2009年12月23日

[postfix-jp: 3689] Re:不正利用者の特定について

荻野です。

"空野" said the following on 09/12/23 14:05:
> つい先日、ある企業のブラックリストに登録されていたため
> キューをみると1700件ほどのメールがたまっていたため
> 強制削除しました。
> 登録ユーザ以外の送信を制限しているはずなのですが
> 正規のユーザか不正ユーザーか特定ができませんが

> スパムメールの中継サーバになってしまっているようです。

気になるのですが、外部からのメールを中継 (Open Relay) をしていないかどう
かは確認されましたでしょうか。検索してみると

http://www.rbl.jp/svcheck.php

などいくつもチェックツールが公開されているようです。

> そこで、接続しているユーザを特定することは可能でしょうか?
> /var/log/maillog のログは一通り確認したのですが
> 闇雲にたどっているだけではどこからの接続かは
> 判別できませんでした。

キューから削除ということは postsuper -d Queue_ID としたということでしょ
うか。「一通り確認した」のであれば外しているかもしれませんが、その Queue
ID が分かるのであれば、それで grep してみてはどうでしょうか。

> Dec 23 14:06:14 black postfix/smtpd[5963]: 115B960F7EDC: client=lists.sourceforge.jp[202.221.179.24]
> Dec 23 14:06:14 black postfix/cleanup[5974]: 115B960F7EDC: message-id=<12615447558360000042c@xxxxx>
> Dec 23 14:06:14 black postfix/qmgr[15290]: 115B960F7EDC: from=<postfix-jp-list-bounces@xxxxx>, size=4129, nrcpt=1 (queue active)
> Dec 23 14:06:14 black postfix/local[5975]: 115B960F7EDC: to=<ogino@xxxxx>, relay=local, delay=2.7, delays=2.6/0.01/0/0, dsn=2.0.0, status=sent (d
> elivered to maildir)
> Dec 23 14:06:14 black postfix/qmgr[15290]: 115B960F7EDC: removed

こんな感じになるかと思いますので、client= をみれば発信元の IP アドレスが
分かります。「接続しているユーザ」ではありませんが。ウイルスに感染してい
る場合もありますし、ユーザが意識してやっているとは限らないかと。

grep して Queue ID を得て、それで再度 grep というのは頻繁に使うので手元
ではスクリプトを組んでいます。

--
荻野 充 (おぎの みつる) ... 「萩(はぎ)」にあらず
Key fingerprint = 7F26 5414 1805 F31B 1617 10B7 C117 07AE 1691 9BD1

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list


投稿者 xml-rpc : 2009年12月23日 16:22
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/91649
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。