このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

ASIPのメールサーバの状況に残るメッセージを読みたい

発言者:しみず
( Date Monday, December 11, 2000 22:20:22 )


OS8.6+Quick DNS Pro2.2.1+ASIP6.2でサイト運営中です。

メールサーバの状況の画面で、受信したメールはすべて読んでいるはず
なのにメッセージが何個か残ってくることがありますよね?このメール
を開けるのはどうしたらよいのでしょうか?

とくにSPAMに襲撃された後に多いのです(--#。
よろしくお願いします。

今井真人 さんからのコメント
( Tuesday, December 12, 2000 07:15:45 )

 SPAMと来れば、質問したくなります。

 どのような襲撃がありましたか?

しみず さんからのコメント
( Tuesday, December 12, 2000 13:54:17 )

今井さん、こんにちは

>>
どのような襲撃がありましたか?

<<
いやー、love love襲撃ですよ。
下の写真はホスト一覧です。
<img src="http://www.shimizu-med.or.jp/documentation/neko2/love.jpg">

しみず さんからのコメント
( Tuesday, December 12, 2000 13:57:11 )

失礼しました。もう一度やりなおし。
相手のドメインにはほとんどloveが含まれています


→  love love襲撃

今井真人 さんからのコメント
( Wednesday, December 13, 2000 07:38:35 )

 loveを含むドメイン名を持つメールアドレスへASIPに不正中継を
させようという訳ですね。IPアドレスがある程度、固定できるなら
フィルタできませんか?

今泉克美 さんからのコメント
( Wednesday, December 13, 2000 09:32:10 )

当方
ASIP6.2を使ってます。

loveLOVE攻撃ですか、、
うちはこないだ
ChinaChina攻撃をうけました。

ちなみに、

>loveを含むドメイン名を持つメールアドレスへASIPに不正中継を
させようという訳ですね。

ではなくて
fromの方が、chinaシリーズでした。
送り先は、色々でしたよ。AOL.COMとかMSNとかへの
個人向けのようでした。
LoveLove事件も同じだと思います。
送りもと、FROMのIPアドレスが一定なのに
送り元サーバ名称だけが、色々なんですね。
私どもでは、さいわい、
不正中継をせずにすみまして、
エラーログやらサーバログやらで
細かい表示をしていましたので
以上のようなことがわかりました。

ASIP6.2では、この種の送り元サーバ名称が
chinaChinaであると
「ホスト一覧」というところに表示されます。
一夜にして、がっさり一挙にCHINAシリーズが
たまったので最初はビックリしました。

さて
<img src="http://www.shimizu-med.or.jp/documentation/neko2/love.jpg">
で、未送信メールが1件「LOVEほにゃらら」ホストに
ありますが
この内容はどうやら見ることができないようです。
画像の上のほうにあるボタンを使うと
ある程度、そのメールの性質がわかりますので
やってみるといいですが
メール本文は見えません。
ただし、ことが起こる前に、BCC転送をたとえば
あるメール管理者のアカウントに転送するように
しておけば話は別らしいのですが
これはちょっと、善くないですね。
うちではしていません。

未送信メールをかかえているホストは
あっさりとホスト一覧から
一度消してしまうといいですね。
不正中継をゆるさない設定を
既定値のホスト定義にしておけば
消す作業だけで十分です。

ホスト一覧でがっさりふえたホストですが
一定期間未使用であるならば
ホスト一覧から抹消されるような設定が
できるはずです。
未送信メールをかかえているホストだけ
手動で消して、ほかは放っておくわけです。

不便だなーと思うのは
ホスト一覧だけでは送りもとの
IPがわからない、不明だというところでしょうか。
したがって
Lovelove攻撃を受けた後に
ASIPのみで
IPレベルでフィルタをかけるのは非常に
難しいのです。
また、ASIP6.2では
フィルタはホスト名称で行うのが標準みたいでして、、。
IPでフィルタかけるやりかたはちょっと難しいです。

代案ですが
私どもでは
ファイアウォールで
FILTERしてますです。
ただし
ASIPの
SMTPのログを、細かいレベルまで
取るようにしておいて
不正中継してきたら
そのときにログからIPをひろいだします。
で、ファイアーウォールでガードかけています。

さて、実際に以上をやってみて
気がついたのですが
China攻撃をしてくるIPは
ダイアルアップなんですね。
IPが固定できないので
24ビットでマスクして
かなり多量のIPをフィルタリング
せざるを得ませんでした。
無実の罪の人からのも遮断してしまう。。。
だいたい
いたちごっこですしね。
企業として使っているので
不正中継をしないですんだというところに
満足して
安易なフィルタリングはしないほうが
いいかもしれません。

そうそう、追加情報。
不正中継を防止するための
リアルタイムブラックボックスの定義を
ASIPでできますが
既定値ではなくて
ダイアルアップのほうのDBを見にいくと
効果があるようです。

しみず さんからのコメント
( Wednesday, December 13, 2000 10:27:07 )

#今井真人 さん、今泉克美 さん
ご返事有り難うございます。

>>
ASIP6.2では、この種の送り元サーバ名称が
chinaChinaであると
「ホスト一覧」というところに表示されます。


<<
たまたまこの「ホスト一覧」にひっかかって身動き出来なくなってる
不正中継メールがありますよね。どのメールが中継されて、どのメール
が中継されないでひっかかるのか、法則がよくわかりません。

>>
未送信メールをかかえているホストは
あっさりとホスト一覧から
一度消してしまうといいですね。
不正中継をゆるさない設定を
既定値のホスト定義にしておけば
消す作業だけで十分です。

<<
やはり、この消す作業をこまめにしないといけないのでしょうかね!
もっといい方法はないでしょうか?net barrierみたいなソフトも試し
たりしましたが、不正中継は、IPをひろいだして、ファイアー
ウォールでガードすればええですか?
他に、ソフト的に不正中継を遮断するものがあれば教えてほしい
です。

わたしも、無実の罪の人からのも遮断してしまい、苦情が相次いだことも
あります。いたちごっこするしかないかなー

>>
ホスト一覧でがっさりふえたホストですが
一定期間未使用であるならば
ホスト一覧から抹消されるような設定が
できるはずです。


<<
これ、暫定的にしてみます。

>>
そうそう、追加情報。
不正中継を防止するための
リアルタイムブラックボックスの定義を
ASIPでできますが
既定値ではなくて
ダイアルアップのほうのDBを見にいくと
効果があるようです。


<<
ダイアルアップのほうのDBを見にいくと
いうのがあるのですか?一度、みてみます。

どうも、ありがとう。

今泉克美 さんからのコメント
( Wednesday, December 13, 2000 10:55:45 )

舌足らずですみませんでした。
ダイアルアップのSPAMmer対策ですが
(ダイアルアップのほうが多いにきまってますよね?)
ASIP6.2で
【メールサーバの詳細設定】にて
「SMTP受信接続を確認する」のチェックボックスをONにして
さらに
●SPAMの受信拒否にカスタムサーバを使う
を選択し
カスタムサーバの定義欄に入力するのは
dul.maps.vix.com
を半角小文字英字で打ちこんでやってください。

さて
デメリットとしては
メール時の反応が遅くなりますね、しっかり。

あと、申し上げますが
不正中継をしないですんでいるのならば
「SMTP受信接続を確認する」
は使わないほうが正道ということです。
SPAMは受けるが中継しないというのが
もっともモラルからみて正しいですし
罪なき人々からのメールを受信拒否しないで
すみます。
たまちゃん様もそのようにおっしゃっていたかと
思います。
SPAMの
状況をみて適宜使い分けしてください。
老婆心ながら。


今泉克美 さんからのコメント
( Wednesday, December 13, 2000 13:40:31 )

私んちではサーバに負荷をかけたくなかったので
ファイアーウォールマシンのほうで
フィルターしました。
LAN構成の都合もあって、こちらのほうが
使いやすかったです。

ASIPのTCPフィルター使っても
ソフト的なファイアーウォールが利用できます。
が、サーバにやらせるのはどうなんでしょう。
かまわないのかなー。