[postfix-jp:635] Re: SPAM の踏み台にされた？

[Muneharu <muneharu@xxxxxxxx>]

postfix-jp のみなさん、はじめまして。
すぎもとと申します。


On Tue, 10 Apr 2001 00:30:05 +0900
Hideki -Henrich- Yamane <henrich@xxxxxxxxxxxxx> wrote:


> 　のユーザーという内容で、SPAMに使われているのではないか？と慌てて
> 　おります。ただ、どうやって判断したらいいのか、自分の経験と知識で

ログをざっと見た限り、第三者中継の踏み台として利用されたと思います。


> 　この様な場合、SPAMに使われているかどうかなど、どうやって判断したら
> 　いいのでしょうか？

| Apr  5 15:08:44 XXX postfix/qmgr[253]: C6A629BB64: from=<bearshield@xxxxxxxxxxx>, size=1353 (queue active)
| Apr  5 15:08:45 XXX postfix/smtpd[30453]: 99C809BB7C: client=slip-32-102-75-85.wi.us.prserv.net[32.102.75.85]
| Apr  5 15:08:46 XXX postfix/smtp[30456]: C6A629BB64: to=<boggie6@xxxxxxxxx>, relay=mx3.mail.yahoo.com[128.11.69.53], delay=11, status=sent (250 ok Wed Apr  4 23:08:46 2001:  ql 768903, qr 0)

の部分の from/to ともやまねさんが関与していないアドレスであるならば、
踏み台にされています。



設定は、ここ

> relay_domains = $mydestination,$virtual_maps,xxx.co.jp,xxx.net,xxx2.com,xxx2.net

がまずいのでは無いでしょうか？
xxx.co.jp, xxx.net, xxx2.com, xxx2.net はそのままではリレーしないようにし、
"pop before smtp" か "SMTP AUTH" で認証されたときのみ
リレーをするようにした方が良いと思います。


> 　で、リレーのチェックを再度しようと思い、
> 
> 　http://www.abuse.net/relay.html
> 　http://www.nanet.co.jp/rlytest/relaytest.html
> 　http://www.kyoto.wide.ad.jp/mta/relaycheck.html
> 
> 　などを試しましたが、全てクリアしました。

このリレーのチェックは特定のホストからのチェックなので、
上記の relay_domains が許してしまうホスト/ドメインからならば
第三者中継は行われてしまいます。



もう一点確認です。
同じホストでセキュリティホールが見つかっているバージョンの
BIND を動作させていないでしょうか？
root を乗っ取られた上、設定ファイルを書き換えられた可能性もあります。

# 私のまわりでもこれが原因で root 権限を乗っ取られたことがあったので...


-- 
  すぎもと たかし <mailto:muneharu@xxxxxxxx>