このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

EIMS2.1で不審者がPOP3サーバへ侵入?

発言者:みやむら
( Date Friday, May 22, 1998 14:55:29 )


メールログを見ていたのですが、

POP3サーバへ
Wrong password for・・・
という項目があり、全然知らない人が接続して
メールの配送を行なっているようなんですが、
こういうことって、ありえるのでしょうか?

また対処法などがありましたらお教えください。
お願いいたします。

みやむら さんからのコメント
( Friday, May 22, 1998 16:21:57 )

すみません。。。。勘違いかもしれません^^;
もう少し様子を見てみます。

田中求之 さんからのコメント
( Friday, May 22, 1998 16:33:38 )

Wrong password for・・・

というエラーが出ているということは、パスワードが間違っているので、接続を拒否
したということです。POP サーバーへは接続できなかったということですから、
何の問題もありません。

本当の侵入者であれば、エラーメッセージは残りません(つまり、正規のユーザーで
ある他人の名前とパスワードを騙るはずですから)。もっとも、これはサーバー側
では管理できないことですが。

もし外部からの POP への不正アクセスが怖いということでしたら(たとえばユーザー
名とパスワードを書いてあった紙を間違って知らない会社に FAX しちゃったとか)、
POP のアクセスに IP アドレスによる制限を加えるなどの対策をとればいいでしょう。


みやむら さんからのコメント
( Friday, May 22, 1998 21:02:29 )

>何の問題もありません。
安心しました。そうですよね、Wrongですから。
なんか少しの事だけで過敏に反応してしまいます。。。^^;

>これはサーバー側では管理できないことですが。
>間違って知らない会社に FAX しちゃったとか
EIMSに潜入してパスワードが盗まれる心配って
しなくてもいい問題でしょうか?

なんか少し安心しました。
ありがとうございます。

kazu@zao.or.jp さんからのコメント
( Sunday, May 24, 1998 00:47:57 )

IDと同じパスワードで片っ端から試してみるという手口もあります。
POPに限らず、不要なネットワークからのアクセスは制限した方がいいです。
メールサーバーでできなければ、ルーターでフィルタリングできます。
本当は侵入よりもダウンさせられるほうがコワイ。

cony さんからのコメント
( Monday, June 15, 1998 00:51:26 )

だいぶ前の話題ですみません。EIMS1.2を使っています。
エラーログなどは極力見るように心がけているのですが
一週間ほど不在にしている間に、POPの侵入を試みられていました。
気がついたのは、わざと残したかと思われるのですが
postmaster宛てに配達不能のメールが戻ってきたからで
内容は
"This program scans port 25 and tests for open relays.

I am not a spammer!  Only one test will be sent through any system for a survey."
という何とも怪しいものであり、また宛先も
sender@simkin.comから届かないのを見込んで
rtest@simkin.com
という宛先になっていました。
エラーログを慌てて調べてみると、確かに留守中に

1998年 6月 xx日 (木) 1:25:32 AM  DNR timed out to 210.163.xxx.34 (当方のメールサーバーです)for simkin.com
1998年 6月 xx日 (木) 1:30:32 AM  Connection timed out to 199.175.137.111 (simkin.com)
1998年 6月 xx日 (金) 1:40:11 AM  POP3 wrong password for webmaster from 203.216.11.226
のようなエラーログが毎日何度も記録されていました。
外出先からメールチェックはしましたが、パスワードを
間違ったことなどありません。

インターネット上でサーバーを立ちあげるということは
こういう事にもさらされる可能性があるということは
重々承知していますが、どのように対処すれば良いのでしょうか?
以前の発言のように、ルーター側で特定のIPをフィルタリングする
以外に方法はないのでしょうか?
よろしくご教授お願いいたします


田中求之 さんからのコメント
( Monday, June 15, 1998 02:37:57 )

親切というべきか、あるいは余計なおせっかいというべきか、とにかく、
EIMS 1.2 の SMTP が SPAM relay に対して無防備であることは
怪しいメールの指摘の通りです。

POP3 には進入されていないと思いますが(パスワードが見破られていない
限り)、SMTP が SPAM の中継に使われる可能性はあります。これは EIMS 1.2
を使っているかぎり仕方がありません。

もし SPAM の Relay に使われるのが怖ければ、その対策機能を持った EIMS 2.1
か SIMS にメールサーバーを変更するしかありません。

ルーターの IP フィルタリングでは SMAM の relay は防げないと思います
(この点は、詳しい人にフォローをお願いします)

みやむら さんからのコメント
( Monday, June 15, 1998 08:11:24 )

EIMS2.1を使っています。
conyさんが発言するまで余り気には止めなかったんですが
うちも先週”rtest@simkin.com”宛への返信不能メールが
ありました。
始めは誰かが流したんだと気を止めなかったんですが、
conyさんの状況とほぼ同じですので、
一応、報告させていただきました。

EIMS2.1でも外部不審者がSMTPを使用することは
可能なのでしょうか?

田中求之 さんからのコメント
( Monday, June 15, 1998 10:58:49 )

>EIMS2.1でも外部不審者がSMTPを使用することは
>可能なのでしょうか?

Relay Restriction や IP Range Restriction を、インストールしたまま何の
設定も行ってないのであれば、当然のことながら、SPAMMER による SMTP の不正利用は
防げません。

たまちゃん さんからのコメント
( Monday, June 15, 1998 14:35:26 )

ちょっと気になったので、どなたか確認していただきたいのですが。。

EIMS 2.Xが管理している(relayを禁止している)Local domain(下の例で
は、mail.mycompany.co.jp)以外からEIMS 2.XにEIMS 2.Xが持っているア
カウント(例えば、Postmaster)にSMTPポートでログインし、

MAIL FROM:<Postmaster@mail.mycompany.co.jp>
RCPT TO:<user_name@mail.yourcompany.co.jp>
data
.
quit

とすると、メッセージが送れてしまうようです。IP Rangeで制限をかけると送
ることが出来ないのはいいとして、該当するIPアドレス以外からはメッセージ
を受けることが出来ないようです(マニュアルには、sending e-mail 
through serverと書いてあるので、送る側だけの制限だとてっきり思ってい
たのでですが)。

これは、EIMSの仕様といえば仕様なのでしょうが、この理解でよろしいでしょ
うか?もしそうなら、この事態を避けるどんな方法があるでしょうか。

田中求之 さんからのコメント
( Monday, June 15, 1998 15:39:11 )

正規のアカウントでログインしているわけですから、メッセージは送れますよね。

>該当するIPアドレス以外からはメッセージ
>を受けることが出来ないようです

SMTP に IP Range Restriction を設定すると、そうなります。私の場合は、
大学のメールサーバーから私のメールを管理しているサーバーへメールが流れてく
るようになってますので、SMTP に IP Range で制限をかけていますが、サイト
のメールサーバーの場合は、SMTPに IP Range の制限を加えると使い物になり
ませんよね(上流のプロバイダがスプールしてくれるのであれば、DNS の MX で
プロバイダのメールサーバーを指定しておいて、そのプロバイダのメールサーバ
の IP は通すようにするという設定は可能ですが)。


>もしそうなら、この事態を避けるどんな方法があるでしょうか。

う〜む。

たまちゃん さんからのコメント
( Monday, June 15, 1998 16:08:42 )

>>もしそうなら、この事態を避けるどんな方法があるでしょうか。
>
>う〜む。

SIMSに変えるという手はありますが。。。 よっぽど気になったら、Glennさ
んに伝えます。

有り難うございました。


田中求之 さんからのコメント
( Monday, June 15, 1998 17:10:38 )

SIMS の場合は違うのですか? (原理的な同じはずだけど…??)

たまちゃん さんからのコメント
( Monday, June 15, 1998 18:24:32 )

すみません。説明不足でした。(^_^;;)

>>SIMSに変えるという手はありますが。。。

は、人のアドレスを使って、メールを送られるのを阻止するという意味でし
た。

SMTPですから、送信時に認証を行わないのはその通りで、これは何もEIMSに
限った話ではありません。SIMSの場合は、SIMSを使った送信者のIPアドレス
でrelayを許すかどうかを決めることが出来るので、例えアカウント名を知っ
ていても、senderのIPアドレスがClient Hosts listになければ送信が
rejectされるということです。したがって、(ブラックリストやrblサーバで
指定していない限り)受ける場合には問題がないということです。

まだわかりにくい説明だなあ。ポリポリ。

cony さんからのコメント
( Tuesday, June 16, 1998 01:15:47 )

ありがとうございます
当方はMACTCPのままなので、システムの入れ替えと
OpenTranceportへの移行を検討しないといけないようです。
しかし、さっきもログを見直していたのですが
出先が分かっているし、実存している限り(simkin.comと
なぜかfarallon.comもありました)、
使用者は確定できないにせよ、「止めてくれ」メールを
出してみるというのは、第一弾の良い対策でとは言えないのでしょうか?

田中求之 さんからのコメント
( Tuesday, June 16, 1998 01:30:25 )

>使用者は確定できないにせよ、「止めてくれ」メールを
>出してみるというのは、第一弾の良い対策でとは言えないのでしょうか?

SPAM をやらかそうとするような人間は、自分の身元を隠すぐらいのことは
しますから、どこまで効果があるかは疑問です。実際、私自身は、EIMS 1.2
を使っていたとき、明らかに同一人物と思われる人間が、IP アドレスをランダムに
換えながら、 SPAM を relay するために SMTP にログインしてくるのを
目の前で見ました。

みやむら さんからのコメント
( Wednesday, June 17, 1998 15:33:16 )

貴重なご意見ありがとうございます。

>Relay Restriction や IP Range Restriction を、インストールしたまま何の
>設定も行ってないのであれば、当然のことながら、SPAMMER による SMTP の不正利用は
>防げません。

IP Range Restrictionでは制限も求めるIPアドレスを
Range from---to---でその範囲を指定し制限を加える。

Relay Restriction はドメイン名によって制限を設ける
と認識していますが、よろしいでしょうか?
また、その時のドメイン名は全ての名称を指定しなけれ
ばならないのでしょうか?例えば---.co.jpと指定すれば
それらを含む全てのドメイン名で制限を設けるてくれるの
でしょうか?

よろしくお願いいたします。

田中求之 さんからのコメント
( Wednesday, June 17, 1998 17:18:54 )

>Relay Restriction はドメイン名によって制限を設ける
>と認識していますが、よろしいでしょうか?
>また、その時のドメイン名は全ての名称を指定しなけれ
>ばならないのでしょうか?

基本的には制限の対象とするドメインをすべて記述する必要があります。

ただ、「---.co.jpと指定」というような設定の必要はないはずですが?

only Route for local domains and the following domains
をチェックしておけば、SPAM による不正中継の利用は防げるはずです。
(他のドメインから自分のドメインへ、あるいは自分のドメインから他のドメインへ、
というメールしか通さなくなる)

みやむら さんからのコメント
( Thursday, June 18, 1998 12:19:40 )

>only Route for local domains and the following domains
ここでのlocal domainsとは、そういう意味だったのですね。

てっきりログをみて、不審者を毎回チェック、登録するもの
だと、思っていました^^;
とても助かりました、ありがとうございました。