このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

ASIPメールサーバー記録の見方について

発言者:絹
( Date Friday, December 15, 2000 14:04:22 )


以下に記録の一部を書きます。
上は私本人が使用した記録ですが、下は全く知らない物です。
同じ記録形態なので、知らない人が使えている事になるのでしょうか。
どなたか教えて下さい。
プライバシーに関する所は隠してあります。
-------------------------------------
2000年 12月 14日 (木) 11:06:08 AM - SMTP 受信の接続 [111.111.111.111] は、Real-time Blackhole リスト <rbl.maps.vix.com.> の検証行程にあります。
2000年 12月 14日 (木) 11:06:08 AM - 
2000年 12月 14日 (木) 11:06:08 AM - SMTP 受信の接続 [111.111.111.111] の接続が許可されました。既知のジャンクメールソースではありません。
2000年 12月 14日 (木) 11:06:09 AM - TCP/IP 経由の SMTP 受信の接続を確立しました_
2000年 12月 14日 (木) 11:06:09 AM -      発信元の DNS 名: “[111.111.111.111]”
2000年 12月 14日 (木) 11:06:09 AM -     実際の接続 IP アドレス:[111.111.111.111]
2000年 12月 14日 (木) 11:06:09 AM - SMTP サーバはメッセージ(ID=414)を“1111111111.co.jp”からサイズ 1 (k)で発信しました。
-------------------------------------
2000年 12月 14日 (木) 11:16:29 PM - SMTP 受信の接続 [aaa.aaa.aaa.aaa] は、Real-time Blackhole リスト <rbl.maps.vix.com.> の検証行程にあります。
2000年 12月 14日 (木) 11:16:29 PM - 
2000年 12月 14日 (木) 11:16:30 PM - SMTP 受信の接続 [aaa.aaa.aaa.aaa] の接続が許可されました。既知のジャンクメールソースではありません。
2000年 12月 14日 (木) 11:16:31 PM - TCP/IP 経由の SMTP 受信の接続を確立しました_
2000年 12月 14日 (木) 11:16:31 PM -  発信元の DNS 名:“f1.******.ne.jp [aaa.aaa.aaa.aaa]”
2000年 12月 14日 (木) 11:16:31 PM -    実際の接続 IP アドレス:[aaa.aaa.aaa.aaa]
2000年 12月 14日 (木) 11:16:32 PM - SMTP サーバはメッセージ(ID=533)を“*****@f1.*******.ne.jp”からサイズ 6 (k)で発信しました。
-------------------------------------

今泉克美 さんからのコメント
( Monday, December 18, 2000 11:34:04 )

各種TEST合格おめでとうございます。
m(_ _)m

質問の意味が不明瞭ですので
再確認させてください。

確認1.
*****@f1.*******.ne.jp

は、絹様のメールアドレスですか?


確認2.
[aaa.aaa.aaa.aaa] 
は
絹様が、あずかり知らぬIPアドレスでしょうか?


確認3.
12月 14日 (木) 11:06:08 AM - SMTP 
のメールは、メールサーバの機械から直接
メール送信しましたか?


確認4.
メールサーバ以外LAN上の
複数のクライアントPCから
絹様名義で送信するメールクライアント設定を
していますか?


確認5.
お使いのメールクライアントソフトは
何でしょうか?

以上です。

冷や汗が出そうなログですね。

さんからのコメント
( Tuesday, December 19, 2000 14:41:08 )

助言が頂けぬ数日が、重くのしかかっていましたが、
御質問を頂きホッとしています。
確認1 私自身の物です。
確認2 預かり知らぬ物です。(少なくとも私の会社にOCNから
割り振られた物ではありません。)
確認3 社内ネットワーク上のクライアントマシンからです。
確認4 私が使用しているマシンのみです。(確認3のマシンです。)
確認5 Eudora 4.3ペイドモードです。

今泉克美 さんからのコメント
( Tuesday, December 19, 2000 22:14:47 )

ええっとですね
このログ、【上段】と【下段】という風に
名前をつけさせてくださいね。

下段の説明の為に比較する為に
まずは
ほとんど自明の
上段の説明から行きます。

まずはこちらから。
−−−−−−−−−−−−−−−−−−−−−−−
2000年 12月 14日 (木) 11:06:08 AM - 
SMTP 受信の接続 [111.111.111.111] は、Real-time Blackhole リスト
 <rbl.maps.vix.com.> の検証行程にあります。
2000年 12月 14日 (木) 11:06:08 AM - 
2000年 12月 14日 (木) 11:06:08 AM - 
SMTP 受信の接続 [111.111.111.111] の接続が許可されました。既知のジャンクメールソースではありません。
−−−−−−−−−−−−−−−−−−−−−−−

貴社の
メールサーバを仲介にして
(仲介にしてですよ!)
誰かがメールを送ろうとしたとします。
例えば私のような善意の部外者からあなたへでもいいですし
あなたから私へのメールでもいいですし
悪意あるスパマーがどこかの誰かにメールを
送りたがっているのでも
結構です。
このログは、上記の誰であれ
送信者の使っているサーバが
悪名高きスパム発生源として
有名なのかどうかだけ検査しています。
<既知の>
とログ中にあるのはその意味です。
注意しなければいけないのは
このことは、
送信者のサーバに関する記述だと
いうことです。
この記録は
かならずしも
絹様が運営しているサーバについて
語っているわけではありません。

今回のこのログでは
たまたま絹様が
どこかの誰かにメールを送ろうとしている
ログですので
絹様が運営している自社サーバが
<既知の>ジャンクメール(=スパム)
の発生原ではありませんよということです。
もしも私が絹様にメールを送った場合でも
似たような記録が採取されます。
ただし、サーバ名が表示されるでしょうね、
私の場合ならば。[111.111.111.111」
のところに。。

さて、そうするとこの記録は
絹様のメールサーバがスパムの不正中継を
行っているかどうか、あるいは
不正中継を拒否しているかどうかについては
まるで関係ないと思っていいことになります。

さきほども申し上げました。
注意しなければいけないのは
ログのこの部分は
送信者のサーバに関する記述だと
いうことです。
(混乱すると悪いのですが
サーバを次々に中継してやってくる
場合がありますが、このときには
直前のサーバかもしれません)
この記録は
かならずしも
絹様が運営しているサーバについて
語っているわけではありません。

実際、絹様の当初の主たる目的
「不正中継を拒否したい」
に関しては、あまり関係ありません。
(ちぃとは関係ありますが、副次的なものです)
リアルタイムブラックホールリストは
自分がSPAMを受けたくないときに
使うのであって
不正中継をしたくないときに使うのでは
ないのです。
ただし、不正中継をもくろむ連中は
リアルタイムブラックホールリストに
のっているところから攻撃をしかけてくる
習性が多分にある、、ということが
ありますが
あなたのサーバが不正中継を厳密に禁止していれば
恐れることはありません。
リアルタイムブラックホールリストをいちいち調べに
行くことはないでしょう。
うるさい奴がいたら、
一時的につかうぐらいなものでしょう。
副作用があるので、あまり使いたくありません。

さて上段の続きを。。
−−−−−−−−−−−−−−−
2000年 12月 14日 (木) 11:06:09 AM -
 TCP/IP 経由の SMTP 受信の接続を確立しました_

2000年 12月 14日 (木) 11:06:09 AM -
      発信元の DNS 名: “[111.111.111.111]”

2000年 12月 14日 (木) 11:06:09 AM -
     実際の接続 IP アドレス:[111.111.111.111]

2000年 12月 14日 (木) 11:06:09 AM -
 SMTP サーバはメッセージ(ID=414)を
“1111111111.co.jp”からサイズ 1 (k)で発信しました。

−−−−−−−−−−−−−−−

さてとこの部分ですが
絹様であろうと私であろうと
スパマーであろうと
誰でアレ、絹様のサーバを仲介にして
どこかにメールを送ろうとしたならば
かならず表示されますね。
まずは、
SMTPにつながってきましたね。

次が「発信もとのDNS名」
「こいつはどこから来たんだろう、明治牛乳のサーバかな?
それともOCNのダイアルインかな?」
というのを
サーバ名とそのIPアドレスとを表示してきます。
自社内ならアドレスだけ表示でしょうか。
(ここでは悪意あるスパマーはウソをつくかもしれません)
ウソの場合には、IPアドレスとサーバ名前が不一致かもねと
警告が出るのが普通です。

次が
実際の接続 IP アドレス

ここで、送り元の本当のアドレスを表示します。

最後に
SMTP サーバはメッセージ(ID=533)を
“*****@f1.*******.ne.jp”から
サイズ 6 (k)で発信しました。

このログで、送り元から
絹様のサーバを仲介して
誰かさん宛てメールが
通過していったとわかります。

今泉から絹様へならなら、通過するだけではなく
絹様あてのメールボックスに格納される
段取りとなります。
絹様から今泉宛ならば
続くログで
今泉側のサーバとの接続が開始されて
届けられる作業段取りのログが続きます。

−−−−−−−−−−−−−−−−−−

細かい説明をしすぎました。

下段の説明をいたします。
以上のことをかんがみて

どこぞのゲスが
あなたのメールカウントをご存知であると
推察されます。
イタズラ目的なのかどうかは不明です。

悪人は、なんらかの手段で得た絹様の
メールアカウントを
自分のパソコンのメーラの設定において
「送った人は
絹さんちのサーバの絹さん♪」と書いておきます。
そしてくだらないメールを書いて
送信しました。

発信元の DNS 名:“f1.******.ne.jp [aaa.aaa.aaa.aaa]”

実際にはこのゲスさんは
aaa.aaa.aaa.aaaのサーバを使っているわけです。

絹様のASIPは
f1.******.ne.jp
だけを見て信用してしまい
外部のアドレスである
[aaa.aaa.aaa.aaa]
については
「まぁエエカ。」
と看過しているわけですね。

結論:
各種のTESTには通りましたが
これは
不正中継であると考えられます。

ただし
絹さんの会社の事情に詳しいどなたかが
たとえばノートパソコンなどで
出張先から誰かにメールを送ったとして
たまたま絹さんのアドレスを使ったかも
しれません。
悪意がなくてもありうる話ではあります。

今泉克美 さんからのコメント
( Tuesday, December 19, 2000 22:29:54 )

絹様

すみません終電なので
帰りますが
明日はなんとか
設定上の
確認項目をあげさせていただきます。

ただ、私はASIP6.2ですし
そちらは6.3.

ことSPAMに関してはほとんど
差がないはずですが
各種設定値の画面の呼び出し方が
がらっと変わっているかもしれません。

念のため
ASIPのヘルプを見ておいてください。

それと
今回の不正中継者は
「名前に関する、なりすまし」という
テクニックを使いました。

これはASIP6.2レベルで
基本的には防止できます。


今泉克美 さんからのコメント
( Wednesday, December 20, 2000 12:27:59 )

昨日は
下り線のさきのほうの駅で火事があり
送電線が痛んで列車が止まってしまいました。
イナカに住んでます。

さて。
お約束の。

なりすまし対策

以下の文献では
ASIP6.2からの新機能として

【また、「なりすまし」などによって接続を
しようとしたホストを記録したり
接続拒否をするといったことも可能です。】 

とあります。

−参考文献−−−−−−−−−−−−

AppleShare IP 6.2 新機能レポート
http://www.apple.co.jp/appleshareip/62report/5.htm

−−−−−−−−−−−−−−−−−

なお、この文献では【なりすまし】対策が
RealtimeBlackHoleListの利用方法の説明の一部のように
見えますが
実際には意味が全然違いますのでご注意下さい。

絹様のログの例でいえば
【実際の接続 IP アドレス:[aaa.aaa.aaa.aaa]】
のくせに
絹様のアカウント
【*****@f1.*******.ne.jp】
になりすまして
メールの不正中継を利用しようとすることを
防止することが「なりすまし対策」です。

再掲すれば
【また、
「なりすまし」などによって
接続をしようとしたホストを記録したり
接続拒否をするといったことも可能です。】

とありますが、なりすまし対策は以下の二つの
機能に分類できます。

「なりすまし」などによって接続をしようとしたホストに対して
対策1.そのホストを記録する。 
対策2.そのホストとの接続拒否をする。

対策1.は、、不正中継を一旦は許すが、記録を取っておいて、
別な手段で後から接続拒否をかけるやりかた。
たとえば相手がいつも一定の固定のIPを使ってくれば
そのIPアドレスだけフィルタリングして拒否してしまうなど。
これは人間が、拒否していいかどうか判断を入れた上で
手動で設定します。
裏世界のリストに絹様のサーバが登録されていれば
いたちごっこがしばらく続きます。

対策2.は、、不正中継そのものを一切禁止するやりかた。
自動的に行われます。

−−−−−−−−−−−−−−−−

上記にかんがみて
具体的ななりすまし対策の設定方法を
絹様のお使いの
ASIP6.3のHELPから拾います。
ASIP6.2の弊社で
たまたま、アップグレードしようとして
断念したことがあるので、手持ちのHELPを
開いてみました。

ASIP6.2とはやはり呼出し方が
ちょっと違いました。

−−HELPそのいち−−−−−−−−

□メールサーバの詳しい設定

メールサーバの詳しい設定を利用するときは、次のように操作します。

1「Mac OS Server Admin」を開いて、設定したいサーバにログインします。
2「メールサービス」ボタンを押して、「詳細設定」を選びます。

「メールサーバの詳細設定」ウインドウのそれぞれのパネルの設定に
ついて知りたいときは、次のトピックを参照してください。
 
【ネットワークの設定】
【プロトコルの設定】
【記録の設定】
【無差別(SPAM)メール対策の設定】
【その他の設定】

−−−−−−−−−−−−−−−−−−

今泉注

ここでは、パネル
【無差別(spam)メール対策の設定】を選びます。

−−HELPそのに−−−−−−−−

無差別(SPAM)メール対策の設定
無差別(SPAM)メール対策の設定 
      SMTP 受信接続を確認する−−−−−−−−−−−−今泉注A参照 
        この項目を選択した場合は、受信するすべてのメッセージ
    の送信元のアドレスが、サーバのアドレスのリストと照ら
    し合わされて確認されます。アドレスがこのリストにある
    場合は、接続が拒否されます。
        
    SPAM の受信拒否に標準サーバを使う:
         省略時設定のサーバである「Real-Time Black Hole リスト」は
     民間企業が管理しています。
        SPAM の受信拒否にカスタムサーバを使う:
         サーバのドメイン名を入力すれば、
     ほかの無差別メール対策サーバのリストでアドレスを確認できます。

    SMTP 名と IP アドレスが一致しないときは接続を記録する−今泉注B参照 
        この項目を選択した場合は、サーバは SMTP HELO 
        検証を使って、接続する利用者名とそのアドレスに
    含まれる名前とを比較して確認します。
    名前とアドレスが一致しない場合でも、接続は許可されますが、
    そのことは記録されます。

        名前とアドレスが一致しないときは拒否する:−−−今泉注C参照
        名前とアドレスが一致しない場合は、接続は拒否され、
    そのことが記録されます。

−−−HELP引用おわり−−−−−−−−−−−−−

今泉注A
これは、なりすまし対策とは原理が違います。
自分が既知のSPAM源からの接続を拒否したいときに設定します。

今泉注B
先ほど書いた対策1、記録するだけでよければ
この項目だけ選択します。注C参照。

今泉注C
ここにチェックをつければ
先ほど書いた対策2、、不正中継を許さない設定
になります。記録もとられます。記録だけとりたいのなら
チェックをはずします。

絹様のログの例でいえば
【実際の接続 IP アドレス:[aaa.aaa.aaa.aaa]】
のくせに
絹様のアカウント、(絹様のIPアドレス[111.111.111.111])
【*****@f1.*******.ne.jp】
になりすまして
メールの不正中継を利用しようとすることを
防止することになります。

[aaa.aaa.aaa.aaa]と[111.111.111.111]とが
違うではないか!
と叱ってくれるわけですね。

−−−−−−−−−−−−−−−−−

もしも厳密に不正中継を禁止したいのであれば
ご参考にしていただきたいと思います。

なお、これらの設定をしていなくても
ORBSのTESTに合格することがあります。
ご注意ください。

また、事実上不正中継ができない設定をしてあるのに
ORBSのTESTに不合格になることもあるようです。

−−−−−−−−−−−−−−−−−

さんからのコメント
( Wednesday, December 20, 2000 19:07:43 )

今泉克美 さん。
大変詳しい状況説明ありがとうございます。m(_ _)m
何がどうなっているのか、良く分かる説明です。
設定を確認し状況を見守る事にします。

話の筋が少し外れるかもしれませんが、
何らかの形で不特定多数の方が、これを
御覧頂いていると考え書きます。
時代の要求とは言え、サーバーやWEBの事を、
管理の実力を超えた所で維持しなければならない
状況があちこちで見られます。
メーカーの宣伝やサポートだけでは、
とてもやっていけません。
私の所のサーバーは、今回会議室に参加されている
善意有る皆様に助けて頂き、一命を取り留めたサーバー
の一つです。
今回の体験(SPAM)とその対処をする事により、
多くの事を学んだと同時に、自己嫌悪と維持管理への
恐怖を抱きました。
努力し続ける事は諦めませんが、何か心に引っ掛かる
物があります。何なのか上手く表現出来ませんが、
見ず知らずの人に悪用され、見ず知らずの人に助けられ、
これがネットの世界なのでしょうか?

この会議室でこんな発言(WEB関連の質議応答ではない)
が好ましくなければ、どなたか忠告願います。

追伸
単なるグチでしょうかね(^_^;

今泉克美 さんからのコメント
( Wednesday, December 20, 2000 21:09:43 )

>絹様...

私が絹様と似たような立場で
不正中継をやられたときに
「SPAMって何よー!?」
から始まりました。

いえいえ、最初は
「なんでこのメーラ遅いの?」と
自分のPCを叩きつけていただけなのです。
そのときに不正中継がザックザック行われて
いたのですね。

当時は
メールアカウントの増やし方減らし方だけしか
知らない状態でした。
MacのHELPを
開いたこともありませんでした。

ASIPという言葉さえも知りませんでした。

これはわずかに2〜3月ほど前のお話です。

−−−−−−−−−−−−−−

Mac購入元のSEさん達に
感謝しております。
無償でかなりのことをして
いただきました。

また、本BBSを発見したことも
大きな助けになりました。
本BBSに参加の皆様からの
ご支援がなければ、どうにも
なりませんでした。

本BBSにて勉強させていただいたわけです。

皆様へは本当に感謝の念でいっぱいです。

また、本BBSを開設して頂いている
田中先生のご努力に本当に頭が下がります。

有難うございます。

−−−−−−−−−−−−−−−−

絹様の最初のご投稿を拝見して
驚きました。
これは、過去のオイラの姿だと思いました。

本BBSへの恩返しのつもりで
知っている限りのことを書きました。

私は勉強のため普段はROMしているのですが
とうとうこちらのBBSへの恩返しができる
チャンスがきたのです。

他の話題には全然ついていけていませんが
たまたま体験したばかりのお話しでしたので
なんとか智恵をしぼったわけです。

絹様もROMでかまわないと思いますので
本BBSの仲間としてちょくちょく
訪れていただければ宜しいのではないかと
思います。
田中先生のサーバはまだまだ信じられないほど
余力があるようですので
いくら読者が増えても問題になりません。

そして、絹様が、別な方にアドバイスできる
チャンスがかならず来ると思います。

まぁ、悲観せずに、良い体験をしたと思って
ニコニコしましょうよ。

それでは
私もそろそろROMに戻れそうですね。

このスレッドもおしまいでいいのかな。

−−−−− fin −−−−−

さんからのコメント
( Wednesday, December 20, 2000 21:23:48 )

このBBSに集うみなさんに心を込めて
一足早いメリークリスマス!
- - - - -めでたし めでたし- - - - -

田中求之 さんからのコメント
( Wednesday, December 20, 2000 23:09:10 )

>見ず知らずの人に悪用され、見ず知らずの人に助けられ、
>これがネットの世界なのでしょうか?

そうです(きっぱり)。 そこがネットの面白さでもあると私は思ってます。

>この会議室でこんな発言(WEB関連の質議応答ではない)
>が好ましくなければ、どなたか忠告願います。

全然構いませんよ。情報って言うのは、なにも技術的なことだけにかぎりません。
気持ちや感想や愚痴ってのも、重要な情報ですからね。運用ってのは人間が
やるもんなんですから。

たまちゃん さんからのコメント
( Thursday, December 21, 2000 17:24:04 )

>運用ってのは人間がやるもんなんですから。

全くその通りだと思います。サーバ運営というのは怖いもので,
運営者の人格がそのまま現れてしまう(ウェブサーバにしろ,
リストの運営にしろ)と思っています。