thu, 6 Jul 2006 21:16:25 +0900
wadax wrote:

> 送信したメールの到着が異常に遅かったりするのでログを
> 参照したところ、大量のスパムメールをはき出しているようです。

もし、まだメールサーバを動かしているならば、postfix abortで
サーバを停止して下さい。
その後にスパムメール送信に使われた原因を調べて下さい。

> どうにか送信者を特定したいのですが、ログを見ても送信者が特定できるような
> 情報がなく困っております。
> そもそも、メールのログでは送信者を特定することは不可能なのでしょうか。

メールログには送信者のメールアドレスも記録されます。
ただし、この送信者のメールアドレスは容易に詐称が可能で、スパムメールでは
ほとんどの場合詐称されているのであてに出来ません。
送信者について調べる場合、通常は接続元IPアドレスの管理者をwhois等で
調べて、確認をお願いする形になると思います。
接続元のIPアドレスはログに以下のようなかたちで記録されます。

Jul 8 13:15:13 ayaka postfix/smtpd[1426]: 4E60F1713F: client=localhost[127.0.0.1]

> Jul 6 19:17:27 ****** postfix/smtp[32257]: 57ED582823: to= > crisny.org>, relay=none, delay=171106, status=deferred (connect to
> gate.knick.net[167.166.46.41]: server dropped connection without
> sending the initial SMTP greeting)
> Jul 6 19:17:27 ******t postfix/smtp[32222]: connect to hormail.com[
> 207.97.254.230]: server dropped connection without sending the
> initial SMTP greeting (port 25)
> Jul 6 19:17:27 ******t postfix/smtp[32222]: 587B280EF6: to=<
> hsepulveda54@xxxxx>, relay=none, delay=330373, status=deferred
> (connect to hormail.com[207.97.254.230]: server dropped connection
> without sending the initial SMTP greeting)

2通のメールの記録が有りますが、いずれもdelayの値がかなり
大きいですね。
delayの値を元に逆算すると、57ED582823は7月4日の19時45分頃、
587B280EF6は7月2日の23時30分頃に送信者のメールアドレスや
接続元のIPアドレスが記録されていると思います。
# このメールがsmtpd経由で送信されてきたならばですが

On Fri, 7 Jul 2006 09:18:29 +0900
wadax wrote:

> smtpd_recipient_restrictions = permit_sasl_authenticated, reject_
> unauth_destination

この設定ならば、通常ならばsmtpd経由で不正中継に利用される事は
まず無いと思います。
# SMTP AUTHのユーザID/パスワードが漏洩していなければですが

おそらく、何らかの方法でsendmailコマンドを利用してメールを送信
していると思います。
sendmailコマンドを使ってメールを送信した場合、接続元のIPアドレスは
記録されないで、以下のように送信したユーザのUID番号とユーザ名が
記録されます。

Jul 8 13:15:12 ayaka postfix/pickup[1334]: EBFC117145: uid=5963 from=

送信されて来た日のログを確認して、smtpd経由で送られて来たか
それともsendmailコマンド経由で送られて来たが確認して下さい。

smtpd経由で送られて来ていた場合、SMTP AUTHのユーザID/パスワードが
漏洩していると思われるので、ユーザID/パスワードを変更して下さい。

sendmailコマンドで送信されているならば、送信したユーザを調べます。
これが例えばApache用のユーザならば、CGIプログラム等にセキュリティ
ホールがあり、それを利用してスパムメールが送信されたのだと思います。
この場合はApacheのログを確認して、スパムメールの送信に利用された
CGIプログラムを特定して対処する必要があります。

--
いわもと こういち(sue@xxxxx/sue@xxxxx/sue@xxxxx)
# なるようになれ、明日もイケイケ♪
_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list

投稿者 xml-rpc : 2006年7月 9日 04:04
役に立ちました?:
過去のフィードバック 平均:(4) 総合:(4) 投票回数:(1)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/39205
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。