[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[postfix-jp: 2144] Re: ログの設定について(送信者の特定)
- Subject: [postfix-jp: 2144] Re: ログの設定について(送信者の特定)
- From: IWAMOTO Kouichi <sue@xxxxxxxx>
- Date: Sun, 9 Jul 2006 04:04:44 +0900
- Domainkey-signature: a=rsa-sha1; h=Received:Date:From:To:Subject:Message-Id:In-Reply-To:References:X-Mailer:X-Face:Mime-Version:Content-Type:Content-Transfer-Encoding; b=j2MiaNm7YmguIxqp+OC3hj3mBdxg6gZx5Iv/TdjnD1GM7aQdMaDp0Ui91FB1K+/6ZCHsslK7yuReuzMbiOd79C1eUatgsokMhJcra2+945wI7DAnngUnRnUiRm3G1+jD4+hEjLmeITJY25gvZmXLesPnWlxunOMIuDyvzZJX4g4=; c=nofws; d=iwmt.org; q=dns; s=asel1
岩本といいます。
On Thu, 6 Jul 2006 21:16:25 +0900
wadax <sorano@xxxxxxxxxxxxxxxxxx> wrote:
> 送信したメールの到着が異常に遅かったりするのでログを
> 参照したところ、大量のスパムメールをはき出しているようです。
もし、まだメールサーバを動かしているならば、postfix abortで
サーバを停止して下さい。
その後にスパムメール送信に使われた原因を調べて下さい。
> どうにか送信者を特定したいのですが、ログを見ても送信者が特定できるような
> 情報がなく困っております。
> そもそも、メールのログでは送信者を特定することは不可能なのでしょうか。
メールログには送信者のメールアドレスも記録されます。
ただし、この送信者のメールアドレスは容易に詐称が可能で、スパムメールでは
ほとんどの場合詐称されているのであてに出来ません。
送信者について調べる場合、通常は接続元IPアドレスの管理者をwhois等で
調べて、確認をお願いする形になると思います。
接続元のIPアドレスはログに以下のようなかたちで記録されます。
Jul 8 13:15:13 ayaka postfix/smtpd[1426]: 4E60F1713F: client=localhost[127.0.0.1]
> Jul 6 19:17:27 ****** postfix/smtp[32257]: 57ED582823: to=<aminys@
> crisny.org>, relay=none, delay=171106, status=deferred (connect to
> gate.knick.net[167.166.46.41]: server dropped connection without
> sending the initial SMTP greeting)
> Jul 6 19:17:27 ******t postfix/smtp[32222]: connect to hormail.com[
> 207.97.254.230]: server dropped connection without sending the
> initial SMTP greeting (port 25)
> Jul 6 19:17:27 ******t postfix/smtp[32222]: 587B280EF6: to=<
> hsepulveda54@xxxxxxxxxxx>, relay=none, delay=330373, status=deferred
> (connect to hormail.com[207.97.254.230]: server dropped connection
> without sending the initial SMTP greeting)
2通のメールの記録が有りますが、いずれもdelayの値がかなり
大きいですね。
delayの値を元に逆算すると、57ED582823は7月4日の19時45分頃、
587B280EF6は7月2日の23時30分頃に送信者のメールアドレスや
接続元のIPアドレスが記録されていると思います。
# このメールがsmtpd経由で送信されてきたならばですが
On Fri, 7 Jul 2006 09:18:29 +0900
wadax <sorano@xxxxxxxxxxxxxxxxxx> wrote:
> smtpd_recipient_restrictions = permit_sasl_authenticated, reject_
> unauth_destination
この設定ならば、通常ならばsmtpd経由で不正中継に利用される事は
まず無いと思います。
# SMTP AUTHのユーザID/パスワードが漏洩していなければですが
おそらく、何らかの方法でsendmailコマンドを利用してメールを送信
していると思います。
sendmailコマンドを使ってメールを送信した場合、接続元のIPアドレスは
記録されないで、以下のように送信したユーザのUID番号とユーザ名が
記録されます。
Jul 8 13:15:12 ayaka postfix/pickup[1334]: EBFC117145: uid=5963 from=<sue>
送信されて来た日のログを確認して、smtpd経由で送られて来たか
それともsendmailコマンド経由で送られて来たが確認して下さい。
smtpd経由で送られて来ていた場合、SMTP AUTHのユーザID/パスワードが
漏洩していると思われるので、ユーザID/パスワードを変更して下さい。
sendmailコマンドで送信されているならば、送信したユーザを調べます。
これが例えばApache用のユーザならば、CGIプログラム等にセキュリティ
ホールがあり、それを利用してスパムメールが送信されたのだと思います。
この場合はApacheのログを確認して、スパムメールの送信に利用された
CGIプログラムを特定して対処する必要があります。
--
いわもと こういち(sue@xxxxxxxx/sue@xxxxxxxxx/sue@xxxxxxxxxx)
# なるようになれ、明日もイケイケ♪
_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list
- Follow-Ups
-
- [postfix-jp: 2146] ログの設定について(送信者の特定), wadax
- References
-
- [postfix-jp: 2140] ログの設定について(送信者の特定), wadax
- [postfix-jp: 2141] Re: ログの設定について(送信者の特定), 児玉憲治
- [postfix-jp: 2143] Re: ログの設定について(送信者の特定), wadax
[検索ページ]
[Postfix-JP ML Home]