- PR -

postmasterから、大量のメールが..

1|2 次のページへ»
投稿者投稿内容
TN
常連さん
会議室デビュー日: 2004/03/08
投稿数: 24
投稿日時: 2004-03-10 11:16
こんにちは、ここでは皆様にいろいろ御教授頂き、大変勉強になっています。
また、御意見等を頂きたく質問させて頂きます。

昨日ここで、御教授頂きsendmailにて外部での送受信がちゃんと出来るようになりました。
今朝、外部にて送受信の確認を行った所、postmasterから、800通以上もメールが届いていました。
はゆる様より

>メールのリレーとアクセス制限、認証などの仕組みを理解することがまず先です。
>そうでないと、spamer の格好の餌食になってしまいます。

このような指摘を受けたばかりで、こんな事になってしまったのでまさか、と思いました。

メールの内容は以下に記します。

件名:Postmaster notify: see transcript for details

本文:
The original message was received at Wed, 10 Mar 2004 09:35:48 +0900
from localhost
with id i2A0YIEH010079

----- The following addresses had permanent fatal errors -----
dixtt6idixtt6i@yahoo.com
(reason: 553 VS10-RT Possible forgery or deactivated due to abuse (#5.1.1))

----- Transcript of session follows -----
... while talking to mx2.mail.yahoo.com.:
>>> DATA
<<< 553 VS10-RT Possible forgery or deactivated due to abuse (#5.1.1)
550 5.1.1 dixtt6idixtt6i@yahoo.com... User unknown
<<< 504 At least one RCPT command is required

添付ファイル内容1:ATT00118.dat

Reporting-MTA: dns; hoge.hoge.co.jp ←サーバーホスト名
Received-From-MTA: DNS; [xxx.yyy.zzz.aaa] ← サーバーIP
Arrival-Date: Wed, 10 Mar 2004 08:34:58 +0900

Final-Recipient: RFC822; dixttiidixttii@yahoo.com
Action: failed
Status: 5.1.3
Remote-MTA: DNS; mx2.mail.yahoo.com
Diagnostic-Code: SMTP; 553 VS10-RT Possible forgery or deactivated due to abuse (#5.1.1)
Last-Attempt-Date: Wed, 10 Mar 2004 08:34:59 +0900

添付ファイル2:Returned mail_ see transcript for details.eml

The original message was received at Wed, 10 Mar 2004 08:34:57 +0900
from [61.79.223.143]

----- The following addresses had permanent fatal errors -----
hippo-gkak@hanmail.net
(reason: 550 5.7.1 <dixttiidixttii@yahoo.com>... Sorry,access denied(xxx.yyy.zzz.aaa).You've sent too many e-mails to us(1200).If you need more infomation,write to us at nospam@hanmail.net with this message.)

----- Transcript of session follows -----
... while talking to mx7.hanmail.net.:
>>> MAIL From:<dixttiidixttii@yahoo.com> SIZE=2823 BODY=8BITMIME
<<< 550 5.7.1 <dixttiidixttii@yahoo.com>... Sorry,access denied(xxx.yyy.zzz.aaa).You've sent too many e-mails to us(1200).If you need more infomation,write to us at nospam@hanmail.net with this message.
554 5.0.0 Service unavailable

以上です。
これって、やっぱりspameメールなんですか?
どなたか、分かる方、同じような経験をされた方ががいらっしゃいましたら、御教授御願い
致します。
非武装エリア
大ベテラン
会議室デビュー日: 2004/03/03
投稿数: 202
お住まい・勤務地: 日本・たこ部屋
投稿日時: 2004-03-10 11:44
送信エラーとなった相手先のアドレスに見覚えが無いなら、spamの踏み台にされている可能性が大ですね。(踏み台から出されたメールが宛先エラーで戻ってきたとか) まずはメールサーバを停止して、ログの確認で変なところからのメールの送信が無いか調べる事が先決ですね。
はゆる
ぬし
会議室デビュー日: 2004/02/16
投稿数: 1008
お住まい・勤務地: 首都圏をウロウロと
投稿日時: 2004-03-10 12:20
こんにちは〜。

ありゃりゃ、どうやらヤラレてしまったようですね…。(-_-#)
hanmail.net は、去年から私のところにも挨拶にきているので見覚えがあるのですが、
どうやら韓国の spamer のようです(IP アドレスで引いてみたところ)。
一番最初にやらなければならないことは、非武装エリアさんのおっしゃるように、
sendmail を kill することです。
自宅のサーバで、ssh が会社から接続できるようになっているのなら、即止めましょう。

以前のスレッド
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=9920&forum=10&8
で、kaz さんが教えてくださったサイトさんは、試されてなかったのかな(苦笑)。
TN
常連さん
会議室デビュー日: 2004/03/08
投稿数: 24
投稿日時: 2004-03-10 14:21
非武装エリア様、はゆる様、早速有難う御座います。
どうやらspamの踏み台にされていたようです(汗)

あわてて、telnetでsendmail を killしようとして、
# /etc/rc.d/init.d/kill PID と入力しました。
その後、ps axで確認すると、sendmailはkillされているようなのですが、
外部からのメール送受信が出来てしまいます。

どなたか対処の仕方を教えていただけないでしょうか?
すぐにでも停止させたいので、何卒宜しく御願い致します。
はゆる
ぬし
会議室デビュー日: 2004/02/16
投稿数: 1008
お住まい・勤務地: 首都圏をウロウロと
投稿日時: 2004-03-10 14:56
こんにちは〜。

ええと、最初に。
telnet で会社から自宅に接続してはダメです(苦笑)。
パスワード漏れちゃいますよ?

> あわてて、telnetでsendmail を killしようとして、
> # /etc/rc.d/init.d/kill PID と入力しました。
> その後、ps axで確認すると、sendmailはkillされているようなのですが、
> 外部からのメール送受信が出来てしまいます。

上記手順では、sendmail は死んでいないと思います(苦笑)。
sendmail を止めるには、起動スクリプトで stop するか、
# ps aux | grep sendmail
root PID 〜〜〜 sendmail 〜
# kill (PID の数字)
とすると良いでしょう。
TN
常連さん
会議室デビュー日: 2004/03/08
投稿数: 24
投稿日時: 2004-03-10 15:45
はゆる様、大変有難う御座いました。本当助かりました!
telnetはまずかったんですね(汗)
sshで接続して、何とか停止出来ました。

今回もまた、すごくいい勉強になりました。
今後も御指導の程、宜しく御願い致します。
弁天No1
常連さん
会議室デビュー日: 2003/07/06
投稿数: 28
投稿日時: 2004-03-10 18:56

私もspamの踏み台されたみたいです。
メールログは以下のごとしです。

Mar 8 19:41:28 tony07 postfix/smtpd[3715]: connect from unknown[211.222.98.178]

Mar 8 19:41:28 tony07 postfix/smtpd[3715]: 997ACC16B5:
client=unknown[211.222.98.178]

Mar 8 19:41:29 tony07 postfix/smtpd[3715]: warning: the "check_relay_domains"
restriction is going away; use
"reject_unauth_destination" instead

Mar 8 19:41:29 tony07 postfix/smtpd[3715]: 997ACC16B5: reject: RCPT from
unknown[211.222.98.178]:554 <ad9505@hanmail.net>:
Recipient address rejected: Relay access denied;
from=<louisjin@intizen.com> to=<ad9505@hanmail.net>
proto=SMTP helo=<none>

Mar 8 19:41:30 tony07 postfix/smtpd[3715]: disconnect from
unknown[211.222.98.178]

悪いことはいいませんsendmailはやめたほうがよいでしょう。
postfixかqmailに変更されることをお勧めします。
私の場合は常設サーバーではなく、たまたまその日はサーバーでTVをみながら
寝てしまったので狙われたようです。
早速、unknown[211.222.98.178]:554 <ad9505@hanmail.net>と<louisjin@intizen.com>を
reject リストに登録しました。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-03-10 21:20
引用:

弁天No1さんの書き込み (2004-03-10 18:56) より:

私もspamの踏み台されたみたいです。

悪いことはいいませんsendmailはやめたほうがよいでしょう。
postfixかqmailに変更されることをお勧めします。
私の場合は常設サーバーではなく、たまたまその日はサーバーでTVをみながら
寝てしまったので狙われたようです。
早速、unknown[211.222.98.178]:554 <ad9505@hanmail.net>と<louisjin@intizen.com>を
reject リストに登録しました。



悪いことは言いません,まず謙虚に先達から学びましょう,随分なご意見をお吐きになる前に.どんな MTA でもよほど古いバージョンでなければ普通に第3者通信を封じる手立てがあります.さらには The internet には星の数ほどそれらを解説している site があります.

Beginner 様,むしろこの程度で萎えないでくださいね,誰かさんの言い草じゃないですが.メールサーバ立てたらとりあえず
http://www.abuse.net/relay.html
http://www.nanet.co.jp/rlytest/relaytest.html
へ.

sendmail であれ,postfix や qmail であれ,Linux とか bsd とか Solaris とか,載せてる OS にはあまり依存しません.ちなみに自分は
http://www.fkimura.com/server-menu.html
ここからはじめました.ご参考までに.
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)