- - PR -
[EXCH2003] SMTPサーバーから切断されずセッションが残る不正ホストがある
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2006-05-22 12:54
Exchange Server 2003 SP2 with AllPatch の環境です。
ここ最近、SMTPサービスが落ちる(再起動しないと直らない)ことが頻発しています。 で、色々と調べていまして、その中で一点怪しい動作を発見しました。 システムマネージャ → サーバー → プロトコル →「既定のSMTPサーバー」で現在のセッションを確認しますと、接続時間が70000秒を超えているようなものがありました。 現在のセッションに現れる内容としては、 ユーザー = 自ドメイン 差出人 = スパム送信者(222.228.*.*) → 大阪のISPである点までは把握済み 接続時間 = 70000秒以上の値 タイムアウトはデフォルトの10分のままですので、切れるべきだと思うんですが。 Queue にも残ってまして、テキストエディタで見る限り、差出人の偽装もきちんとされた正真正銘なスパムのようです(笑) このような接続されたままのセッションがある一定数に達するとサービスが落ちることまでは判明しましたので、うちにとってはDoSの一種のようなものです。。 先週は中国から同じような接続があり、そこは/24単位で拒否かけて以後は再発していませんが、非常に怪しいSMTPクライアントから送信しているのでしょう。抜本的に対策しないとラチがあきません。 接続タイムアウトが機能していないのが変だと思うのですが、何か心当たりありますでしょうか。 | ||||
|
投稿日時: 2006-05-23 01:47
こんばんわ.
詳しくありませんが,その timeout は idle になってから, つまり送受信が行われて無いのに接続されっぱなしになっている場合のものでは? 通信している最中に「10 分経過したから」とバッサリ通信が切断されたら ちょっとよろしくないと思いますので. SPAM だと判明しているのであれば,その接続元からの通信は 接続制限してしまえばよろしいかと. 以上,ご参考までに. | ||||
|
投稿日時: 2006-05-23 10:25
Telnet smtp-server 25 で試した限りでは、途中で送受信をやめて放置すればサーバーから 451 で切られてしまいます。ですからタイムアウトの設定は効いてるみたいです。。
DATA コマンドを送って、<CRLF>.<CRLF> すれば Queue フォルダからファイルが消えて実際の配信に移るみたいで、今回の私の場合では Queue フォルダにファイルが残ったままになっている点から見て、<CRLF>.<CRLF> は受けていない模様。 セッション繋ぎながら5〜10分おきにスペース1文字ずつ送り込んで、セッション切らさないように工夫しているんでしょうかね(笑) >SPAM だと判明しているのであれば,その接続元からの通信は >接続制限してしまえばよろしいかと. 今月の頭からセッションの切れないホストが現れ、今のところ中国と大阪のISPのものの2件(/24×2)をブラックに入れて以後は再現していないのですが、他にも現れると大変に厄介なものです。 あまりに頻繁に再発したら、対象ホストを野放しにしておいて、パケットを全記録して原因の特定をしようとは思ってますが、みなさんの環境ではあまり発生していないようですね。 そんな嫌がらせを受ける可能性があるほど、有名な会社じゃないんですけどねぇ(笑) | ||||
|
投稿日時: 2006-10-03 11:54
随分と前に書き込みました原因が分かりました。
送信者IDを有効しているため、以下の不具合?に該当してしまっていたようです。 http://support.microsoft.com/kb/918283/en-us 一応報告まで。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。