2012年5月16日

[postfix-jp: 4131]sasl_username と sender が異なる場合は配送したくない

こんにちは。高江洲と申します。
Postfix 2.8.3 + SASL を使っています。

mailq が異常に増えたので調べてみたら、乗っ取られてスパム発信してしまったようです。

postcat で見ると、 sasl_username は実在のアドレスなのですが、sender が書き換えられてしまっています。
実在のアドレスのパスワードが漏れたのか総当たりでバレたのか不明ですが、sender が my_domain では
ない場合は拒絶したいです。


対応策をご教示頂けないでしょうか。
(現在はパスワード変更で対応しましたが、利用者のパスワードが漏れる事は避けられず、根本的に解決したいです)

◆mailq の出力抜粋。Sender アドレス(nottori@xxxxx)が my_domain じゃないのに配送しようとしている!!
322081406D8* 620 Wed May 16 03:44:57 nottori@xxxxx
(delivery temporarily suspended: lost connection with mx2.example.org[12.34.56.**] while sending RCPT TO)
hoge@xxxxx

◆上記のキューIDで中身を見てみた
# postcat -q 322081406D8
*** ENVELOPE RECORDS active/322081406D8 ***
message_size: 620 1501 10 0 620
message_arrival_time: Wed May 16 03:44:57 2012
create_time: Wed May 16 03:44:58 2012
named_attribute: log_ident=322081406D8
named_attribute: rewrite_context=remote
named_attribute: sasl_method=LOGIN
named_attribute: sasl_username=foo@xxxxx ← 実在のアドレス。パスワード漏れた!?
sender: nottori@xxxxx ← 別のアドレスで送ってしまっている!!!!
named_attribute: log_client_name=unknown
(((以下、省略)))

以上、よろしくお願いします。

----
takaesu @ pb4.so-net.ne.jp

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list


投稿者 xml-rpc : 2012年5月16日 17:23
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/110580
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。