このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

不正使用について救世主求む!

発言者:絹
( Date Wednesday, December 13, 2000 11:33:30 )


迷える子ひつじをお助け下さい。
話しが長くなるのですいません。
当方、G3/233にASIP6.31、QuickDNS Pro Server2.1J、OS9.04を使用し
OCN接続をしています。11月末ごろOCN側より(SPAMの疑い有り)の連絡が入り、
泥沼状態です。
当方専任の管理者はいません。OCNからの連絡に対して「SPAMって何?」の状態でした。
こちらの管理体制はこれでお分かり頂けたと思います。
それなのになぜサーバーを運営しているの?との疑問にお答えします。
仕事の都合上データのやり取りやWEB、メールの使用を迫られ、外部レンタルも考えましたが、知人に詳しい人が居て、御任せ状態でした。運営が始まってからトラブルが続き、知人とは今コンタクトがありません。今撤退する訳にもいかず、ここ1週間独学で戦って居ます。

英語は分かりませんが、USのサイトからASIPのSPAM対策設定を知り、
設定を行いパスワードも変えました。唯一の参考書であるSOFTBANKのガイドも
(抜粋しながら)読み、ネットを走り回っている間にここにたどり着きました。
運営方針に従い、過去ログや資料室もあさりました。(たまちゃん)さんのサイトや
テストサイトも知り、テスト結果は真っ黒でした。すでにORBSにも登録されています。
12月の頭までは1日に3000通を超えるメールを発信していたようです。
現在は仕込まれた不可視ファイルを見つけ消去し、それは無くなりましたが、テストでは
黒です。
メールサーバーの記録を見続けていると気になる所があります。(見方を熟知している訳ではありません)社内でだれも使用していないのに、QuickDNS Pro Serveのパケット数は
増えて行きます。

何をここに書き込めば助言が頂けるのでしょうか。お教え下さい。



石津@RJC さんからのコメント
( Wednesday, December 13, 2000 12:31:36 )

QuickDNSのパケットが増えるのは、外部から参照されているためですから
特に問題はありませんよ。貴社のWebサイトにアクセスしたりメールを送る
時には外部から参照されますので、特別おかしいことではありません。
安心していいことです。

QuickDNSについては最低でも2.2.1にアップデートした方がいいですね。
サーバソフトを入れ替えるだけで済むはずなので、これは早めに対応した
方がいいと思います。Ver.3は出たばかりですが、これにアップデートする
理由はあんまりなさそう...。

ASIPのSPAMメール対策は運用している方におまかせ。(^^;)

今井真人 さんからのコメント
( Wednesday, December 13, 2000 12:59:00 )

 おおまかな住所を書いてもらえれば、ご近所の親切な方が現れるかもよ?

田中求之 さんからのコメント
( Wednesday, December 13, 2000 13:01:07 )

石津さんのコメントにあるように、QuickDNS のパケット数が増えていくのは、
SPAM とは関係ありませんので、安心してください。

SPAM 対策は、ASIP のメールサーバでの設定がすべてです。アップルのサイト
などで公開されている SPAM 対策は施したんですよね? ちゃんと設定して
あれば、基本的には大丈夫なはずですが。

念のため、日本のアップルのサイトにある情報です↓

→  AppleShare IP 6.1 メールサーバの不正アクセス対策について(その2)

さんからのコメント
( Wednesday, December 13, 2000 14:02:08 )

みなさんコメントありがとうございます。
やっと救いの手を差し伸べて頂けた事に感謝します。
こちらは名古屋です。
QuickDNSはさっそくアップします。
田中さんのおっしゃっている設定の解釈は、(受信するのに登録名が無い物は跳ねる)
で良いですか?
以下気になる記録を移します。問題なのかどうか分かりませんので、プライバシーに関するところは隠します。

2000年 12月 11日 (月) 9:34:21 PM - SMTP 受信の接続 [A] は、Real-time Blackhole リスト <rbl.maps.vix.com.> の検証行程にあります。
2000年 12月 11日 (月) 9:34:21 PM - 
2000年 12月 11日 (月) 9:34:23 PM - SMTP 受信の接続 [A] の接続が許可されました。既知のジャンクメールソースではありません。
2000年 12月 11日 (月) 9:34:27 PM - TCP/IP 経由の SMTP 受信の接続を確立しました_
2000年 12月 11日 (月) 9:34:27 PM -   発信元の DNS 名: “****.com ([A] <****.popsite.net.>)”
2000年 12月 11日 (月) 9:34:27 PM -   実際の接続 IP アドレス:[A]
2000年 12月 11日 (月) 9:35:07 PM - SMTP サーバはメッセージ(ID=425)を“*****.ab.ca”からサイズ 1 (k)で発信しました。
2000年 12月 11日 (月) 9:35:08 PM - SMTP はホスト“****.net”に接続します。DNS キャッシュのエントリは期限切れです。新しい DNS キャッシュエントリを修正しています。
2000年 12月 11日 (月) 9:35:08 PM - SMTP はサーバ“****.net.:25”宛てのメッセージを送信するために TCP/IP を使用して接続しました。
2000年 12月 11日 (月) 9:35:11 PM - SMTP はメッセージを送信しました。ID:425、容量(k):1、受取人数:0、メッセージ転送時間:00:01、総配送時間:00:07
2000年 12月 11日 (月) 9:35:12 PM - SMTP は 1 メッセージの SMTP ホスト“****.net.”へのメッセージ転送中にエラーが起きました。詳しくはエラー記録をご覧ください。メッセージが期限切れになるまで再送信されます。
2000年 12月 11日 (月) 9:35:12 PM - SMTP は TCP/IP サーバ“****.net.”との接続を閉じました。
2000年 12月 12日 (火) 1:45:15 AM - 利用者“メール管理人”(“Postmaster”)のメールアカウントを作成しました。

以上です。こちらではこの間、送受信も設定変更も行っていません。

今泉克美 さんからのコメント
( Wednesday, December 13, 2000 14:04:14 )

絹さま。

ASIP6.3以上ですよね?
http://til.info.apple.com/techinfo.nsf/artnum/n31108
も参考にしてくださいませ。
上記のページは英語ですし
6.2の説明ですので
6.3の画面と多少ことなるのですが
なんとか追っていただければと思います。

田中求之先生の御紹介の設定だけでは
ちょっと甘いみたいなんです。

そのわけは
外部から、自社のユーザアカウントを使われて
メールの
fromほにゃららTOほげらの
fromを自社の利用者名で詐称されると
平気で不正中継してしまうからです。
posmaster@
みたいなアカウント使われるとどうしようもない。
これは私自身は外部からやってみました。
成功しちまったです。

ORBSのTESTではともすると
postmasterを詐称してきますので
残念ながら
TESTに通らないことでしょう。
このTESTには是非合格して
ORBSのリストから取り除かれるように
願っております。
なにせリストに載っていると
こちらからのメールを受け取ってくれない
サーバが近年増えてますので。



今井真人 さんからのコメント
( Wednesday, December 13, 2000 14:11:47 )

>posmaster@
>みたいなアカウント使われるとどうしようもない。

EIMSだとpostmasterとして発信できないようにしつつ、postmasterに
届いたメールは、別なアカウントに転送する様な設定にできます。

ASIPだとできないのかな?

石津@RJC さんからのコメント
( Wednesday, December 13, 2000 14:21:25 )

> 2000年 12月 12日 (火) 1:45:15 AM - 利用者“メール管理人”(“Postmaster”)のメールアカウントを作成しました。

この1行は一体??気になるlogですね。
ASIPってアカウント作成以外でこんなlogを記録することがあるのでしょうか?
ひょっとしてリモートコントロールのURLがどこからでも接続できるようになっ
ていたりして??

今泉克美 さんからのコメント
( Wednesday, December 13, 2000 14:48:17 )

>絹様
過去ログの
http://mtlab.ecn.fpu.ac.jp/webcon.mtxt$000320000007.html
を参考にすると先ほどの英文の邦訳が載っています。

>石津様
2000年 12月 12日 (火) 1:45:15 AM - 利用者“メール管理人”(“Postmaster”)のメールアカウントを作成しました。
これは私どもでもしばしば出ています。
大概は、メールサーバを電源断などで正規に終了しなかった
後に出ます。どうもメールDB?の自動修復のあとに出るみたいですね。
不思議な現象です。実際にはすでに存在しているのに
「作成します」と出るのです。

>今井様
おっしゃられる設定が出来ます。
Postmaster
へのメールを他のアカウントに転送する設定ができます。
この場合、ログオンが禁止されちまいますので
実質的に送信ができません。他のアカウントに
受信メールが転送されるだけになります。(ASIP6.2で確認)

しかしこれをすると弊害があるかもしれません。
考えられることのうちひとつは
ORBS、ないし、VIXなどの
「不正中継はもうしてません、データベースから削除してねお願い」TEST
に合格しない恐れが高いからです。
これは
長崎ネットさんのHPを見ていてそのように思っただけですので
確証がありません。
http://www.nanet.co.jp/rlytest/index.html
このHPで簡易版のTESTを受けられるのですが
その結果表示あるいは解説を見ていてそのように
判断しました。

不正中継を禁止できているのと
TESTに合格するのとでは
微妙に違うのですね。
まずはTESTに合格しておいて
それから実質禁止の策に出るのが
いいかもしれません。
何度か定期的にその後も
検査に来るようですので
要注意なのですが。

もうひとつ考えられるのが
POSTMASTER
が実際にSPAMを受信してしまうことなんです。
一日に数十通きてしまいますね、ひどいときには。
不正中継を許さない設定にしていても
SPAM屋さんはそれに気がつかずに
どんどん送ってきます。
だからです。
一度でもORBSに載ると
いろいろな不正者がそれを利用するので
流行するみたいでして。


今泉克美 さんからのコメント
( Wednesday, December 13, 2000 14:58:44 )

ログをみました。
うーん、、追加です。

<rbl.maps.vix.com.> 
常時接続として登録してあるIPアドレスをお持ちのところが
ジャンクメールを出しに来ている恐れがあるかもという
調べ方です。

でも不正中継をしてくれる人は
常時接続していません。なぜなら
IPアドレスから
発信元がばれれば制裁を受けるからです。

ですので
不正中継をもくろむ人は
ほぼ間違いなく
ダイアルアップユーザでしょう。
接続する都度、IPアドレスが割り当てられるので
アドレスからは、発信元がバレにくいからですね。
ローミングを使って来たりしますので
事実上追跡不可能です。
聞いた話ではホテルにとまって
客室から発信するのだそうで。。。

<dul.maps.vix.com.>ではなく
を使ってみましょう。
これはダイアルアップユーザ対象の
リアルタイムブラックホールリストです。
非常時には多少楽になるかもしれません。

なお
不正中継を禁止することができた暁には
できれば
リアルタイムブラックボックスリストは
使わないほうが良いと思います。
無実の人からのメールも受け取れなく
なるからです。


さんからのコメント
( Wednesday, December 13, 2000 15:04:50 )

今泉克美 さんの
(一度でもORBSに載るといろいろな不正者が
それを利用するので流行するみたいでして。)
にハマってしまったようです。
現在は恐くて、 POSTMASTERにも一切の利用設定をしていません。
11日にはPM9.35から多数のSPAMを発信していましたので、
12日の夜はメールをダウンさせました。
今気が付いた事があります。ルータに侵入出来ません。(パスが違う)と言っています。
ルータの設定を変更する事で外部侵入出来る事があるのでしょうか。

田中求之 さんからのコメント
( Wednesday, December 13, 2000 15:33:57 )

>ルータに侵入出来ません。(パスが違う)と言っています。

具体的にはどういうことでしょうか? 何が侵入できないのでしょうか?


>ルータの設定を変更する事で外部侵入出来る事があるのでしょうか。

外部からルータの設定を変更されてしまう、ということですか?

今泉克美 さんからのコメント
( Wednesday, December 13, 2000 15:36:44 )

ルータの設定?ですかぁ?
ルータの設定を変更なさったとは
絹様の文脈を見ると考えられませんねぇ。
どうなのでしょう?

うーむ。
詳しい状況が見えませんので
何も言えません。

さてASIP6.3ですが
セットアップ直後の既定値では
不正中継を許してしまいます。
http://mtlab.ecn.fpu.ac.jp/webcon.mtxt$000320000007.html
を参考にして設定を変更してください。
これで十分なはずです。

心理的に忘れやすいのが
まずは、ホスト一覧で
ローカルホスト以外のホストを
全部抹消することです。
それからASIPの設定変更をします。
終わったら
もういちど念のため
ローカルホスト以外のホストの
抹消をしてください。
設定変更以前にホスト一覧にのっていた
ホストに関しては
以前の無防備状態が続いているからです。

−−−−−−−−−−−−−−
これが終わったら自前でTESTです。
http://www.abuse.net/relay.html
で
「Address to test:
(as host name or dotted quad)」
に自社ドメイン名前をいれて
「TEST FOR RELAY」
のボタンをおします。
サーバの
ログを見ながら何が起こっているか把握すると
よろしいかと思います。

[メールサーバの詳細設定」で
ログの記録のオプションを設定できます。
「プロトコル証明」の
「SMTP受信接続」と
「SMTP送信接続」とを
ONにしておくと
TESTでなにが起こったか
わかりやすいはずです。

このTESTに合格するようでしたら
ORBSのTESTにも合格するでしょう。
気をおとさずにがんばってください。

私もメールサーバに関してどしろうとでしたが
なんとかなりましたよ。


さんからのコメント
( Wednesday, December 13, 2000 15:37:25 )

今泉克美 さん
((<dul.maps.vix.com.>ではなく**を使ってみましょう。))
の**の部分が読めません。再度御指導下さい。

さんからのコメント
( Wednesday, December 13, 2000 16:03:52 )

今泉克美 さんの
>>もういちど念のためローカルホスト以外のホストの
抹消をしてください。<<
ローカルホスト以外を抹消しましたが、送信待ちでこちらのアドレス番号があります。ローカルの扱いでは無いのですが、これも抹消するのでしょうか?

それと 田中求之 さんの
>>外部からルータの設定を変更されてしまう、ということですか?<<
こちらのパスワードで侵入出来ないと言う事は、だれかが外部からパスを変更しなければならない事が起きている?...
被害妄想でしょうか。

石津@RJC さんからのコメント
( Wednesday, December 13, 2000 16:09:16 )

>今気が付いた事があります。ルータに侵入出来ません。(パスが違う)と言っています。
>ルータの設定を変更する事で外部侵入出来る事があるのでしょうか。

これは自社管理のルータのことなんですよね?
自社管理のルータに「侵入」するというのはどういう意味なのか....
管理目的にルータに接続するなら紛らわしい表現は止めた方がいいです。
これまでの内容が内容だけに余計な詮索をしなくてはいけなくなります。

それなりのクラッカーは通常サーバそのものよりも、まず先にrouterやHUBを狙う
という話が以前zdnetで紹介されていました。
routerやHUBを乗っ取ればいろいろやり放題になるからです。
下手をするとサーバ1台乗っ取られるよりも被害が大きくなることも想像できます。

もしrouterがリモートでアクセスできない状況ならば、すぐにシリアル接続を
してrouterの管理パスワードを変更する手続き(初期化からやらないといけな
いパターンが多いですが...)をして、再度必要な設定を行いましょう。
利用開始の際にバックアップした設定ファイルがあれば、それをロードすると
いう方法もあります。
パスワードはできるだけ推測しにくい文字列を設定するのはもちろんですが、
リモートでアクセスできるIPアドレスの範囲などを限定する設定も忘れては
いけません。

マニュアルを見て必要な対応を検討しましょう。
メーカーによってはオンラインで必要な情報を相談できることもありますので
問い合わせをしてみてはいかがでしょうか?

さんからのコメント
( Wednesday, December 13, 2000 16:42:28 )

石津@RJC さん
>これは自社管理のルータのことなんですよね?
自社管理のルータに「侵入」するというのはどういう意味なのか....
管理目的にルータに接続するなら紛らわしい表現は止めた方がいいです。
これまでの内容が内容だけに余計な詮索をしなくてはいけなくなります。<

不適切な表現をしてしまい申し訳有りません。
仰る通り 管理目的にルータに接続する事です。
最初に書かせて頂いた通り、ルータを含め理解出来ている状況にありません。
ASIP内での設定でリモートアクセスは一切許可していませんが、
ルータの設定し直しに着手します。

石津@RJC さんからのコメント
( Wednesday, December 13, 2000 17:29:54 )

>ASIP内での設定でリモートアクセスは一切許可していませんが、
>ルータの設定し直しに着手します。

もう設定しなおしに入られてしまたかもしれませんが...

ルータのパスワードが「何者かに変更されてアクセスできない」状況であれば
設定し直しは急務ですし、必須だと思います。
単純なパスワードミスとかじゃないですよね??(念のため)

ルータの管理権限を奪われることはASIPの設定以前の問題ですので、対応は
急いだ方がいいと思います。

で、ASIPの方ですが、気になると言ったlogについては、今泉克美さんの情報
ではメールアカウントDBのチェックなどが行われたような際に出るとのこと
でしたので、提示していただいたlogの前に再起動なりの動作があったかどう
か確認できれば、logの件については一安心でいいと思われます。

あとはASIPのメールを 今泉克美さんの紹介されたURLを参照して設定確認を
行ってみて、不正中継が行われないことを確認して一安心にしたいところで
すね。

大変だと思いますが、がんばってください。

さんからのコメント
( Wednesday, December 13, 2000 17:37:44 )

長崎ネットさんのテストにパスしました!
みなさんの御指導に従い、色々やってみた結果です。
ただしルータはまだなので努力します。
状況は追って書きますが、色々分からない事が多いので
御質問は続けさせて下さい。

今泉克美 さんからのコメント
( Wednesday, December 13, 2000 20:16:21 )

すみませんでした。
電話がかかってきたタイミングで
ペーストしたので
誤まった記入をしたようです。

>絹様
私の記事で

誤まり
<dul.maps.vix.com.>ではなく
を使ってみましょう

正しくは

既定値の
<rbl.maps.vix.com.>
ではなく
手入力で設定の
<dul.maps.vix.com.>
を使ってみましょう。

でした。
ただでさえおいそがしいのに
(かつての自分を見るようです)
混乱させてしまって
すみませんです。

−−−−−−−−−−−−−−−
長崎ネットさんのTESTにパスされたのこと
おめでとうございます。

しかし、すでにおわかりのとおり
それだけでは
ORBSの悪者リストから抹消していただくための
TESTには合格するかどうかの保障はありません。
絶対に、すでに掲示されている(ORBS以外も含めて)
悪者リストからは全部離脱しておいてくださいませ。

さもないと素人SPAMmerからの
アタックがずっと続きますし
(玄人スパマーは裏世界のリストを見るか、自前で
作成したリストを使うそうです)

ひょっとしたら
VIXのリアルタイムブラックホールリストに
搭載されてしまうかもしれません。
この場合にはVIXから英語で警告と、抜け出し方と
TESTの仕方が書いてあるメールがきます。

つまり、ORBSレベルを、ほうっておいて
それとは別団体のVIXの
<rbl.maps.vix.com.>
にのっかったら
絹様のシステムが、他のメールシステムから
ジャケンにされてしまうわけです。

まぁ、でももう少しかもしれませんね。

フレー、フレー。

−−−−−−−−−−−−−−−−−−

それはそうと、ルータについての
絹様の記述はよくわかりません。
【ルータに侵入】する必要が
どこにあったのでしょう?

ちなみに私どもの
場合、
外から内側に順番に

プロバイダとのあいだの回線
ルータ機器
ファイアウォール機器(WatchGuardという商品名)
Mac(G3)
の順番につながってまして
この
ファイアウォールの設定パスワードが
知らないうちにわけのわからないものに
なってしまった事件がありました。
侵入者がいたのかどうか
わかりませんでしたが(恐ろしいですね)
全部はじめから設定しなおしましたです。

カミナリのときになったのかもしれません。

では、御健闘をお祈りいたします。

今泉克美 さんからのコメント
( Wednesday, December 13, 2000 20:40:20 )

>今泉克美 さんの
   >>>もういちど念のためローカルホスト以外のホストの
   抹消をしてください。<<<

ローカルホスト以外を抹消しましたが、送信待ちでこちらのアドレス番号があります。ローカルの扱いでは無いのですが、これも抹消するのでしょうか?

えっとですね
サーバの機械をつかって、
直接メールクライアントを利用して
どこかへメール送信なさいましたか?
そのせいであると思います。

自社のIPアドレスの
名前がホスト名になっているはずです。

このへんの理屈が不明なのですが
素人考えでは
どうもDNSを見にいってくれてないみたいです。
もっとも、私どもの環境では
MacDNSを使っていません。
そのせいかもしれません。

実はDNSはプロバイダのものを
直接見にいっています。

だって、MacDNSたてると
遅いんだもの。G3では。

結論・自社のIPアドレスのホスト名前の非ローカルホストは
削除してよろしいかと思います。

私どもではサーバで
メールクライアントソフトは動かしません。
わけわからないからです(泣)
めんどうかもしれませんが
クライアントPCからメールの送受信を
なさってTESTしたほうが
いいみたいですよ。


さんからのコメント
( Thursday, December 14, 2000 09:55:53 )

昨夜は知恵熱を出してしまい、ダウンしていました。
トライが遅れてしまい、すいません。
私の頭の性能では、今回のトラブルはオーバーヒート
のようです。

今泉克美 さんのアドバイスや過去の発言を参考に、
ORBSのテストにトライしてみました。
All tests performed, no relays accepted.
と出たと言う事はテストにパスしたのでしょうか?
英語も得意ではありませんし、初めての経験なので
良く分かりません。
これでOKだとするとリストからは自動的に
削除されるのでしょうか?


たまちゃん さんからのコメント
( Thursday, December 14, 2000 12:04:00 )

>これでOKだとするとリストからは自動的に
>削除されるのでしょうか?

のはずです。しばらく時間をおいてから

http://www.orbs.org/verify_1.html

でホストの IP アドレスを入れて

***.***.***.**** is not in the main automated open relay database 

とでれば大丈夫です。

さんからのコメント
( Thursday, December 14, 2000 13:49:22 )

たまちゃんさんの言う通りの結果が出ました。
ありがとうございます。
申し訳ないのですが、もう一つ教えてください。
RSSのリストにはまだ乗っているようなのですが、
やはり管理者宛に、お願い外して下さいメールを
出すのでしょうか?

さんからのコメント
( Thursday, December 14, 2000 14:01:28 )

ASIPのメールホストがどんどん増えて行きます。
みなさんに教えて頂いた設定と復旧で、快適に
動いています。リレーと思われるメールを
ことごとく拒否していますが、ホストの数は
増えています。ホストを増やさない方法は
あるのでしょうか。又このまま放置しても
問題は無いのでしょうか?

しあわせのツボ さんからのコメント
( Thursday, December 14, 2000 14:15:02 )

メモリやディスクが逼迫しているのでない限り、
ホストが増えるのは問題ないと思います。
気になるようでしたら、詳細設定の「その他」に
「1日以上変更されていないメールホストを削除する」
という項目がありますのでチェックしておけばいいでしょう。

たまちゃん さんからのコメント
( Thursday, December 14, 2000 15:01:46 )

RSS については以下の URL に行って,同様の処置をとります。

→  MAPS RSS Remove Request

さんからのコメント
( Thursday, December 14, 2000 17:25:37 )

たまちゃんさんのおっしゃっているアドレスへは
アクセスをし、アドレスを打ち込んでみましたが、
次ぎの指示が、
(このアドレスはリストにありますよ。
取り除いてほしければ、下のフォームを
使いなさい。)
のような意味?((すいません英語良く分からないので..))
のページになります。
大きなメッセージボードがあるので、英語でお願いします。と
書かなければいけないのでしょうか。
前回の質問が説明不足だったようですいません。