teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップPostfixに関する質問
Postfix

Postfixは、電子メールサーバソフトウェアで、 メールを配送するシステムMTAの一種です。

Q&A

解決済

1回答

5098閲覧

バックスキャッタと思われる症状の対策について

sy_guji
sy_guji

総合スコア7

Postfix

Postfixは、電子メールサーバソフトウェアで、 メールを配送するシステムMTAの一種です。

0グッド

0クリップ

投稿2015/11/26 07:38

編集2015/11/26 07:41

0

0

現在以下の環境でメールサーバーを運用しております。

OS:CentOS 7 64Bit
SMTP:Postfix
POP3:Dovecot
VPS:ConoHa(東京)
ドメイン:guzoku.net

ConoHaのサーバーからMydns.jpのメールリレーサービス(auth.gate-on.net)を経由して利用しています。
数日前より大量にメーラーデーモンから未達のメールが届くようになりました。
(Undelivered Mail Returned to Sender)
不審に思い、RBL.JPの不正中継チェックを再度行いましたが問題なし、
(サーバー構築時より不正中継対策をしておりました)
メールアカウントのパスワードを複雑な物に変更しましたが改善されませんでした。
症状でググってみるとバックスキャッタと呼ばれている攻撃の症状と一緒だったので
こちら側では対処することが難しい事がわかりました。
それでしばらく無視していたのですが、本日メールリレーサービス側から

”いつもMyDNS.JPをご利用頂きましてありがとうございます。
お客様が使用している回線(サーバー)から、大量の迷惑メールが送信さ
れていることを確認いたしました。(以下略)"

という警告メールが届きました。
警告が来たので対処せざるを得ないのですが、既に出来る対処はしており、
どうしたらいいか悩んでおります。一応事情を返信にて返しましたが。
ConoHa側からは警告は来ておらず、
メールサーバのあるサーバへのSSHパスワードログインは禁止していて、
認証鍵は私だけが持っているのでサーバが乗っ取られているとは考えにくいです。
こういう場合の対処はどうすればいいでしょうか。サーバーを一度潰したほうがいいでしょうか?
以下参考までにメーラーデーモンから帰ってきたヘッダーです。
103.35.151.192が犯人のようで、調べると香港にサーバを置く中国語サイトが該当しました。
そこでQQの連絡先が書いてあったので抗議しましたが、反応はありません。
103.35.151.192については本日firewalldにてアクセスブロックを行いました。

Received: from BN3PR0301CA0011.namprd03.prod.outlook.com (10.160.180.149) by
BY2PR0301MB0725.namprd03.prod.outlook.com (10.160.63.155) with Microsoft SMTP
Server (TLS) id 15.1.331.20; Sun, 22 Nov 2015 23:04:58 +0000
Received: from BN1AFFO11FD042.protection.gbl (2a01:111:f400:7c10::106) by
BN3PR0301CA0011.outlook.office365.com (2a01:111:e400:4000::21) with Microsoft
SMTP Server (TLS) id 15.1.331.20 via Frontend Transport; Sun, 22 Nov 2015
23:04:58 +0000
Authentication-Results: spf=permerror (sender IP is 210.197.74.25)
smtp.mailfrom=guzoku.net; paulding.k12.ga.us; dkim=none (message not signed)
header.d=none;paulding.k12.ga.us; dmarc=none action=none
header.from=guzoku.net;
Received-SPF: PermError (protection.outlook.com: domain of guzoku.net used an
invalid SPF mechanism)
Received: from auth.gate-on.net (210.197.74.25) by
BN1AFFO11FD042.mail.protection.outlook.com (10.58.52.253) with Microsoft SMTP
Server id 15.1.331.11 via Frontend Transport; Sun, 22 Nov 2015 23:04:57 +0000
Received: from guzoku.net (v133-130-55-123.a00c.g.tyo1.static.conoha.io [133.130.55.123])
by auth.gate-on.net (Postfix) with ESMTP id 63A99C375E;
Mon, 23 Nov 2015 08:04:54 +0900 (JST)
Received: from User (unknown [103.35.151.192])
by guzoku.net (Postfix) with ESMTPA id 199C164CFB5;
Thu, 19 Nov 2015 12:42:02 +0900 (JST)

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

バックスキャッタとのことですので、Postfix で一旦すべて受信して(キューに入って)、Dovecot (lda, lmtp)に送る際に User Unknown となって、(偽装された)送信者にバウンスメールを送っているという状況でしょうか。

もし、そうであれば、Postfix で受信する段階で受信メールアドレスの存在確認を行ない、存在しなければ User Unknown で拒否する(キューに入れない)のが正しい方法と思います。

投稿2015/11/26 09:06

TaichiYanagiya
TaichiYanagiya

総合スコア12146

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップPostfixに関する質問

バックスキャッタと思われる症状の対策について