Q&A
どのようなログが記録されているかによって変わると思いますので、どのようなログかを質問に追記していただけないでしょうか。
メールサーバー(Linux postfix)でメールアドレス乗っ取りが起きてしまったので、
userdel -r で対象ユーザーを削除、/etc/passwdと/etc/shadowで対象ユーザー情報を削除。
/home/対象ユーザー/Maildir配下のタイムスタンプは削除時間でとまりましたが、
/var/log/maillogには乗っ取られたメールアドレスからfromでメールを送っているログが出力され続けています。
/Maildir/tmpには何もない状態ですが、これはメールが送られてしまっているのでしょうか。
もしくはログが流れているだけでしょうか。
また、こちらの対策をご存じの方がいましたらご教示いただけますでしょうか。
> メールアドレス乗っ取り
とは具体的にどのような現象でしょうか?
RayBeeさんの管理されているメールサーバーから送信されているのでしょうか
それとも
別のメールサーバーからfromを詐称されたメールが送信された結果としてエラーメールがRayBeeさんの管理されているメールサーバーに届いているのでしょうか?
自社のPC1台がウイルスに感染してメールアドレスとメールパスワード、設定情報が漏れたようです。
自社のメールサーバーになります。
ログは下記の通りになります。
タイムスタンプ ID PID: to=<送信先メールアドレス>,[相手IP]:
タイムスタンプ ID PID: to=<送信先メールアドレス>,[相手IP]:
タイムスタンプ ID PID: to=<送信先メールアドレス>,[相手IP]:
タイムスタンプ ID PID: from=<乗っ取られたメールアドレス>,
相手IPとは社内のアドレスでしょうか。社外のグローバルアドレスでしょうか。
回答2件
0
ベストアンサー
ログは一部抜粋かと思います。
ログの内容を理解し、実際にアクセスされているのか、また送信されているのか総合的に判断し対応できる知識が必要です。
postfixについての知識は私はないのでググったサイトを掲載しますが、記載内容の正しいかは保証できませんので参考までに。
【メール調査(postfix)】メールログの見方
https://qiita.com/ayumi_imai/items/a773f7762355313ac3f2
⑥「status=」の部分が何になっているか確認します。
status=sent の場合、送信成功を表します。
「SMTP-AUTH」のログイン試行失敗を検出したい の項目にあるように
認証が試みられているかなどの確認も必要でしょう。
【Linux入門】初心者向けPostfixのログの見方とログ調査時のポイント
https://www.depthbomb.net/?p=3342
接続元がIPが社外グローバルアドレスなのであれば、遮断すべきと考えます。
【Linux入門】Postfixで接続元IPアドレスを元にアクセス制限を設定
https://www.depthbomb.net/?p=3422
個人的には他PCにウィルスが感染していないか、といったことも気になります。
自力解決が難しいのであれば、jpcertのインシデント対応依頼を検討されてはいかがでしょうか。
インシデント対応依頼 https://www.jpcert.or.jp/form/#request
インシデント対応とは? https://www.jpcert.or.jp/ir/
JPCERT/CCに関してよくある質問と答え https://www.jpcert.or.jp/faq_service.html
(追記)
社外からメールサーバにアクセスされていてSMTP認証に25番ポートを採用しているのであれば、恒久対策の1つとして、ユーザー(メーラー)のSMTP接続にサブミッションポートを採用し、FWで社外からサブミッションポートを遮断するといったことも検討すべきでしょう。
TCP/IP - SMTP サブミッションポートとSMTP認証
https://www.infraexpert.com/study/tcpip18.html
社内のユーザーのメーラーの設定変更を伴いますし、業務影響の有無を判断する必要があります。
いずれにしてもネットワークの利用状況やセキュリティ対策の状況がわからないことには、何ができて何ができないか判断できません。
(追記2)
送信済みメールが/Maildir/tmp に保存される設定でしょうか。
調べた限りでは当該ディレクトリは受信メールの一時保管場所でした。
初期対応として 送信されているかどうかの状況把握 証拠保全が大事です。
syslog maillogをバックアップするようにしていなければ、別途保存してください。
対応内容もエビデンスを残しておいてくだい。
投稿2021/06/18 03:55
編集2021/06/18 05:00総合スコア509
ご回答ありがとうございます。
また、対応方法をご教示いただき大変たすかります。
私もこのようなことが初めて混乱してしまいましたが、今後の方向性がわかりました。
感謝いたします。
セキュリティ事案に対しては、証拠保全、状況把握、原因究明、暫定対策実施、多角的な再発防止対策(社員のセキュリティ教育、メールサーバー設定、FWの見直し、トラブル時の対応手順の確立、etc)が必要です。
また、もしスパムメールを大量に送信させられているとメールサーバがブラックリストに登録され、メール送信時相手のメールサーバに拒否される可能性もあります。
セキュリティに詳しい方が社内にいないようでしたら、先に紹介したJPCERTやセキュリティ専門企業へのコンサル依頼の検討をお奨めします。
0
メール送信での from は自由に何でも書けますから、その from で送信し続けることを止めることは出来ません。
その from でメールサーバーに届いたものを拒否する設定は可能ですが、拒否したlogは残りますので、logに出力され続けることは避けにくいです。
特定のlogを出さない設定があるかもしれませんが、そこまでは調べていません。
私のところには、私発のメールが、それも英語だとかロシア語だとか、、、が毎日沢山届きます。
投稿2021/06/17 22:58
総合スコア23349
ご回答ありがとうございます。
ログの出力は止められませんが、実際には送信されていないということでよろしいでしょうか。
え、、、
それは受信のlogではなく送信のlogですか?
ああ、Y.H.さんの質問への回答見ました。
それは送信している可能性が高いです。そのメールに関するlogの全体を見ないと確定出来ませんが。
送信しているPCはIPからわかるでしょうから、そのPCに埋め込まれたものを退治することが一番大事かと。
ご回答ありがとうございます。
IP拒否してみます。
助かりました。
あなたの回答
tips
プレビュー
