- PR -

sendmailでfrom=が空白のスパム対策

1
投稿者投稿内容
ポワロ
会議室デビュー日: 2005/06/01
投稿数: 4
投稿日時: 2005-06-01 11:12
はじめまして。
現在Linux8+sendmail8.12で社内メールサーバを構築しています。
最近、スパムメールが非常に多く、ログを調べてみるとヘッダーのfrom部分が
"from=<>"というように空白(?)になったメールが山のように来ています。
このようなメールを拒否する方法はないものでしょうか?
皆様のお知恵をお貸し下さい。
ポワロ
会議室デビュー日: 2005/06/01
投稿数: 4
投稿日時: 2005-06-01 12:00
自己レスです。
スミマセン、sendmail.mcの記述で簡単に解決しそうです。
FEATURE('accept・・
しかし、これってDNSの逆引きになり、良くないのかなぁ?
とりあえず、これからテストしてみます。
お騒がせしました。

ぽんす
ぬし
会議室デビュー日: 2003/05/21
投稿数: 1023
投稿日時: 2005-06-01 12:54
エンベロープFromが空白のメールは受け取らなくてはなりません。

ヘッダFromが空白ってことがありますか?
絶対にないとは言いませんが、あまり無さそうな...
はゆる
ぬし
会議室デビュー日: 2004/02/16
投稿数: 1008
お住まい・勤務地: 首都圏をウロウロと
投稿日時: 2005-06-02 01:04
こんばんは。

accept 系の機能は、読んで字のごとく 「受け取る」 系の設定になりますので、お望みの動作はしないと思うのですが…

バウンスを装ったメール対策でしょうか。
milter-regex が利用できるかもしれません。
# 試していないので、これ以上情報提供はできないのですが orz
_________________
はゆる
Smile, Smiles make me happy.
ポワロ
会議室デビュー日: 2005/06/01
投稿数: 4
投稿日時: 2005-06-02 13:42
ご回答、ありがとうございます。
結論から言うと・・ ダメでした。orz

sendmail.mcのFEATUR(accept・・)に関しては、今まで有効になっていたので
これをコメントアウトしました。

ログをみる限り、エンベロープFromが空白です。不思議です。
ちなみにログの一部抜粋です。
Jun 2 13:20:15 mail sendmail[28314]: j524I921028314: from=<>,size=39,class=0,
nrcpts=1,msgid=<200506020418.j524I92102831@xxx.co.jp>,proto=SMTP,daemon=MTA,
relay=xxxx.co.jp[xxx.xxx.xxx.xxx]
で、あて先は存在しないユーザなのでUser unknownとなります。
このログにあるfromはエンベロープではないのでしょうか?
ちなみにこれらのメールは全てウイルスでMYTOB.EDが漏れなく付いています。(涙)

発信元が分からないので、社内のPCが原因なのかどうかも分かりません。
困った・・
ぽんす
ぬし
会議室デビュー日: 2003/05/21
投稿数: 1023
投稿日時: 2005-06-02 21:09
エンベロープFromが空白なのは不思議でもなんでもないですが...
# RFC2821 の 4.1.1.2 あたり。

引用:

ポワロさんの書き込み (2005-06-02 13:42) より:
Jun 2 13:20:15 mail sendmail[28314]: j524I921028314: from=<>,size=39,class=0,
nrcpts=1,msgid=<200506020418.j524I92102831@xxx.co.jp>,proto=SMTP,daemon=MTA,
relay=xxxx.co.jp[xxx.xxx.xxx.xxx]
で、あて先は存在しないユーザなのでUser unknownとなります。
このログにあるfromはエンベロープではないのでしょうか?
ちなみにこれらのメールは全てウイルスでMYTOB.EDが漏れなく付いています。(涙)

xxx.co.jp のドメインを管理してるのでしょうか。
でも、xxxx.co.jp なんてドメインは存在していないようですね。
そりゃあ、メールが届かないはずですね

たった39バイトのメールにウィルスが付いているのですか?
MYTOB.EDのサイズは33280バイトだそうですが。

で、リレーしてるようですが...

引用:

発信元が分からないので、社内のPCが原因なのかどうかも分かりません。
困った・・

接続元のIPアドレスは分からないのですか???

[ メッセージ編集済み 編集者: ぽんす 編集日時 2005-06-02 21:43 ]
ポワロ
会議室デビュー日: 2005/06/01
投稿数: 4
投稿日時: 2005-06-03 09:09
ご回答、ありがとうございます。

ぽんすさんの言葉がヒントになり、なんとなく見えてきました。
ありがとうございます。
relay=xxxx.co.jp[xxx.xxx.xxx.xxx]は私が管理しているInterScanのサーバで、実在
します。あて先のユーザは実在しません。
インバウンド、アウトバウンドともこれを通過するため、MYBOT.EDはここで
削除され、メールサーバに来ます。その結果39byteになります。
接続元のIPは分かりました。
が、それが社内の人間からなのか、社外からなのかが分かりません。
ちなみにサーバのあるところは都内で、上記メールは京都からなのですが、弊社の
京都支店なのか、別のところからなのかが不明です。

ぽんす
ぬし
会議室デビュー日: 2003/05/21
投稿数: 1023
投稿日時: 2005-06-04 19:54
えーと、xxx.co.jp は実在するんですが...
伏せ字にするならドメイン名として使われることがない文字にするか、
あるいはRFC2606で予約されているドメインにしましょう。
http://ring.riken.jp/archives/doc/RFC/rfc2606.txt

引用:

ポワロさんの書き込み (2005-06-03 09:09) より:
インバウンド、アウトバウンドともこれを通過するため、MYBOT.EDはここで
削除され、メールサーバに来ます。その結果39byteになります。

つまり、そのメールは「ウィルスチェックにひっかかった結果、
Interscanが生成している通知メール」ですね。
SPAMというか、ウィルスを含んだメールそのものではない。
エンベロープFromが空白なのは通知メールだから。もとのメールの
Fromがどうであったのか、これだけの情報では分からない。
Fromが空白のメールを拒否することは対策になり得ないし、
MTAの動作として非常にまずいです。
1

スキルアップ/キャリアアップ(JOB@IT)