sy_guji score 7
2015/11/26 16:41 投稿
| バックスキャッタと思われる症状の対策について |
| 現在以下の環境でメールサーバーを運用しております。 |
| OS:CentOS 7 64Bit |
| SMTP:Postfix |
| POP3:Dovecot |
| VPS:ConoHa(東京) |
| ドメイン:guzoku.net |
| ConoHaのサーバーからMydns.jpのメールリレーサービス(auth.gate-on.net)を経由して利用しています。 |
| 数日前より大量にメーラーデーモンから未達のメールが届くようになりました。 |
| (Undelivered Mail Returned to Sender) |
| 不審に思い、RBL.JPの不正中継チェックを再度行いましたが問題なし、 |
| (サーバー構築時より不正中継対策をしておりました) |
| メールアカウントのパスワードを複雑な物に変更しましたが改善されませんでした。 |
| 症状でググってみるとバックスキャッタと呼ばれている攻撃の症状と一緒だったので |
| こちら側では対処することが難しい事がわかりました。 |
| それでしばらく無視していたのですが、本日メールリレーサービス側から |
| > ”いつもMyDNS.JPをご利用頂きましてありがとうございます。 |
| > お客様が使用している回線(サーバー)から、大量の迷惑メールが送信さ |
| > れていることを確認いたしました。(以下略)" |
| という警告メールが届きました。 |
| 警告が来たので対処せざるを得ないのですが、既に出来る対処はしており、 |
| どうしたらいいか悩んでおります。一応事情を返信にて返しましたが。 |
| ConoHa側からは警告は来ておらず、 |
| メールサーバのあるサーバへのSSHパスワードログインは禁止していて、 |
| 認証鍵は私だけが持っているのでサーバが乗っ取られているとは考えにくいです。 |
| こういう場合の対処はどうすればいいでしょうか。サーバーを一度潰したほうがいいでしょうか? |
| 以下参考までにメーラーデーモンから帰ってきたヘッダーです。 |
| 103.35.151.192が犯人のようで、調べると香港にサーバを置く中国語サイトが該当しました。 |
| そこでQQの連絡先が書いてあったので抗議しましたが、反応はありません。 |
| 103.35.151.192については本日firewalldにてアクセスブロックを行いました。 |
| > Received: from BN3PR0301CA0011.namprd03.prod.outlook.com (10.160.180.149) by |
| > BY2PR0301MB0725.namprd03.prod.outlook.com (10.160.63.155) with Microsoft SMTP |
| > Server (TLS) id 15.1.331.20; Sun, 22 Nov 2015 23:04:58 +0000 |
| > Received: from BN1AFFO11FD042.protection.gbl (2a01:111:f400:7c10::106) by |
| > BN3PR0301CA0011.outlook.office365.com (2a01:111:e400:4000::21) with Microsoft |
| > SMTP Server (TLS) id 15.1.331.20 via Frontend Transport; Sun, 22 Nov 2015 |
| > 23:04:58 +0000 |
| > Authentication-Results: spf=permerror (sender IP is 210.197.74.25) |
| > smtp.mailfrom=guzoku.net; paulding.k12.ga.us; dkim=none (message not signed) |
| > header.d=none;paulding.k12.ga.us; dmarc=none action=none |
| > header.from=guzoku.net; |
| > Received-SPF: PermError (protection.outlook.com: domain of guzoku.net used an |
| > invalid SPF mechanism) |
| > Received: from auth.gate-on.net (210.197.74.25) by |
| > BN1AFFO11FD042.mail.protection.outlook.com (10.58.52.253) with Microsoft SMTP |
| > Server id 15.1.331.11 via Frontend Transport; Sun, 22 Nov 2015 23:04:57 +0000 |
| > Received: from guzoku.net (v133-130-55-123.a00c.g.tyo1.static.conoha.io [133.130.55.123]) |
| > by auth.gate-on.net (Postfix) with ESMTP id 63A99C375E; |
| > Mon, 23 Nov 2015 08:04:54 +0900 (JST) |
| > Received: from User (unknown [103.35.151.192]) |
| > by guzoku.net (Postfix) with ESMTPA id 199C164CFB5; |
| > Thu, 19 Nov 2015 12:42:02 +0900 (JST) |
