[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp:643] Re: SPAM の踏み台にされた?



柴田(ひ)@福岡です。

	#私も、はじめましてかな?

私のところでも、つい最近 私が管理するuser@hostへのFrom:詐称
と*思われる*SPAMがあったので、神経質になってます。
しかも、MLのコントロールアドレスを From: にされたので
ログが追いにくくって、非常につらい状態です。

	#SPAMの送り先が user unknown になっている場合は
	#MLのadmin宛に大量のエラーメールが来るし....
	#そのログとSPAMの切り分けが....

> >  のユーザーという内容で、SPAMに使われているのではないか?と慌てて
> >  おります。ただ、どうやって判断したらいいのか、自分の経験と知識で
> 
> ログをざっと見た限り、第三者中継の踏み台として利用されたと思います。

そんな感じなんですが、ほんとにそうでしょうか?

> >  この様な場合、SPAMに使われているかどうかなど、どうやって判断したら
> >  いいのでしょうか?
> 
> | Apr  5 15:08:44 XXX postfix/qmgr[253]: C6A629BB64: from=<bearshield@xxxxxxxxxxx>, size=1353 (queue active)
> | Apr  5 15:08:45 XXX postfix/smtpd[30453]: 99C809BB7C: client=slip-32-102-75-85.wi.us.prserv.net[32.102.75.85]
> | Apr  5 15:08:46 XXX postfix/smtp[30456]: C6A629BB64: to=<boggie6@xxxxxxxxx>, relay=mx3.mail.yahoo.com[128.11.69.53], delay=11, status=sent (250 ok Wed Apr  4 23:08:46 2001:  ql 768903, qr 0)
> 
> の部分の from/to ともやまねさんが関与していないアドレスであるならば、
> 踏み台にされています。

上記の質問に対して、やまねさんは、はっきり答えていないですよね?

	#特に最後の status=sent になっているやつが問題ですよね?

> >  で、リレーのチェックを再度しようと思い、
> > 
> >  http://www.abuse.net/relay.html
> >  http://www.nanet.co.jp/rlytest/relaytest.html
> >  http://www.kyoto.wide.ad.jp/mta/relaycheck.html
> > 
> >  などを試しましたが、全てクリアしました。
> 
> このリレーのチェックは特定のホストからのチェックなので、
> 上記の relay_domains が許してしまうホスト/ドメインからならば
> 第三者中継は行われてしまいます。

逆に言うと、、 relay domains が許していないホスト/ドメインからの
チェックならば、十分であるということですよね。

この問いかけに関しても、はっきり答えていないような気がします。
relay domainの設定は正しいのかどうか、知りたいところです。


      #私自身も中継に使われたのか、From:詐称か調査中なもので...
      #私の方はログを見る限り、中継ではなさそうなんですが...

-- 
 WWWWW  shibata@xxxxxxxx
 |O-O|  柴田 尚明@福岡市 一身上の都合により「ひげ」はえてるす
0(mmm)0 P-mail: 070-5419-3233    IRC: #luky
   ~    http://his.luky.org/ last update:2000.3.12

Follow-Ups
[postfix-jp:648] Re: SPAM の踏み台にされた?, Hideki -Henrich- Yamane
References
[postfix-jp:634] SPAM の踏み台にされた?, Hideki -Henrich- Yamane
[postfix-jp:635] Re: SPAM の踏み台にされた?, Muneharu

[検索ページ] [Postfix-JP ML Home]