このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

スパムメールで困っています。 PLS HELP!

発言者:笹田
( Date Thursday, August 20, 1998 21:04:26 )


昨夜より、aol.comより大量のスパムメールが送られ困っています。
使用メールサーバはEIMS2.1を使用しているので、IP制限により
ブロックしています。しかし、ヨーロッパやUSよりのメールでメーリング
リストからはずしてくたださいというメールが届き、事態の深刻さに
気づきました。

どうも、第3者が私どものドメインを使用し、架空のメールアドレスにて
AOLのメンバーやメーリングリストに送っているようです。そのバウンス
メールが大量に私どもに返ってきているようです。

弊社の接続は、OMP(大阪メディアポート)なので、相談をしましたが、
気の毒としか言いようがないということでした。やはり、自力で問題
解決をしなければなりません。皆さんのアドバイスをお願いします。

第三者が使用しているメールアドレスは以下の複数で実際には存在
しません。

sz7000a@kpn.nishi.osaka.jp,success1a@kpn.nishi.osaka.jp,sz1000a@kpn.nishi.osaka.jp,
1a5000s@kpn.nishi.osaka.jp,comp856zx@kpn.nishi.osaka.jp,comp933zx@kpn.nishi.osaka.jp

というものです。

バウシングで返ってきているメールのヘッダー以下のようなものです。

NO.1:

Return-Path: <comp856zx@kpn.nishi.osaka.jp>
Received: from arenal.surnet.es ([194.224.103.2])
by relay22.mx.aol.com (8.8.8/8.8.5/AOL-4.0.0)
with SMTP id XAA20174;
 Wed, 19 Aug 1998 23:00:01 -0400 (EDT)
From: comp856zx@kpn.nishi.osaka.jp
Received: from arenal.surnet.es by arenal.surnet.es via SMTP (950911.SGI.8.6.12.PATCH825/960614.SGI)
id EAA02373; Thu, 20 Aug 1998 04:52:30 +0200
Date: Wed, 19 Aug 98 21:00:28 EST
To: member@success1a12.com
Subject: Cable TV Converters / Descramblers
Message-ID: <199807061134484>

NO2.:

Return-Path: <comp933zx@kpn.nishi.osaka.jp>
Received: from pc2.mic.dtu.dk (pc2.mic.dtu.dk [130.225.75.32])
    by relay28.mx.aol.com (8.8.8/8.8.5/AOL-4.0.0)
    with SMTP id VAA11218;
    Wed, 19 Aug 1998 21:56:03 -0400 (EDT)
From: comp933zx@kpn.nishi.osaka.jp
Received: from pc2.mic.dtu.dk by pc2.mic.dtu.dk (IBM OS/2 SENDMAIL VERSION 2.02/2.12um) id DGP001.25; Thu, 20 Aug 1998 03:56:03 +0200
Date: Wed, 19 Aug 98 21:33:56 EST
To: member@comp121ac1.net
Subject: Cable TV Converters / Descramblers
Message-ID: <3783478438234878>

他にも複数のメールアドレス(@kpn.nishi.osaka.jp) できています。


多くの方がご迷惑しているようなので、これらのスパムメールへの対策をアドバイス
してください。







まゆみ さんからのコメント
( Thursday, August 20, 1998 21:46:30 )

私のとこも同じような状況です。
メールサーバーは、EIMS 2.2b4を使っています。

あるドメインをInterNICから取得し、データベースやネームサーバーに反映された直後から
毎日100通前後のわけのわからないメールが配信されてきました。
EIMSの設定直後は、登録していないアカウントでもドメインが私のものの場合は
受け付ける設定にしていたため、メールを開いては削除の繰り返しでした。

私がそのドメインを取得する前までは、当然ながら架空のドメインであったことでしょう。
その架空ドメインで、どこの誰かが、どこかの誰かへせっせとメール送信しているようなのです。

今は登録されたアカウント以外のメールは受け付けないようにしていますが、
メールサーバーへのアクセスはずっと続いています。
Receive failed from xxx.xxx.xxx.xxxのエラーログが今も毎日増え続けています。
困ったものですね。

笹田 さんからのコメント
( Friday, August 21, 1998 00:22:26 )

まゆみさんとこも迷惑をこうむっているのですね。

毎日100通前後ということですが、私のところは、一気に1000以上いって
しまいます。独自ドメインで専用線接続し約3年たちますが、このような
ことは初めてです。7:30ぐらいからエラーログがでなくなっているのですが、
IP制限をはずすと、また、バウンスがやってくるのではないかなと思って
います。

何か根本的な対策をしないと。AOLはSPAMMERにねらわれやすいということ
ですが、どうもAOLだけの問題ではないように思います。現在は片っ端から
インターネット上のスパム対策HPを閲覧しています。







→  GET THAT SPAMMER!

田中求之 さんからのコメント
( Friday, August 21, 1998 14:05:34 )

メールアドレスを悪用されてしまった場合には、サーバー側で根本的な対策は
難しいですねぇ。

まゆみ さんからのコメント
( Friday, August 21, 1998 14:38:40 )

>メールアドレスを悪用されてしまった場合には、サーバー側で根本的な対策は
>難しいですねぇ。

そうですよね。対策の方法なんてないですよね。
せっかく取得したドメインなのに、なんか貧乏クジを引いちゃったって感じ。
別のドメインを取り直そうかな。(う〜、またお金がかかる)

たまちゃん さんからのコメント
( Friday, August 21, 1998 16:05:26 )

>>そうですよね。対策の方法なんてないですよね。

SIMSを使うというのはどうですか?IPをspoofingされると手はないですが。


→  Anti-Spam

まゆみ さんからのコメント
( Friday, August 21, 1998 17:17:51 )

たったいま、SIMSをダウンロードしましたが………。
むずかしそうなソフトですね。
SIMSをダブルクリックしても、ブラウザか何かで設定するようなメッセージが出てくるし。
EIMSはマニュアルを読まなくてもある程度設定できたけど、SIMSはとっつきにくそう。

現在のメールサーバーは、EIMS2.2b4で、マルチドメインを5個運用しています。
1台のMacに5個のIPアドレスを割り当てて、それぞれのドメインに別々のIPアドレスを割り当ててます。
(せんだって、たまちゃんさんより複数IPアドレスをご教授頂きありがとうございます。)

SIMSのReadMeに、EIMSからコンバートできるようなことが書いてありましたが、
すんなりと移行できるものなのでしょうか。

(EIMS以外使ったことないから、SIMSがすごくむずかしく感じてしまう。起動の仕方すらわからない……。)

たまちゃん さんからのコメント
( Friday, August 21, 1998 17:43:05 )

MailShare LoaderとAIMS->SIMS Converterを併用してアカウントの移行が
出来たような気がします。すみません。記憶がおぼろです。

SIMSの設定をする場合は、必ずCommunigateがいります。とにかく取っつき
にくいソフトです。SIMSのSPAM対策の要(の1つ)はSMTPモジュールを使
用するクライアントのIPアドレスをきちんと叙述することです。

→  MailShare Loader

たまちゃん さんからのコメント
( Friday, August 21, 1998 21:09:44 )

気になったので、EIMS→SIMSのアカウント移行について試しました。以前に
やったのは、AIMS or EIMS 1.Xだったのですが、今回はEIMS 2.Xでやってみ
ました。

EIMSのAdminでユーザーのExportを行います。するとテキストファイルが出
来上がりますが、このファイルを SIMS Loader.Read Me に書いてある書式に
したがって変更します。例えば、abcdefさんのパスワードがabcedでAPOP認
証を行うといった場合は

UserName  Password  APOPrequired
abcdef  abcde  true
123  456  false

のようになります。これをテキストファイルのままでセーブして、そのファイ
ルをSIMS Loaderの上にDrag & Dropしてやります。するとシステムの中の
SIMSフォルダのAccountsの中に上記のアカウントが出来ています。
CommuniGateで見てやると、きちんと(APOP認証の要・不要を含めて)移
行出来ていました(パスワードは、SIMSとMacOSの両方がチェックされてい
ました)。

いい加減なことを書いて申し訳ありませんでした。

前薗 健一@i2 さんからのコメント
( Saturday, August 22, 1998 02:00:43 )

aol がらみということでコメントします。

i2 でも、2ヶ月程前に同様の SPAM がありました。
Server は down してしまいました。
私は Server 管理者ではないので詳細はわかりませんが...

Server 管理者が trace を行い、発信元をつきとめたところ、日本のまあ有名な
ISP でした。その ISP 管理者に「これこれこういう訳だけど、こんなことを続ける
ようなら、出るところにでるよ」という警告をしたところ、ぱったりと止みました。

同じ ISP 業者が続けているようでしたら大問題ですね。

笹田 さんからのコメント
( Saturday, August 22, 1998 15:30:00 )

私どものドメインを利用したスパムですが、どうも止まったようです。

田中先生がおっしゃるように根本的な解決にはなっていませんが。

特に、アメリカからのremove依頼のメールが多く、複数の発信元と連絡を
取り合ったり、それぞれへの対応に結構時間がさかれました。

AOLって、会員数が多いので狙われやすいようです。AOLからのスパムメール
はtosspam@aol.comへヘッダ情報をつけて送れば対応してもらえるようです。

何かの記事で読みましたが、DMなどのスパムメールに記しているunsubscribe
postは危険なものもあるらしいです。unsubscribeをpostすると、逆に利用
されたり、いたずらされたりするものもあるということです。スパムに
掲載されているremove用のアドレスはいい加減なものが多いらしいです。

今回のスパムメールとは関係ないかもしれませんが、今週のはじめに、USから
コンドーさんのDMが来て、そこにremove用のアドレスplsrmv@hotmail.comが
あったのでpostしました。(今まではDMがきても、そんなことしたことない
んですが)

これを返したことで、弊社のアドレスの存在を確認されて、利用された
のではないのかなと思っています。

皆さんも気を付けてください。





たまちゃん さんからのコメント
( Sunday, August 30, 1998 19:56:01 )

Date:  08/21 14:05 に、田中さんが

|メールアドレスを悪用されてしまった場合には、サーバー側で根本的な対策は
|難しいですねぇ。

Date:  08/21 16:05 に、たまちゃんが

|SIMSを使うというのはどうですか?

と書きましたが、素っ頓狂な答をしてしまったようです。私の頭にはメールの
リレー(自分のサーバーを踏み台にしたもの)の排除だけがあったので、上の
ような答をしてしまいました。

また、IPによるメールのリレーの制限は、SIMSでは出来ると思っていました
が、EIMSでも2.1以上で出来たのでした(2.2から出来るとばかり思っていま
した)。

以上、深くお詫びいたします。

お詫びだけでは何ですので。。EIMSの2.2からはSPAM対策用にフィルターが
ついています。MAPSを使ったRBLフィルターですが、RBL exclusionsという
ファイルにチェックをされたくないIPアドレスを記述出来るようになってい
て、例えば自分がメールを送る際などの(DNS lookupによる)パフォーマン
スの低下を防ぐことが出来ます。