質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.99%

バックスキャッタと思われる症状の対策について

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 2,560

sy_guji

score 5

現在以下の環境でメールサーバーを運用しております。

OS:CentOS 7 64Bit
SMTP:Postfix
POP3:Dovecot
VPS:ConoHa(東京)
ドメイン:guzoku.net

ConoHaのサーバーからMydns.jpのメールリレーサービス(auth.gate-on.net)を経由して利用しています。
数日前より大量にメーラーデーモンから未達のメールが届くようになりました。
(Undelivered Mail Returned to Sender)
不審に思い、RBL.JPの不正中継チェックを再度行いましたが問題なし、
(サーバー構築時より不正中継対策をしておりました)
メールアカウントのパスワードを複雑な物に変更しましたが改善されませんでした。
症状でググってみるとバックスキャッタと呼ばれている攻撃の症状と一緒だったので
こちら側では対処することが難しい事がわかりました。
それでしばらく無視していたのですが、本日メールリレーサービス側から
”いつもMyDNS.JPをご利用頂きましてありがとうございます。
お客様が使用している回線(サーバー)から、大量の迷惑メールが送信さ
れていることを確認いたしました。(以下略)"
という警告メールが届きました。
警告が来たので対処せざるを得ないのですが、既に出来る対処はしており、
どうしたらいいか悩んでおります。一応事情を返信にて返しましたが。
ConoHa側からは警告は来ておらず、
メールサーバのあるサーバへのSSHパスワードログインは禁止していて、
認証鍵は私だけが持っているのでサーバが乗っ取られているとは考えにくいです。
こういう場合の対処はどうすればいいでしょうか。サーバーを一度潰したほうがいいでしょうか?
以下参考までにメーラーデーモンから帰ってきたヘッダーです。
103.35.151.192が犯人のようで、調べると香港にサーバを置く中国語サイトが該当しました。
そこでQQの連絡先が書いてあったので抗議しましたが、反応はありません。
103.35.151.192については本日firewalldにてアクセスブロックを行いました。

Received: from BN3PR0301CA0011.namprd03.prod.outlook.com (10.160.180.149) by
 BY2PR0301MB0725.namprd03.prod.outlook.com (10.160.63.155) with Microsoft SMTP
 Server (TLS) id 15.1.331.20; Sun, 22 Nov 2015 23:04:58 +0000
Received: from BN1AFFO11FD042.protection.gbl (2a01:111:f400:7c10::106) by
 BN3PR0301CA0011.outlook.office365.com (2a01:111:e400:4000::21) with Microsoft
 SMTP Server (TLS) id 15.1.331.20 via Frontend Transport; Sun, 22 Nov 2015
 23:04:58 +0000
Authentication-Results: spf=permerror (sender IP is 210.197.74.25)
 smtp.mailfrom=guzoku.net; paulding.k12.ga.us; dkim=none (message not signed)
 header.d=none;paulding.k12.ga.us; dmarc=none action=none
 header.from=guzoku.net;
Received-SPF: PermError (protection.outlook.com: domain of guzoku.net used an
 invalid SPF mechanism)
Received: from auth.gate-on.net (210.197.74.25) by
 BN1AFFO11FD042.mail.protection.outlook.com (10.58.52.253) with Microsoft SMTP
 Server id 15.1.331.11 via Frontend Transport; Sun, 22 Nov 2015 23:04:57 +0000
Received: from guzoku.net (v133-130-55-123.a00c.g.tyo1.static.conoha.io [133.130.55.123])
    by auth.gate-on.net (Postfix) with ESMTP id 63A99C375E;
    Mon, 23 Nov 2015 08:04:54 +0900 (JST)
Received: from User (unknown [103.35.151.192])
    by guzoku.net (Postfix) with ESMTPA id 199C164CFB5;
>     Thu, 19 Nov 2015 12:42:02 +0900 (JST)
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

0

バックスキャッタとのことですので、Postfix で一旦すべて受信して(キューに入って)、Dovecot (lda, lmtp)に送る際に User Unknown となって、(偽装された)送信者にバウンスメールを送っているという状況でしょうか。

もし、そうであれば、Postfix で受信する段階で受信メールアドレスの存在確認を行ない、存在しなければ User Unknown で拒否する(キューに入れない)のが正しい方法と思います。  

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.99%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる