[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp: 3689] Re: 不正利用者の特定について



荻野です。

"空野" said the following on 09/12/23 14:05:
> つい先日、ある企業のブラックリストに登録されていたため
> キューをみると1700件ほどのメールがたまっていたため
> 強制削除しました。
> 登録ユーザ以外の送信を制限しているはずなのですが
> 正規のユーザか不正ユーザーか特定ができませんが
> スパムメールの中継サーバになってしまっているようです。

気になるのですが、外部からのメールを中継 (Open Relay) をしていないかどう
かは確認されましたでしょうか。検索してみると

  http://www.rbl.jp/svcheck.php

などいくつもチェックツールが公開されているようです。

> そこで、接続しているユーザを特定することは可能でしょうか?
>   /var/log/maillog のログは一通り確認したのですが
> 闇雲にたどっているだけではどこからの接続かは
> 判別できませんでした。

キューから削除ということは postsuper -d Queue_ID としたということでしょ
うか。「一通り確認した」のであれば外しているかもしれませんが、その Queue
ID が分かるのであれば、それで grep してみてはどうでしょうか。

> Dec 23 14:06:14 black postfix/smtpd[5963]: 115B960F7EDC: client=lists.sourceforge.jp[202.221.179.24]
> Dec 23 14:06:14 black postfix/cleanup[5974]: 115B960F7EDC: message-id=<12615447558360000042c@xxxxxxxxxxxxxxxxxxx>
> Dec 23 14:06:14 black postfix/qmgr[15290]: 115B960F7EDC: from=<postfix-jp-list-bounces@xxxxxxxxxxxxxxxxxxxx>, size=4129, nrcpt=1 (queue active)
> Dec 23 14:06:14 black postfix/local[5975]: 115B960F7EDC: to=<ogino@xxxxxxxxxx>, relay=local, delay=2.7, delays=2.6/0.01/0/0, dsn=2.0.0, status=sent (d
> elivered to maildir)
> Dec 23 14:06:14 black postfix/qmgr[15290]: 115B960F7EDC: removed

こんな感じになるかと思いますので、client= をみれば発信元の IP アドレスが
分かります。「接続しているユーザ」ではありませんが。ウイルスに感染してい
る場合もありますし、ユーザが意識してやっているとは限らないかと。

grep して Queue ID を得て、それで再度 grep というのは頻繁に使うので手元
ではスクリプトを組んでいます。

-- 
荻野 充 (おぎの みつる) ... 「萩(はぎ)」にあらず
Key fingerprint = 7F26 5414 1805 F31B 1617  10B7 C117 07AE 1691 9BD1

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list

Follow-Ups
[postfix-jp: 3690] Re:不正利用者の特定について, "空野"
References
[postfix-jp: 3688] 不正利用者の特定について, "空野"

[検索ページ] [Postfix-JP ML Home]