[postfix-jp:643] Re: SPAM の踏み台にされた？

[Hisaaki Shibata <shibata@xxxxxxxx>]

柴田(ひ)＠福岡です。

	＃私も、はじめましてかな?

私のところでも、つい最近 私が管理するuser@hostへのFrom:詐称
と*思われる*SPAMがあったので、神経質になってます。
しかも、MLのコントロールアドレスを From: にされたので
ログが追いにくくって、非常につらい状態です。

	＃SPAMの送り先が user unknown になっている場合は
	＃MLのadmin宛に大量のエラーメールが来るし....
	＃そのログとSPAMの切り分けが....

> > 　のユーザーという内容で、SPAMに使われているのではないか？と慌てて
> > 　おります。ただ、どうやって判断したらいいのか、自分の経験と知識で
> 
> ログをざっと見た限り、第三者中継の踏み台として利用されたと思います。

そんな感じなんですが、ほんとにそうでしょうか?

> > 　この様な場合、SPAMに使われているかどうかなど、どうやって判断したら
> > 　いいのでしょうか？
> 
> | Apr  5 15:08:44 XXX postfix/qmgr[253]: C6A629BB64: from=<bearshield@xxxxxxxxxxx>, size=1353 (queue active)
> | Apr  5 15:08:45 XXX postfix/smtpd[30453]: 99C809BB7C: client=slip-32-102-75-85.wi.us.prserv.net[32.102.75.85]
> | Apr  5 15:08:46 XXX postfix/smtp[30456]: C6A629BB64: to=<boggie6@xxxxxxxxx>, relay=mx3.mail.yahoo.com[128.11.69.53], delay=11, status=sent (250 ok Wed Apr  4 23:08:46 2001:  ql 768903, qr 0)
> 
> の部分の from/to ともやまねさんが関与していないアドレスであるならば、
> 踏み台にされています。

上記の質問に対して、やまねさんは、はっきり答えていないですよね?

	＃特に最後の status=sent になっているやつが問題ですよね?

> > 　で、リレーのチェックを再度しようと思い、
> > 
> > 　http://www.abuse.net/relay.html
> > 　http://www.nanet.co.jp/rlytest/relaytest.html
> > 　http://www.kyoto.wide.ad.jp/mta/relaycheck.html
> > 
> > 　などを試しましたが、全てクリアしました。
> 
> このリレーのチェックは特定のホストからのチェックなので、
> 上記の relay_domains が許してしまうホスト/ドメインからならば
> 第三者中継は行われてしまいます。

逆に言うと、、 relay domains が許していないホスト／ドメインからの
チェックならば、十分であるということですよね。

この問いかけに関しても、はっきり答えていないような気がします。
relay domainの設定は正しいのかどうか、知りたいところです。


      ＃私自身も中継に使われたのか、From:詐称か調査中なもので...
      ＃私の方はログを見る限り、中継ではなさそうなんですが...

-- 
 WWWWW  shibata@xxxxxxxx
 |O-O|  柴田 尚明＠福岡市 一身上の都合により「ひげ」はえてるす
0(mmm)0 P-mail: 070-5419-3233    IRC: #luky
   ~    http://his.luky.org/ last update:2000.3.12