このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

不正にサーバーを使われました。2

発言者:鵜飼
( Date Friday, March 03, 2000 14:58:58 )


不正にサーバーを使われています。他の発言にあったようにEIMSのバージョンは1.3.1にしましたがどうすればスパムの踏み台を阻止できるのですか?
教えて下さい。なおどうしてこんなことが出来るのかの原理も教えていただければ幸いです。

田中求之 さんからのコメント
( Friday, March 03, 2000 15:11:26 )

EIMS 1.3.1 の Server メニューの Relay Restrictions を選んで、
Only relay if for local domains or the following domains を
選択してください。

これで踏み台にされるのは止まると思います。

>なおどうしてこんなことが出来るのか

詳しいことを話すとインターネットのメールの歴史の話になりますが、
簡単に言うと、インターネットのメールは、互いのサーバがメールを
リレーしていくことで相手まで届けようという仕組みで動いています
(いました)。

で、spam はこの助け合いの仕組みを悪用するわけです。

そこで、最近では、自分のサイト宛/自分のサイトから発信のメールしか
受け取らない(つまり特別に許可を与えた場合を除いてはメールの中継は
行わない)ように設定することで、悪用を阻止する必要が出てきました。
EIMS 1.3.1 の Relay restrcitions は、その最低限の機能を備えている
わけです。

鵜飼 さんからのコメント
( Friday, March 03, 2000 15:16:42 )

ありがとうございます。
上記のようにしましたが、現在まだメールは送られ
続けております。どうしらたらいいんでしょうか?
そのうちとまるんでしょうか?

田中求之 さんからのコメント
( Friday, March 03, 2000 15:18:47 )

>現在まだメールは送られ
>続けております。

EIMS からメールが送信されているということですか?

おそらく設定前に中継の依頼を受けたメールの発送を行っているんだと
思いますが、処理を止めて削除できませんか?

鵜飼 さんからのコメント
( Friday, March 03, 2000 15:49:35 )

まだ止まりません。
サーバーを止めることは出来ます。しかし削除の仕方が
わかりません。
ログをみているとすべて知らない名前なのですが、ところどころに
1260032541-170486628@うちのサーバー名
からsuperuser@AllThePlanetというところにメールが発信された
ようになってます。関係ないでしょうか?

田中求之 さんからのコメント
( Friday, March 03, 2000 15:55:08 )

Outgoing Mail で、未送信のメールがどれだけあるか確認して下さい。

もしすべて spam なのであれば、システムフォルダーの中の mail folder
に保存されている SMTP Out going (だったと思う)というファイルを
削除すればよいはずです。ご自分で確認の上、バックアップを取ってお試し
ください。

また、mail log や Error log で、spammer が relay を続けていないか
どうかを確認して下さい。

鵜飼 さんからのコメント
( Friday, March 03, 2000 16:45:24 )

やっと止まりました。こういうのはやられてみて始めてセキュリティーの
重要性がわかるものですね。勉強を続けます。
本当に有り難うございました。

岡本(大熊猫) さんからのコメント
( Saturday, March 04, 2000 09:04:29 )

と、読んでいる矢先。うちにも同じ出所のspamMailにやられました。
現在、大量のpostmastarからのメールが到着しています。
メールサーバーはEIMS1.3.1です。

これはEIMS狙い撃ちなんでしょうか?
こういう狙い撃ちが出来るものですか?

これから削除作業です。
今後のためにも「Undeliverable Mail」の全文をここに載せた方がいいでしょ
うか?リクエストがあるならば載せます。

たまちゃん さんからのコメント
( Saturday, March 04, 2000 11:35:05 )

全文は結構です。(^_^;; 関連するメールの Mail Log と Error Log だけ
載せてください。

そして確認ですが,

1.リレーの制限はどう設定されていますか?
2.<any-name> アカウントは有効にしていますか,無効にしていますか?


先ほど,EIMS 1.3.1 で ORBS にテストしてもらいました(オランダからやって
きました)。リレーの制限をかけ,<any-name>アカウントを無効にしていると
今のところ,テストにはひっかからないようです。

fake4lemon さんからのコメント
( Saturday, March 04, 2000 16:00:54 )

毎月1回はEIMのSPAM対策の話題が出てきますね。
長崎ネットワークサービス
http://www.nanet.co.jp/rlytest/index.html
と「たまちゃん」さんのマニュアル
http://pf.econ.kobe-u.ac.jp/mac/spam/anti-spam.html
とここの過去の発言で一応対応できるみたいですね。

やっぱりMacでサーバー運営を行うための本や、Macのセキュリティーに
関してまとまった書籍が最近出版されていないからでしょうか?

おがさわら@東京工科大学 さんからのコメント
( Saturday, March 04, 2000 16:36:43 )

>やっぱりMacでサーバー運営を行うための本や、Macのセキュリティーに
>関してまとまった書籍が最近出版されていないからでしょうか?

前に田中さんなどが書かれた本がありましたけれども、最近はLinuxブー
ムということもあって、LinuxPPCでのサーバ構築ってのが多いですよね。

Mac OS Xがあと1年ですから、そちらをターゲットにした本が企画され
ているんじゃないですかねぇ。

Mac OS Xがでても、Mac OSでサーバをやる意義はきっとあるはずですよ
ね?(違う?)

岡本(大熊猫) さんからのコメント
( Saturday, March 04, 2000 16:55:01 )

リレーの制限はDon't relay if from the folowingdomainsです。

<any-name> アカウントは無効にしています。

田中求之 さんからのコメント
( Saturday, March 04, 2000 16:56:34 )

個人的には、MacOS X のリリースに合わせて発売されるような MacOS X
のサーバ構築&運用に関する本は信用できないと思っています。もちろん、
設定や立ち上げのマニュアル本としてはそれなりのものになっているん
でしょうが、サーバの「運用」に関しては、リリース前の OS でテストし、
アップルの文書を解説したようなものでは、あてにできないと思うんですよ。

やっぱ、実際にサーバ/サイトを運用した経験があって、はじめて問題点や
注意点が見えてくると思うのですよね。


>Mac OS Xがでても、Mac OSでサーバをやる意義はきっとあるはずですよ
>ね?(違う?)

あるでしょう。だって MacOS のマシンがあって、それでサーバやれる
んだもん。MacOS X になっても、LC475 は MacOS でサーバやるしか
ないんだもん(笑)

雑誌のネタになるとか、本が売れると行った次元とは別に、MacOS での
サーバ運用ってのは、今しばらくは、現実的なものであることには違い
ないと思います。

田中求之 さんからのコメント
( Saturday, March 04, 2000 17:00:06 )

>リレーの制限はDon't relay if from the folowingdomainsです。

この設定になっている場合には、Relay を禁止するドメインを設定しないと
フィルターとしては全く役に立たないのですが、Relay を禁止するドメインの
登録はちゃんと行っているでしょうか?

もし「原則として他のサイトからの Relay は禁止する」(自分のサイト宛
および自分のサイトから発信されたメールしか処理しない)という設定に
したいのであれば、Relay Restrictions は

Only relay if for local domains or the following domains

の方にしておかねばなりません。

岡本(大熊猫) さんからのコメント
( Saturday, March 04, 2000 17:07:49 )

Logは長いのでhtmlにしました。

http://www.jbsway.co.jp/spam/log/maillog.html
http://www.jbsway.co.jp/spam/log/errorlog.html

 現在は止まっています。

たまちゃん さんからのコメント
( Saturday, March 04, 2000 23:36:38 )

>毎月1回はEIMのSPAM対策の話題が出てきますね。
>長崎ネットワークサービス
>http://www.nanet.co.jp/rlytest/index.html
>と「たまちゃん」さんのマニュアル
>http://pf.econ.kobe-u.ac.jp/mac/spam/anti-spam.html
>とここの過去の発言で一応対応できるみたいですね。

忙しさにかまけてきちんと書いていませんでしたが,EIMS の SPAM 対策に
ついての部分を詳しく書き加えました。

#セキュリティ全般についてもドキュメントを書きたいのですが,時間が。。。

たまちゃん さんからのコメント
( Monday, April 24, 2000 16:56:23 )

>忙しさにかまけてきちんと書いていませんでしたが,EIMS の SPAM 対策に
>ついての部分を詳しく書き加えました。

今晩から明日の午前中まで学内が停電しますので,SPAM 対策のマニュアルを
iDisk に置きました。なお,こちらの方の更新はしばらくしません。緊急用で
す。また,SIMS や AutoShare の設定マニュアルも置いていません。

#WebSTAR の gif ファイルが何故か表示されない。


→  Anti-Spam for Macintosh(ミラーマン)