Postfix Postfix Japan

[postfix-jp: 4385] Spamメール

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
5 messages Options
花光亮
Reply | Threaded
Open this post in threaded view
|

[postfix-jp: 4385] Spamメール

花光亮

共有サーバを運用しているのですが、
Spamメールの踏み台にされてこまってます。
CBLでスパム判定されてしまい、毎回手動で解除しています。
maillogを見てると、怪しいメールはわかるのですが、
それがどこから送信されているかがわかりません。
(どのプログラムからなどです。)
POP3(POP before SMTP)、SMTP認証はONにしてます。

なにかいい方法を教えていただけないでしょうか
設定を色々変える方法もあるかもしれませんが、
運用中なので、できれば、悪さしているおおもとを見つけたいです。

お手数をおかけいたしますが宜しくお願いいたします




_______________________________________________
Postfix-jp-list mailing list
[hidden email]
http://lists.osdn.me/mailman/listinfo/postfix-jp-list
Nakane Ryuji
Reply | Threaded
Open this post in threaded view
|

[postfix-jp: 4386] Re: Spamメール

Nakane Ryuji
> Spamメールの踏み台にされてこまってます。
> CBLでスパム判定されてしまい、毎回手動で解除しています。
> maillogを見てると、怪しいメールはわかるのですが、
> それがどこから送信されているかがわかりません。
> (どのプログラムからなどです。)
> POP3(POP before SMTP)、SMTP認証はONにしてます。


まあ、まずは smtpd_relay_restrictions で permit_sasl_authenticated を指定した上でデフォルト reject にしてあるかがポイントでしょう。
SMTP認証が正しく有効になっているのであれば、パスワードが漏れたユーザー アカウントがあると思われるので、ログから利用されているユーザー アカウントを見つけ出して、パスワードを変更してください。

これ以上は、コンフィグとログがなければなんとも言えません。

____
Nakane Ryuji  living at Nagoya
// mailto:[hidden email]
// http://www.compnet.jp/

_______________________________________________
Postfix-jp-list mailing list
[hidden email]
http://lists.osdn.me/mailman/listinfo/postfix-jp-list
花光亮
Reply | Threaded
Open this post in threaded view
|

[postfix-jp: 4387] Re: Spamメール

花光亮
ありがとうございます。

コンフィグは添付します。

SMTP認証が正しく有効になっているのであれば、パスワードが漏れたユーザー アカウントがあると思われるので、ログから利用されているユーザー アカウントを見つけ出して、パスワードを変更してください。
すいません、複数のメールアカウントを使っているので、どのユーザアカウントからかわかりにくいです。
どのユーザアカウントから送信したか分かる方法はあるのでしょうか。


色々聞いてすいませんが、宜しくお願いいたします



2017年2月16日 12:02 Nakane Ryuji <[hidden email]>:
> Spamメールの踏み台にされてこまってます。
> CBLでスパム判定されてしまい、毎回手動で解除しています。
> maillogを見てると、怪しいメールはわかるのですが、
> それがどこから送信されているかがわかりません。
> (どのプログラムからなどです。)
> POP3(POP before SMTP)、SMTP認証はONにしてます。


まあ、まずは smtpd_relay_restrictions で permit_sasl_authenticated を指定した上でデフォルト reject にしてあるかがポイントでしょう。
SMTP認証が正しく有効になっているのであれば、パスワードが漏れたユーザー アカウントがあると思われるので、ログから利用されているユーザー アカウントを見つけ出して、パスワードを変更してください。

これ以上は、コンフィグとログがなければなんとも言えません。

____
Nakane Ryuji  living at Nagoya
// mailto:[hidden email]
// http://www.compnet.jp/

_______________________________________________
Postfix-jp-list mailing list
[hidden email]
http://lists.osdn.me/mailman/listinfo/postfix-jp-list


_______________________________________________
Postfix-jp-list mailing list
[hidden email]
http://lists.osdn.me/mailman/listinfo/postfix-jp-list

config.txt (3K) Download Attachment
nebula@e-net.or.jp
Reply | Threaded
Open this post in threaded view
|

[postfix-jp: 4388] Re: Spamメール

nebula@e-net.or.jp
こんにちは

>> MTP認証が正しく有効になっているのであれば、パスワードが漏れたユーザー
>> アカウントがあると思われるので、ログから利用されているユーザー
>> アカウントを見つけ出して、パスワードを変更してください。
>
>すいません、複数のメールアカウントを使っているので、どのユーザアカウントからかわかりにくいです。
>どのユーザアカウントから送信したか分かる方法はあるのでしょうか。


SMTPの認証を sasl を利用している場合、以下のようなログが残っているのではないかと思います。

Feb 16 00:00:00 mail postfix/smtpd[10101]: XXXXXXXXXXXX: client=1.1.168.192.example.jp[192.168.1.1], sasl_meth
od=PLAIN, sasl_username=hogehoge


力技になりますが、まず sasl_username のある行を抽出し、client= からIP Address を取得し
その IP Address が利用者以外かどうかを判別して洗い出していく。

SPAM でブラックリストに載るくらいであれば、かなりの数のメールが送られていると思うはず
なので1つのユーザーIDから一体何通メール送られているかを数える。

この2つで絞り込めば、おおよその見当はつくと思います。

spammer は一気に大量に送りつけるタイプや、小出しにずーっと送り続けるタイプ、IP Address
を少しずつ変えながら送るタイプ色々いますが、大量に送り続けるという点に関してはほぼ共通
してるので、たくさんメールを送っているユーザーを探せばほぼ当たりだと思います。

_______________________________________________
Postfix-jp-list mailing list
[hidden email]
http://lists.osdn.me/mailman/listinfo/postfix-jp-list
花光亮
Reply | Threaded
Open this post in threaded view
|

[postfix-jp: 4389] Re: Spamメール

花光亮
色々ありがとうございます!

力技になりますが、まず sasl_username のある行を抽出し、client= からIP Address を取得し
その IP Address が利用者以外かどうかを判別して洗い出していく。
ブラックリストにのる一日前からしらべてみましたが、利用者のIPアドレスすべてはわからないのですが、
海外のIPアドレスは見つかりませんでした。 

SPAM でブラックリストに載るくらいであれば、かなりの数のメールが送られていると思うはず
なので1つのユーザーIDから一体何通メール送られているかを数える。
すいません、ユーザIDとは、なにをさしておりますか。
例えば、以下のログのuidの部分ですか。
maillog:Feb 16 07:34:11 xxxxxxxx postfix/pickup[5470]: xxxxxxxxxx: uid=110 from=<[hidden email]>

細かくてすいませんが、よろしくお願いいたします。



2017年2月16日 15:52 [hidden email] <[hidden email]>:
こんにちは

>> MTP認証が正しく有効になっているのであれば、パスワードが漏れたユーザー
>> アカウントがあると思われるので、ログから利用されているユーザー
>> アカウントを見つけ出して、パスワードを変更してください。
>
>すいません、複数のメールアカウントを使っているので、どのユーザアカウントからかわかりにくいです。
>どのユーザアカウントから送信したか分かる方法はあるのでしょうか。


SMTPの認証を sasl を利用している場合、以下のようなログが残っているのではないかと思います。

Feb 16 00:00:00 mail postfix/smtpd[10101]: XXXXXXXXXXXX: client=1.1.168.192.example.jp[192.168.1.1], sasl_meth
od=PLAIN, sasl_username=hogehoge


力技になりますが、まず sasl_username のある行を抽出し、client= からIP Address を取得し
その IP Address が利用者以外かどうかを判別して洗い出していく。

SPAM でブラックリストに載るくらいであれば、かなりの数のメールが送られていると思うはず
なので1つのユーザーIDから一体何通メール送られているかを数える。

この2つで絞り込めば、おおよその見当はつくと思います。

spammer は一気に大量に送りつけるタイプや、小出しにずーっと送り続けるタイプ、IP Address
を少しずつ変えながら送るタイプ色々いますが、大量に送り続けるという点に関してはほぼ共通
してるので、たくさんメールを送っているユーザーを探せばほぼ当たりだと思います。

_______________________________________________
Postfix-jp-list mailing list
[hidden email]
http://lists.osdn.me/mailman/listinfo/postfix-jp-list


_______________________________________________
Postfix-jp-list mailing list
[hidden email]
http://lists.osdn.me/mailman/listinfo/postfix-jp-list
Free forum by Nabble Edit this page