[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[postfix-jp:635] Re: SPAM の踏み台にされた?
- Subject: [postfix-jp:635] Re: SPAM の踏み台にされた?
- From: Muneharu <muneharu@xxxxxxxx>
- Date: Tue, 10 Apr 2001 01:02:42 +0900
postfix-jp のみなさん、はじめまして。
すぎもとと申します。
On Tue, 10 Apr 2001 00:30:05 +0900
Hideki -Henrich- Yamane <henrich@xxxxxxxxxxxxx> wrote:
> のユーザーという内容で、SPAMに使われているのではないか?と慌てて
> おります。ただ、どうやって判断したらいいのか、自分の経験と知識で
ログをざっと見た限り、第三者中継の踏み台として利用されたと思います。
> この様な場合、SPAMに使われているかどうかなど、どうやって判断したら
> いいのでしょうか?
| Apr 5 15:08:44 XXX postfix/qmgr[253]: C6A629BB64: from=<bearshield@xxxxxxxxxxx>, size=1353 (queue active)
| Apr 5 15:08:45 XXX postfix/smtpd[30453]: 99C809BB7C: client=slip-32-102-75-85.wi.us.prserv.net[32.102.75.85]
| Apr 5 15:08:46 XXX postfix/smtp[30456]: C6A629BB64: to=<boggie6@xxxxxxxxx>, relay=mx3.mail.yahoo.com[128.11.69.53], delay=11, status=sent (250 ok Wed Apr 4 23:08:46 2001: ql 768903, qr 0)
の部分の from/to ともやまねさんが関与していないアドレスであるならば、
踏み台にされています。
設定は、ここ
> relay_domains = $mydestination,$virtual_maps,xxx.co.jp,xxx.net,xxx2.com,xxx2.net
がまずいのでは無いでしょうか?
xxx.co.jp, xxx.net, xxx2.com, xxx2.net はそのままではリレーしないようにし、
"pop before smtp" か "SMTP AUTH" で認証されたときのみ
リレーをするようにした方が良いと思います。
> で、リレーのチェックを再度しようと思い、
>
> http://www.abuse.net/relay.html
> http://www.nanet.co.jp/rlytest/relaytest.html
> http://www.kyoto.wide.ad.jp/mta/relaycheck.html
>
> などを試しましたが、全てクリアしました。
このリレーのチェックは特定のホストからのチェックなので、
上記の relay_domains が許してしまうホスト/ドメインからならば
第三者中継は行われてしまいます。
もう一点確認です。
同じホストでセキュリティホールが見つかっているバージョンの
BIND を動作させていないでしょうか?
root を乗っ取られた上、設定ファイルを書き換えられた可能性もあります。
# 私のまわりでもこれが原因で root 権限を乗っ取られたことがあったので...
--
すぎもと たかし <mailto:muneharu@xxxxxxxx>
- Follow-Ups
-
- [postfix-jp:637] Re: SPAM の踏み台にされた?, Hideki -Henrich- Yamane
- [postfix-jp:643] Re: SPAM の踏み台にされた?, Hisaaki Shibata
- References
-
- [postfix-jp:634] SPAM の踏み台にされた?, Hideki -Henrich- Yamane
[検索ページ]
[Postfix-JP ML Home]