投稿日:2003年03月01日 作成鷹の巣

No.8723 不正中継確認メールを初受信したので、ログを公開します。



不正中継確認メールを初受信したので、ログを公開します。

No.8723 投稿時間:2003年03月01日(Sat) 23:00 投稿者名:なが URL:

こんにちは。
いつも大変参考にさせて頂いています。

実は昨夜、ウチのArGoMailにスパムらしきログが初めて記録されたので
ちょっと見て頂こうと思い、書き込みしました。
SMTPについてあまり詳しくないのですが、認証成功後、リセットをかけて
(設定をデフォルトに戻そうとしたのでしょうか?)不正中継を行おうと
して失敗している様に見えます。FromとToが同じアドレスなので、不正
中継が成功した場合だけ発信元にメールが戻るという事なのでしょうか。

今朝のニュースで航空管制システムダウンのニュースがあったので、
「ひょっとして何か関連が。。」とちょっとドキドキしてしまいました。。
このドメインでちょっと検索してみたところ、「有名どころ」らしいですね。
皆さん、こういったメールについて、どんな風に対応されているのでしょうか?
とりあえず放っておいてもいいものなんでしょうか?
(念の為、Diskはスキャンをかけましたが何事もありませんでしたが。。)

以下ログ内容の抜粋です。
すみませんが、よろしくお願いします。
------------------------------
<スパムらしきログ>
2003/03/01 1:48:24 - Requested SMTP connection from 218.144.104.138
2003/03/01 1:48:24 - ( 1144) 220 ArGoSoft Mail Server Freeware, Version 1.8 (1.8.2.3)
2003/03/01 1:48:25 - ( 1144) ehlo 37gda72jb9yf3re
2003/03/01 1:48:25 - ( 1144) 250-Welcome [218.144.104.138], pleased to meet you
2003/03/01 1:48:25 - ( 1144) 250-AUTH=LOGIN
2003/03/01 1:48:25 - ( 1144) 250-AUTH LOGIN
2003/03/01 1:48:25 - ( 1144) 250-SIZE 5242880
2003/03/01 1:48:25 - ( 1144) 250 HELP
2003/03/01 1:48:26 - ( 1144) Rset
2003/03/01 1:48:26 - ( 1144) 250 Reset state
2003/03/01 1:48:27 - ( 1144) Mail from:<china9988@21cn.com>
2003/03/01 1:48:27 - ( 1144) 250 Sender "china9988@21cn.com" OK...
2003/03/01 1:48:28 - ( 1144) RCPT to:<china9988@21cn.com>
2003/03/01 1:48:28 - ( 1144) 550 User not local. Authentication required for relay
2003/03/01 1:48:28 - ( 1144) Quit
2003/03/01 1:48:28 - ( 1144) 221 Aba he
2003/03/01 1:48:28 - SMTP connection with 218.144.104.138 ended. ID=1144
------------------------------


自衛をすれば、相手は遠ざかる。

No.8743 投稿時間:2003年03月03日(Mon) 01:47 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

> 2003/03/01 1:48:28 - ( 1144) 550 User not local. Authentication required for relay

この行が重要ですね。


> FromとToが同じアドレスなので、不正中継が成功した場合だけ発信元にメールが戻るという事なのでしょうか。

このアドレスに関しては、from と to は同じです。
from と to が異なるアドレスであっても、RCPT: From の段階で拒否判断ができればリレーはされません。

中継に失敗すると、もちろんメールは戻りません。
ただ、デーモンレベルのエラーコメントは返っているのかは分かりませんが。
(試験機を使って、自分のメールサーバへのリレーテストをやってみる価値はありそうです。)

メール不正中継は日常的に来ます。大切なのは、自衛をすることです。
泥棒は放っておき、都度自衛を掲げれば、相手は自ずと遠ざかります。
セキュリティの構えを見せれば、泥棒はすぐに引き返す心理と同じです。


余談ですが、、、

> 2003/03/01 1:48:25 - ( 1144) 250-Welcome [218.144.104.138], pleased to meet you

この行は…

なぜ不正アクセス者に対し歓迎しなければならない?という問題は、FTP 切断時の「Good Bye!」と同じです。
不正侵入者は「あなたは私を歓迎し、別れの際に惜別したじゃないか!」と管理者に問い詰めたという話さえあります。

難しいところですね。


いろいろありがとうございました。

No.8750 投稿時間:2003年03月03日(Mon) 13:39 投稿者名:なが URL:

帯鯖@名古屋さん、コメントありがとうございます。

> ただ、デーモンレベルのエラーコメントは返っているのかは分かりませんが。
> (試験機を使って、自分のメールサーバへのリレーテストをやってみる価値はありそうです。)
>
> メール不正中継は日常的に来ます。大切なのは、自衛をすることです。
> 泥棒は放っておき、都度自衛を掲げれば、相手は自ずと遠ざかります。
> セキュリティの構えを見せれば、泥棒はすぐに引き返す心理と同じです。

全くその通りですね。リレーテストもやってみたいと思います。
(たくさん勉強しなければ。。)

> なぜ不正アクセス者に対し歓迎しなければならない?という問題は、FTP 切断時の「Good Bye!」と同じです。
> 不正侵入者は「あなたは私を歓迎し、別れの際に惜別したじゃないか!」と管理者に問い詰めたという話さえあります。

うーん、確かに。。「繋いだよ、切ったよ」の事実だけでも良いかもしれません。
アドレスだけで怪しい人かどうかは判りませんものね。
ZoneAlarmも動かしてはいるのですが、SMTPで入って来られると、事実上フリーパス
になってしまうので、メールサーバソフト側にSMTPコマンド内容でチェックする機能
があると便利なのかもしれませんね。

いろいろありがとうございました。また教えて下さい。


|目次|掲示板|過去ログ目次|▲頁先頭|