質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Q&A

解決済

4回答

5508閲覧

大量のMAILER-DAEMONメールが届く

terataka

総合スコア61

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

0グッド

1クリップ

投稿2016/05/09 03:46

自分が契約しているレンタルサーバのMAILER-DAEMONから大量のfailure noticeメールが届きます。
現在進行中で、1日に800通程度になっています。
fromはMAILER-DAEMON@"レンタルサーバのID"."レンタルサーバ会社のドメイン"
toはpostmaster@"レンタルサーバのID"."レンタルサーバ会社のドメイン"
です。
以前質問した時(https://teratail.com/questions/4288)は、toのアドレスが実際利用しているアドレスだったのですが、今回はレンタルサーバ会社のドメインから来ています。

また、利用しているサーバのコントロールパネルにPLESKを利用しているのですが、「サーバ管理」→「ツールと設定」→「メール」→「メールサーバ設定」→「メールキュー」の「リモート」に自分が管理していないドメイン(全然知らないドメイン。「usa.com」や「free.fr」等)が送信者になっているものが大量に載っていました。(最大で1800件以上)
こちらは、削除しても数分過ぎると10個くらいが追加されていってしまいます。

応急処置になるのか分かりませんが、「サーバ管理」→「ツールと設定」→「メール」→「メールサーバ設定」→「設定」→「リレーオプション」の「メールリレー」を「クローズ」に変えてみました。(以前は「認証が必要」・「SMTP」にチェック)
今のところ新しいキューが追加されなくなったようなのですが、この状態は問題ないでしょうか?
自分のドメインの複数アドレスでメールの送受信をしましたが、問題無く送受信できました。
また、ホームページ上のフォームからもちゃんとメールが送れました。
(クローズにすることで、こんなメールが送受信できなくなる、などありましたら教えてください)

以前も同じように大量のMAILER-DAEMONが届いた事があるのですが、その時は別の人がコンテンツを管理しているサイトにプログラムが仕込まれていてそこから大量にスパムメールを発信、その行き先が無いということで大量のMAILER-DAEMONが届いてました。
(レンタルサーバ会社に調査してもらいました)
同じサイトをftpで確認してみたのですが、今回は疑わしいプログラムを発見することができませんでした。
さらに、ここ数日更新されたファイルが無いかを調べました。

var/www/vhostsに移動後
find . -type f -mtime -5 -name ".php"
find . -type f -mtime -5 -name "
.cgi"
find . -type f -mtime -5 -name "*.pl"
(調べ方合ってるでしょうか?)
どれも疑わしいものは発見できずです。

その他、どこ・なにを確認するべきでしょうか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

その他、どこ・なにを確認するべきでしょうか?

最初に確認するのは、MAILER-DAEMONからのメールの内容ですね。

投稿2016/05/09 03:54

otn

総合スコア84423

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

terataka

2016/05/09 04:21

返答ありがとうございます。 上から… <<この部分は共通です>> Hi. This is the qmail-send program at "レンタルサーバのIDとレンタルサーバ会社のドメイン". I tried to deliver a bounce message to this address, but the bounce bou <<この部分はいくつか種類があるのですが…>> (例えば) <○○○@gmx.de>: "海外サーバのIPアドレス" does not like recipient. Remote host said: 550 Requested action not taken: mailbox unavailable Giving up on "↑と同じIPアドレス". (例えば) <○○○@ono.com>: "海外サーバのIPアドレス。↑のアカウントのサーバでした"failed after I sent the message. Remote host said: 550 This is a spam mail <<この部分は共通です>> --- Below this line is the original bounce. Return-Path: <> Received: (qmail 13762 invoked for bounce); "日付" Date: "日付" From: MAILER-DAEMON@@"レンタルサーバのID"."レンタルサーバ会社のドメイン" To: "色々なメールアドレス" Subject: failure notice 大体このような感じです。 その他提示する必要のある情報があれば指示お願いします。
otn

2016/05/09 05:31 編集

> その他提示する必要のある情報があれば指示お願いします。 ・自分ではこの英文が読めないということでしょうか? ・返却されているメールはあなたが送ろうとしたメールですか?身に覚えのないメールですか? ・その返却されているメールの発信元ホスト/IPアドレスはあなたのサーバーですか?それ以外のサーバーですか?
terataka

2016/05/09 07:29

>自分ではこの英文が読めないということでしょうか? 翻訳サイトで訳しては見たのですが、解決策を見つけられませんでした。 >返却されているメールはあなたが送ろうとしたメールですか?身に覚えのないメールですか? 身に覚えがありません。内容をよく見ると、URLはまちまちですが、海外の広告サイトのようなところを表示しました。 >その返却されているメールの発信元ホスト/IPアドレスはあなたのサーバーですか? 「例えば」のところに記載している「"海外サーバのIPアドレス"」の部分でしょうか? 私のサーバではありません。いくつかをWhoisで検索してみましたが、全然身に覚えのない海外のサーバでした。
otn

2016/05/09 13:10

> 「例えば」のところに記載している「"海外サーバのIPアドレス"」の部分でしょうか? それはメールの送り先のサーバーのIPアドレスでしょうね。 可能性としては、色々考えられるので、切り分けしたかったのですが。 ・送信元アドレス詐称のスパムメールによるもの(この場合にはあなたには責任無し) ・踏み台にされている(設定を変えて増えなくなったので) ・侵入されてスパムメールの送信元になっている
guest

0

ちょっと調べずにエスパー気味の回答なので外れてるかもしれませんが、ただの後方錯乱のように思います。
「後方錯乱メール」や「Back Scatter」でWeb検索してみてください。仕組みがわかると思います。

pleskだと確か対策ができたと思います。
バージョンによるかもしれないので、サポートに問い合わせてみてください。
具体的にはSMTP中のRCPT TOコマンドを受け取った段階で、自身のサーバー上にメールボックスがあるかどうかを確認して、ない場合は即エラーで切断する機能があるかどうか、使えるかどうかです。

投稿2016/05/09 11:44

uryossa

総合スコア12

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

SMTPサーバーのログを調べてみないとわかりませんが、設定を変えて止まったということであれば、オープンリレーなメールサーバーとして、spam メールの踏み台サーバーにされた疑いがありそうですね。

送信された spam メールの受け取りメールアドレスが、相手のサーバーで受信されなかったのでなかったので、postmaster あてに バウンズメールが届いたという状況かな。

まずは、メールサーバーのログを調べて、どこから送信されたのかを調べないとダメですね。

自分でログファイルの中身が分からない場合は、周りにいる詳しい人に見てもらいましょう。

投稿2016/05/09 08:51

CHERRY

総合スコア25171

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

自己解決

皆さん返答ありがとうございます。

現在、「メールリレー」を「クローズ」にすることで止まっていますし、現在までの状況を踏まえてサーバ会社のサポートと連絡を取り始めたので、一旦こちらでの質問は終了とさせていただきます。

uryossaさんご指摘の「後方散乱メール (Backscatter)」について調べてみたのですが、確かに素人目ではこの現象のような気がしてきました。
PLESKやサーバの設定(オプションサービスの利用等)で解決できればと思っているので後はサーバ管理会社に任せたいと思います。

返答ありがとうございました。

投稿2016/05/10 02:24

terataka

総合スコア61

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問