- PR -

qmailでのウィルスメールの相手メールアドレス調べ方

1
投稿者投稿内容
ギャリスン
ベテラン
会議室デビュー日: 2003/08/05
投稿数: 50
投稿日時: 2005-07-05 13:27
ウィルスメールの受信に悩んでおります。

Netskyの頃から、相手がウィルスを送ってきても
一概に相手のメアドが正しくなくなってしまいました。
以前はsendmailを使用していて、メッセージIDがあれば
ヘッダーを詐称したくらいでは相手のメールアドレスが
maillogを確認すれば簡単にメールアドレスを特定できたのですが。。。

qmailにしてから、どうもメールアドレスが詐称されたものが
そのままmaillogに載っているように見受けられます。

私のメールの見方が間違ってるのでしょうか?
それとも、ログをも詐称できるように近年はなっているのでしょうか?

是非技術的なアドバイスなどを頂けましたら幸いです。

送信サーバーの特定は出来ているのですが、
先方のプロバイダが様々なサイトで腰の重さが日本有数と
謳われているだけに、ウィルスの話を持っていけなくても悩んでおります。

メールサーバーを管理しているほかの方々は、
同じ所と思われるところから多量のウィルスメールが
いつまでもなくならない場合、どのように解決しておりますでしょうか?
是非、そちらも
プロバイダに文句を言う場合のコツなども含めまして
アドバイス頂けましたら幸いです。
BB
ベテラン
会議室デビュー日: 2003/04/04
投稿数: 53
投稿日時: 2005-07-06 10:47
最近のウイルスは[To:]も偽称しているのでヘッダーから取得できる正確な情報は
接続してきたIPアドレスのみです。

私の場合、qmail+qmail-scanner+clamavで運用しています。
ウイルスメールおよび警告メールは、From及びToは配送せずに管理者側で確認し破棄しています。

先ほども書きましたが[To:]も偽称しているので感染者への直接警告する方法はありません。
その為、ISP側に知らせて対応してもらうしかありません。
ISPへ知らせるコツですが、対応してもらえる部署に正確な情報を伝える事です。
ウイルスメールのヘッダーを本文に記述すればいいと思います。
(添付ファイルだと受信してもらえない場合がある)

どうしてもISP側で対応してもらえない・ISPの警告にも感染者が対応しない場合、
接続してくるIPアドレスに制限を掛けるのも1つの方法です。
最近のウイルスはサーバを経由せずに感染PCから直接接続してきます。
常時接続が普及してますので、
DHCPで振られたIPアドレスも変わらない事が多いので有効だと思います。
感染PCのIPアドレスを制限しても、
ISPの正規メールサーバからの接続は問題ないので運用には支障はないと思います。

[ メッセージ編集済み 編集者: BB 編集日時 2005-07-06 10:49 ]
ぽんす
ぬし
会議室デビュー日: 2003/05/21
投稿数: 1023
投稿日時: 2005-07-06 12:32
過去においても現在においても、ヘッダの中で信頼できるのは
Receivedフィールドのうち、自分で管理しているMTAが
つけたものだけであ?
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2005-07-06 13:09
どもです。がるです。
微妙余談っぽいですが。
引用:

ぽんすさんの書き込み (2005-07-06 12:32) より:
過去においても現在においても、ヘッダの中で信頼できるのは
Receivedフィールドのうち、自分で管理しているMTAが
つけたものだけであ?

あとは、SMTPコマンドのRCPT TOのアドレスは一応信用できるかと。
ってか、何はともあれここ「だけは」正しくないとメールが届かない(笑
# いやまぁ「自アドレス」が正等であることがわかっても何の意味も
# ないのですが :-P

いずれにしても、とりあえず「Mailのデータは全て詐称可能」であることを
前提に考えておいたほうがよいと思います。ハイ。
ギャリスン
ベテラン
会議室デビュー日: 2003/08/05
投稿数: 50
投稿日時: 2005-07-06 13:29
どもです。

>最近のヘッダーは信用しない方が良い
現状、色々調査しましたら最初のReceived
は、全部おんなじところっぽいし、
自分のMTAのログにも
そのサーバーから受信記録がありますです。 
幸いtoだけの詐称っぽいようでアリマス。(`ω´ゝケイレイ!

ちなみに、メールサーバーに対してもヘッダーの詐称で
ログの受信履歴なんかも騙すことは可能なのでしょうか?

この辺のヘッダーとログの比較のコツがありませんでしょうか?

よろしくお願いします

>BBさん
早速ご指導に沿って、ISPにも通報してみます〜
しかし、天下のケイレツ大手で
迷惑メールの対応の遅さも有名だっただけに・・・(´ω`
1

スキルアップ/キャリアアップ(JOB@IT)