[postfix-jp: 4388] Re: Spamメール

["nebula@xxxxxxxxxxx" <nebula@xxxxxxxxxxx>]

こんにちは

>> MTP認証が正しく有効になっているのであれば、パスワードが漏れたユーザー 
>> アカウントがあると思われるので、ログから利用されているユーザー
>> アカウントを見つけ出して、パスワードを変更してください。
>
>すいません、複数のメールアカウントを使っているので、どのユーザアカウントからかわかりにくいです。
>どのユーザアカウントから送信したか分かる方法はあるのでしょうか。


SMTPの認証を sasl を利用している場合、以下のようなログが残っているのではないかと思います。

Feb 16 00:00:00 mail postfix/smtpd[10101]: XXXXXXXXXXXX: client=1.1.168.192.example.jp[192.168.1.1], sasl_meth
od=PLAIN, sasl_username=hogehoge


力技になりますが、まず sasl_username のある行を抽出し、client= からIP Address を取得し
その IP Address が利用者以外かどうかを判別して洗い出していく。

SPAM でブラックリストに載るくらいであれば、かなりの数のメールが送られていると思うはず
なので１つのユーザーIDから一体何通メール送られているかを数える。

この２つで絞り込めば、おおよその見当はつくと思います。

spammer は一気に大量に送りつけるタイプや、小出しにずーっと送り続けるタイプ、IP Address
を少しずつ変えながら送るタイプ色々いますが、大量に送り続けるという点に関してはほぼ共通
してるので、たくさんメールを送っているユーザーを探せばほぼ当たりだと思います。

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxx
http://lists.osdn.me/mailman/listinfo/postfix-jp-list