このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

ASIPにおけるSPAM不正中継防止について警告(続き)

発言者:たまちゃん
( Date Monday, December 25, 2000 10:57:21 )


スレッドが一杯になったので新たに発言をおこします。

> ASIP ML 
> のアドレスを教えてください。

システムが変わったようですね。以下の場所から登録できます。

→  appleshare-ip: Discussion list for AppleShare IP users.

田中求之 さんからのコメント
( Monday, December 25, 2000 11:47:12 )

今のところ、AppleShreIP ML が、ASIP についての問題点を確認し、場合に
よっては報告を行うには一番適していると思うのですが、やっぱ英語の ML
って敷居が高いのは事実ですね。

それと、アップルは spam 中継等について、もっと分かりやすい位置に説明
のページをおくべきじゃないかとは思います。

今泉克美 さんからのコメント
( Monday, December 25, 2000 12:25:27 )

>たまちゃん様
MLのアドレス、
有難うございます。

>田中先生
私、英語の単位がとれなくて
大学を放校になりました(爆笑)
ナマケモノってことです。(爆2)
トラウマが。。。よみがえります。(悲)

質問しようにも
HELPその他の
英語番の入手からはじめないと
ダメかもしれません。

何かほかの手はありますでしょうか?


今泉克美 さんからのコメント
( Monday, December 25, 2000 12:28:57 )

ログ中心に投稿することまで
考えましたが
文字化けするでしょうねー。

はぁ、、


今泉克美 さんからのコメント
( Wednesday, December 27, 2000 23:04:42 )

その後の経過です。

ASIP のMLに加入しました。

MLの設定を間違っていて今日まで配信されてませんでした。

本日配信分のなかに「おや?」というのがありました。


====    引用  ==========================
hello,

(i am a bit late, but i am only on the digest)

i think there is another related setting. under mail/misc. there is a 
setting "deliver mail if host is a backup for destination". in my 
opinion it could be either check if a foreign host is a backup mail 
exchanger for the destination domain and delivers mail if the primary 
mail exchanger is not reachable. the other way could be checking for 
incoming mail. which is true? the documentation says nothing on that 
topic.

bye,
matthias
===========================================

いっしゅんドキリとしたのですが
ASIP6.2 の日本語の HELP を見る限り
不正中継を禁止する措置をとっていても
自分の利用者が登録されているサーバに
転送することを許す設定である、
となっています。
  (引用のなかでは、マシューさん
   「どこにも書いてない」と懸念されています。)
そして HELP では、それはDNSの mxレコードに書いてある
サーバということに。

私どものサーバでもこれがONになっています。

明日は、これをOFFにして
なりすましが成功するのかどうか
確認をしてみます。


今泉 さんからのコメント
( Thursday, December 28, 2000 11:40:22 )

1.上記の件

やはり不正中継には無関係のようでした。
ON/OFFで実験しました。
あまり実験しているので会社のみなさんに
しかられそうです。

2.ASIPのMLに投稿しました。
英語間違いだらけ?
英語で大学から放校になったんですってば(笑)
だれでもできるTESTを付けたので
結果がわかりやすいのではないかと思います。

==================================================================
subject:
AppleShare Mail Server: Can We Prevent Unauthorized Mail Relaying?
==================================================================

Is there a way to stop relaying (spoofing) ?
Please teach me.

First of all, please read the following page.
http://til.info.apple.com/techinfo.nsf/artnum/n31108 .

To prevent Spam, I would like to disable SMTP relay for
ASIP (6.2 and/or 6.3).  Though I have tried the directions
in the page above, I can not kill Unauthorized Mail Relaying 
yet!  It still thrives here.

The directions in "n31108" say that they lock out relayers'
spoofing our email server DNS name; however, they DO NOT work.  
They allow Spam to relay.
Though relayers are NOT spoofing our email server DNS name ,
relayers are still spoofing our e-mail account addresses.

Please try "TEST" below and make sure whether your AppleShare 
mail server can prevent Unauthorized Mail Relaying or not.

TEST:
1: Make the e-mail address 'spamtest' ( do not include the quotes ! )
2: Use http://www.abuse.net/relay.html , and check your ASIP mail server.

Results: SMTP logs
=======================================================

    Connecting to mail.asip6x.com for anonymous test ...
    <<< 220 mail.asip6x.com AppleShare IP Mail Server 6.2.1 SMTP Server Ready
(a) >>> HELO www.abuse.net
    <<< 250 Hello, www.abuse.net [208.31.42.77], I'm mail.asip6x.com.

    Relay test 1
    >>> RSET
    <<< 250 OK
    >>> MAIL FROM:<spamtest@abuse.net>
    <<< 250 <spamtest@abuse.net>... Sender OK
    >>> RCPT TO:<relaytest@abuse.net>
    <<< 553 <relaytest@abuse.net> - Recipient Rejected! From domain "abuse.net" has delivery restrictions in place.  No SMTP mail relay is allowed.

    Relay test 2
    >>> RSET
    <<< 250 OK
    >>> MAIL FROM:<spamtest>
(b) <<< 250 <spamtest@mail.asip6x.com>... Sender OK
    >>> RCPT TO:<relaytest@abuse.net>
    <<< 250 <relaytest@abuse.net>... Recipient OK

    Relay test result
    Hmmn, at first glance, host appeared to accept a message for relay.

============================================================
(a) relay.html does not spoof mail.asip6x.com [=your email server DNS name]
(b) relay.html spoofs spamtest@mail.asip6x.com                              
=============================================================
The directions in "n31108" disable (a).  


Now, if relayers spoof your e-mail address, is there a way to stop relaying ? 

Thank you.

Katsumi Imaizumi


たまちゃん さんからのコメント
( Thursday, December 28, 2000 14:06:06 )

そんな変な英語ではありませんよ。自信をもってください。

>    Relay test 2
>    >>> RSET
>    <<< 250 OK
>    >>> MAIL FROM:<spamtest>
>(b) <<< 250 <spamtest@mail.asip6x.com>... Sender OK
>    >>> RCPT TO:<relaytest@abuse.net>
>    <<< 250 <relaytest@abuse.net>... Recipient OK

のテスト結果ですが,これだけではリレーを許すかどうかは分かり
ません。データをこの後で実際に送り出すときにリレーを不許可に
する MTA もあります。

今泉克美 さんからのコメント
( Thursday, December 28, 2000 17:46:28 )

>たまちゃん様
>そんな変な英語ではありませんよ。自信をもってください。

実を言うと、かなり添削をお願いしました。
大変に感謝しております。これからさき、添削をお願いできませんので
MLをながめて、いいまわしとか勉強したいです。
問題なのは、不躾とか、慇懃無礼とか、乱暴とか、そういうふうな
ニュアンスにとられる英文です。
あとは、どのように簡潔に書くか。。むつかしいですねぇ。

>データをこの後で実際に送り出すときにリレーを不許可に
>する MTA もあります。

別スレッドで絹様から投稿していただいた
ログ上の例の不正中継はひょっとしたらこのタイプの
変種ではないかと推察されます。
あれも成功してますので。

もうすこし実証試験をやらなくてはと思いますが
時間をかけて行いたいと思っています。

Telnetではいるのが一番楽そうですが
どうしようかな?


中嶋 さんからのコメント
( Friday, December 29, 2000 13:36:43 )

>こちらのBBSでどなたかが「ASIPでは絶対に不正中継を防止できない」というメッ
>セージを登録された方がいらしてずっと不思議だったのですがその方の言うとおリだ
>とわかりました。根本的にダメだとわかりました。
へーーい。
私の受けた攻撃と、同一のものですね。

>たった一行書いてしまえば頭のイイ人ならば不正中継を実施できることでしょう。
なので、方法を書くことは致しませんでした。
今から考えると、もう少し警告しておくべきでしたね。

>いっぽう、MacのASIP6.2をターゲットにするぞと
>心に誓う不正中継者もいるかもしれません。
ASIPだけ探索する方法もあります。
(マネは簡単で、かつ、防ぎようがないので、手口を書くことは、控えます。)。
私の所は、それで見つかったと推定しています。

>はたしてASIP6.2に特化した攻撃方法を取るのかどうか不明ですが、ひとたび、不正
>中継者から見つかってしまうと永遠にしゃぶりつかれるのかもしれません。
その通りです。
私の所は、対処をする間臨時に立てたUNIXシステムに、全く同じ手法のメール
(UNIXのメールシステムでは止まる)が、短時間に連続してぶち込まれました。
また、IPを変更しながらの攻撃でしたので、TCPフィルターでは、防ぎ切れな
いことは、明らかでした。

>運用停止においこまれます。
様々なオプションを全て確認して、止めることができなかったので、
運用を停止致しました。

大学内の2つのドメインを管理していますが、計算機系ではないので、私しかUNIXを
使える人間がいません。従って、UNIXだけでメールシステムを構築すると、私が急に
いなくなったら、誰も管理できないので、以下の方針でメールシステムを構築してい
ます。
UNIXをメインサーバーとして、運用する。
バージョンアップやハッカーへの対処は、私が行う。
ReadyMadeサーバーを、サブとして運用する。
私が居ないときに食い破られたら、ReadyMadeサーバーを代理に立てる。

誰でも運用できるReadMadeサーバーとして、ASIPを選びました。一番気にしていた
「セキュリティレベルが固定で、そのレベルを超えるハッカーに狙われたら終わり」
が、運用開始後1月で訪れるとは思いませんでした。
現在、ASIPは、受信専用で、送信にUNIXマシンを置いて運用しています。

今泉克美 さんからのコメント
( Friday, December 29, 2000 18:35:10 )

>ALL

日本の APPLE の Tell Us にも
投げ込みをしておいたのですが
返事が帰ってきました。

======================

Tell Usをご利用いただきありがとうございました。
また今回はご連絡有り難うございます。

アップルとしても SPAM 対策の重要性は十分に認識していますので
ご連絡いただきました内容についてはエンジニアリング部門に連絡し、
検証してみたいと思います。

今後ともアップル製品をご愛顧いただきますようお願い申し上げます。

 アップルコンピュータ株式会社 
CustomerCare/ Tell Us担当 **

======================

>中嶋様

>IPを変更しながらの攻撃でしたので、TCPフィルターでは、防ぎ切れな
>いことは、明らかでした。

いたちごっこすら許されないのですねぇ。(嘆)
リアルタイムブラックホールリストも
役に立たないかもしれません。(怖)

>ASIPだけ探索する方法もあります。

うーんんんん。

ともあれ、今の段階で出きることは
やりつくしました。

======================

>ALL

本年はまことにお世話になりました。
しばらく冬眠にはいります。
とはいえ、
大晦日には、2001年問題(仮称)のため
ホテルにて待機です。

良いお年を!

たまちゃん さんからのコメント
( Saturday, December 30, 2000 00:17:47 )

>私の所は、対処をする間臨時に立てたUNIXシステムに、全く同じ手法のメール
>(UNIXのメールシステムでは止まる)が、短時間に連続してぶち込まれました。

これは不正中継を試みられたということですか,それとも Rumplestiltskin 
Attacks の被害にあったということですか。

もし後者であれば,少なくとも Sendmail だけでは持ちこたえることは
出来ません(Postfix なら大丈夫そう)。後者の被害に遭った方の情報
では攻撃元の多くは MAPS DUL か RSS に載っているそうです。

それから

>リアルタイムブラックホールリスト

はよく誤解されるのですが,これは不審なサーバがリアルタイムで登録
されるということではなく,不審なサーバの載っているデータベースに
リアルタイムで参照しにいくということです。念のため。

今井真人 さんからのコメント
( Saturday, December 30, 2000 09:02:36 )

>ASIPだけ探索する方法もあります。
>(マネは簡単で、かつ、防ぎようがないので、手口を書くことは、控えま
>す。)。

 付け焼き刃的ですが、接続したときのメールサーバ名をヘンテコな
名前に変更できると、安全かもなと思っています。私はEIMSでちょっ
と実験してみよう。

今泉克美 さんからのコメント
( Saturday, December 30, 2000 19:19:44 )

>今井様

>メールサーバ名をヘンテコな
>名前に変更できると、、、、、

接続開始時点で
    <<< 220 mail.asip6x.com AppleShare IP Mail Server 6.2.1 SMTP Server Ready

というようなときに
mail.asip6x.com のほかに
AppleShare IP Mail Server 6.2.1
もヘンテコにできるのでしょうか?
方法をご教示いただけると凄く嬉しいのですが。


今井真人 さんからのコメント
( Saturday, December 30, 2000 19:31:09 )

Resourceler(リソースラー?)スペル不明、というソフトを使ってアプリ
から文字列サーチすればいいでしょう。ResEditでは、ちょっと難しい。

今井真人 さんからのコメント
( Saturday, December 30, 2000 19:45:04 )

うろ覚えだったので調べてみました。

Resorcerer 
http://www.enfour.co.jp/resorcerer/index.html

です。私は昔のバージョンを持ってますが、結局バージョンアップ
しなかったなぁ。今回の件だけに購入するのはどうかなぁ。

中嶋 さんからのコメント
( Thursday, January 04, 2001 12:19:02 )

>これは不正中継を試みられたということですか,それとも Rumplestiltskin 
見かけは、不正中継を試みられただけですが、特定の会社のアドレスが突出して
多く含まれていました。幸いにして最初の不正中継が起こってすぐに気づいたのですが、
既に4〜5百通のメールが表に出た後でしたので、当該の会社に詫びを入れた所、
他のメールサーバーからも、ほぼ同時にその会社のメールサーバに、
不正中継があったとの返事が来ました。
つまり、Rumplestiltskin Attackの踏み台にされたと考えるのが、妥当だと思います。

>Resourceler(リソースラー?)スペル不明、というソフトを使ってアプリ
同一の長さの文字列に変更するだけなら、HexEditを使えば簡単です。
データフォークも、リソースフォークもまとめて、16進表示をして、
ASCII、Hexのどちらでも検索をかけることができます。
ただし、リソースフォークをきちんと書き換えるわけではないので、
長さを変えたりしたら、アプリが破綻します。
でも、ThinkPascalに付いてきたサンプルコードやから、今時見つかるかな?

今泉克美 さんからのコメント
( Friday, January 05, 2001 10:34:48 )

今井様、中嶋様、情報をありがとうございます。。。
アプリそのものに手をいれちゃうという認識でよろしかったでしょうか?

さて、 ASIP のメーリングリストに不正中継の問題を投げ込んでから
しばらくたちますが、年末年始がかさなったためか、あまり反響がありません。
本日、別の人が、同じ現象?について投げ込んでいましたので
下記に引用させていただきます。

Hi all

I'm out of my depth here. My ASIP server is apparently open for 
relay. I *have* done all that 
http://til.info.apple.com/techinfo.nsf/artnum/n31108 requires and 
I've done it properly (I'm not sure why it needed doing actually 
since I did all this some time ago, but for some reason all my mail 
server settings for open relay had defaulted back to none!).

however, if you follow this link:
http://mail-abuse.org/cgi-bin/nph-rss-selftest?07846kbdgk37964812lkgjcedkgfcbgkg

you can actually test my server and see that it is still open (go 
easy, i don't really want 2000 members of the list hitting my mail 
server :) )

I *think* the problem is that it is relaying email via one of my 
accounts (postmaster@bowerbird.art.rmit.edu.au), the ip. address of 
the server is 131.170.98.155

since i don't know enough about email and servers here what I'd 
appreciate knowing is:

a) am i correct in that the server is relaying via an existing 
legitimate account?
b) that the antispam settings in ASIP aren't effective in preventing this?
c) any suggestions?

or does this mean that communigate or EIMS is looking better?

thanks in advance
adrian miles
-- 

lecturer in cinema studies and new media rmit university.
61 03 9925 3157
bowerbird.rmit.edu.au/adrian/
hypertext theory engine http://bowerbird.rmit.edu.au:8080/
adrian.miles@rmit.edu.au
_______________________________________________
appleshare-ip mailing list
appleshare-ip@lists.apple.com
http://www.lists.apple.com/mailman/listinfo/appleshare-ip