回答編集履歴

追記２を追加修正

2021/06/18 05:00

投稿

Crimson_Tide

スコア509

answer CHANGED Viewed

@@ -24,9 +24,20 @@
 [インシデント対応とは？ https://www.jpcert.or.jp/ir/](https://www.jpcert.or.jp/ir/)
 [JPCERT/CCに関してよくある質問と答え https://www.jpcert.or.jp/faq_service.html](https://www.jpcert.or.jp/faq_service.html)
+---
 (追記)
 社外からメールサーバにアクセスされていてSMTP認証に25番ポートを採用しているのであれば、恒久対策の１つとして、ユーザー(メーラー)のSMTP接続にサブミッションポートを採用し、FWで社外からサブミッションポートを遮断するといったことも検討すべきでしょう。
-[TCP/IP - SMTP ( サブミッションポートとSMTP認証 )
+[TCP/IP - SMTP  サブミッションポートとSMTP認証
 https://www.infraexpert.com/study/tcpip18.html](https://www.infraexpert.com/study/tcpip18.html)
 社内のユーザーのメーラーの設定変更を伴いますし、業務影響の有無を判断する必要があります。
-いずれにしてもネットワークの利用状況やセキュリティ対策の状況がわからないことには、何ができて何ができないか判断できません。
+いずれにしてもネットワークの利用状況やセキュリティ対策の状況がわからないことには、何ができて何ができないか判断できません。
+---
+(追記２)
+送信済みメールが/Maildir/tmp に保存される設定でしょうか。
+調べた限りでは当該ディレクトリは受信メールの一時保管場所でした。
+初期対応として 送信されているかどうかの状況把握 証拠保全が大事です。
+syslog maillogをバックアップするようにしていなければ、別途保存してください。
+対応内容もエビデンスを残しておいてくだい。

対応策を追記

2021/06/18 05:00

投稿

Crimson_Tide

スコア509

answer CHANGED Viewed

@@ -22,4 +22,11 @@
 自力解決が難しいのであれば、jpcertのインシデント対応依頼を検討されてはいかがでしょうか。
 [インシデント対応依頼 https://www.jpcert.or.jp/form/#request](https://www.jpcert.or.jp/form/#request)
 [インシデント対応とは？ https://www.jpcert.or.jp/ir/](https://www.jpcert.or.jp/ir/)
-[JPCERT/CCに関してよくある質問と答え https://www.jpcert.or.jp/faq_service.html](https://www.jpcert.or.jp/faq_service.html)
+[JPCERT/CCに関してよくある質問と答え https://www.jpcert.or.jp/faq_service.html](https://www.jpcert.or.jp/faq_service.html)
+(追記)
+社外からメールサーバにアクセスされていてSMTP認証に25番ポートを採用しているのであれば、恒久対策の１つとして、ユーザー(メーラー)のSMTP接続にサブミッションポートを採用し、FWで社外からサブミッションポートを遮断するといったことも検討すべきでしょう。
+[TCP/IP - SMTP ( サブミッションポートとSMTP認証 )
+https://www.infraexpert.com/study/tcpip18.html](https://www.infraexpert.com/study/tcpip18.html)
+社内のユーザーのメーラーの設定変更を伴いますし、業務影響の有無を判断する必要があります。
+いずれにしてもネットワークの利用状況やセキュリティ対策の状況がわからないことには、何ができて何ができないか判断できません。