このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

[SPAM] SIMS で差出人不明の Mail をブロックするには?

発言者:山崎@ゼロ・オフィス
( Date Thursday, January 18, 2001 18:06:18 )


SIMS1.8b8 で MailServer を運用しています。
最近何度か悪意があると思われる from: が空欄のままの Mail が私
の管理しているサーバー(mail.****.co.jp)のオフィシャルなアカ
ウント宛に送られてきました。

国内の大手プロバイダ(ODN, MMTR, OCN)や海外のプロバイダ(ト
ルコ ixir.com?)内のIPから直接 mail.****.co.jp に、SMTP して、
ウイルス(トロイ)と思われる .exe ファイルのみ添付で送りつけ
てきます。今のところ受信しているクライアントが、Mac のみなの
で実害は出ていません。

すべてが同一人物からなのか、ウィルスに感染した複数の人物から
なのかは今のところわかりません。

送られてくるのが特定のアカウントなので、アカウントごと 
SpamTrap にしてしまう方法もあるとは思うのですが、オフィシャル
で使用しているアカウントなので、今回はそういった方法が採れま
せん。

以下に、ログの一部を掲載しますが、毎回 IP 以外の部分は同じです。
このパターンの Mail のみブロック(別アカウントへ転送)するよ
うな事は出来るでしょうか?


19:32:42 4 SMTP(tcp) Connection request from [210.228.171.***:1485],seq=1895, 8/9
19:32:42 4 SMTP Line 5031 created for answering
19:32:42 4 SMTP-031() Got connection from [210.228.171.***:1485]
19:32:42 4 SMTP(tcp) Connection accepted from [210.228.171.***:1485], seq=1895, 8/9
19:32:42 4 SMTP-031([210.228.171.***]) Sending 220-Stalker Internet Mail Server V.1.8b8 is ready.\r\n220 ESMTP is spoken here. You are welcome\r\n
19:32:42 4 SMTP-031([210.228.171.***]) Input Line: HELO oemcomputer\r
19:32:43 4 SMTP-031(oemcomputer) Looking for oemcomputer
19:32:43 3 SMTP-031(oemcomputer) Failed to verify. Real address is [210.228.171.***:1485]
19:32:43 4 SMTP-031(oemcomputer) Sending 250 mail.****.co.jp cannot verify oemcomputer\r\n
19:32:43 4 SMTP-031([210.228.171.***]) Input Line: RSET\r
19:32:43 4 SMTP-031([210.228.171.***]) Sending 250 SMTP state reset\r\n
19:32:44 4 SMTP-031([210.228.171.***]) Input Line: MAIL FROM: <>\r
19:32:44 4 SMTP-031([210.228.171.***]) Sending 250 <> sender accepted\r\n
19:32:45 4 SMTP-031([210.228.171.***]) Input Line: RCPT TO: <****@****.co.jp>\r
19:32:45 4 SMTP-031([210.228.171.***]) Sending 250 <****@****.co.jp> recipient accepted\r\n
19:32:45 4 SMTP-031([210.228.171.***]) Input Line: DATA\r
19:32:45 4 SMTP-031([210.228.171.***]) Sending 354 Enter mail, end with "." on a line by itself\r\n
19:32:56 2 SMTP-031([210.228.171.***]) {S.0000045875} received, 31766 bytes
19:32:56 4 SMTP-031([210.228.171.***]) Sending 250 S.0000045875 message accepted for delivery\r\n
19:32:56 2 SYSTEM [S.0000045875] S.0000045875 0+1 From:NULL@NULL
19:32:56 4 SYSTEM [S.0000045875] submitted
19:32:56 4 SYSTEM [S.0000045875] stored in '****' at 2244290(+0)

しあわせのツボ さんからのコメント
( Thursday, January 18, 2001 18:55:07 )

おそらく、最近流行っている「W32.Hybris」ワームですね。
対策は…SIMSでexeフィルタってできましたっけ(^^;

直接SMTPを喋るので感染者への連絡手段がないのが痛いです。
とりあえず、当該プロバイダに「送信者を特定できないので
そちらで特定して注意してくれ」と要求しています。

今泉克美 さんからのコメント
( Thursday, January 18, 2001 19:23:50 )

今回のご質問とは筋違いなのですが。

ウォッチガードのファイアーボックスというのを
使うと、メールに添付されたファイルについて
自動的に調べて、あらかじめ宣言してある危険な
拡張子をもっているならば
添付ファイルのみを取り除いて
メール本文だけ通過させるという
利用が出来ます。
ただし、送り手によって検査をするしないの
コントロールはできませんが。

危険な拡張子の宣言はふたとおりあります。
1.
ホワイトリスト方式。
あらかじめ通過しても良い拡張子を記述します。
このやり方が標準だそうです。

2.
ブラックリスト方式。
通過させたくない拡張子を宣言。
簡便ですが、想定しなかった拡張子による
あらたなイタズラがおきたときには
あとのまつりでして、
宣言を追加しなければなりません。
exeも追加できます。

いずれにせよ、変なスクリプト系の
迷惑メールはこれでOKなので
気が休まります。

私どもでは
この機械を
ファイアーウォール兼
DHCPサーバ兼
ゲートウェイとして
使っています。
貧乏なので。。


→  ウォッチガード(http://www.itfor.co.jp/WatchGuard.html)

今泉克美 さんからのコメント
( Thursday, January 18, 2001 19:27:29 )

Natもやらせてます。(^^)

たまちゃん さんからのコメント
( Friday, January 19, 2001 10:29:44 )

随分ウンウンと考えさせられました。

NULL@NULL = error

なんかでいけるんではないかと思いましたが,ダメです。

送り元の IP アドレスはある程度特定できますか?それと Return-
Path はきちんと記述されてメールが来ていますか?

山崎@ゼロ・オフィス さんからのコメント
( Friday, January 19, 2001 13:05:15 )

>しあわせのツボ さん
>おそらく、最近流行っている「W32.Hybris」ワームですね。

うーん、やっぱりウィルスですかね...。
ということは、特定の個人から攻撃を受けている訳では無いようですね。

>対策は…SIMSでexeフィルタってできましたっけ(^^;

今まで調べたところでは、標準では出来ないように思います。

>今泉克美 さん
お教えいただいた URL 見てみました。
.EXE を全てブロックするのは、どうかと思います。
複数の条件でうまく設定すれば出来るのかな...。

ハードウェアを導入することは考えていなかったのですが、もう少し調べてみます。


>たまちゃん さん
>随分ウンウンと考えさせられました。

ありがとうございます(^^;)。

>NULL@NULL = error
>なんかでいけるんではないかと思いましたが,ダメです。

このアドレスのフィルタ?って、受け取り側だけでなく、差し出し側でも出来るんでしたっけ?

>送り元の IP アドレスはある程度特定できますか?

毎回違います(^^;)。
先にも書きましたが、トルコのプロバイダから国内大手プロバイダの北海道アクセスポイントまでいろいろだったりします。
おそらく、しあわせのツボ さんのかかれているようにウィルスによる仕業のように思います。

>それと Return-Path はきちんと記述されてメールが来ていますか?

とりあえず、前回ログを上げたメールをヘッダー込みで掲載します。


Received: from [210.228.171.***] (HELO oemcomputer) by mail.****.co.jp (Stalker SMTP Server 1.8b8) with SMTP id S.0000045875 for <****@****.co.jp>; Wed, 17 Jan 2001 19:32:45 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VEU7CDIZCP6F09UVC1IJKT"
Message-Id: <S.0000045877@mail.****.co.jp>
Date: Wed, 17 Jan 2001 19:32:57 +0900
X-UIDL: 2038e0c7f2c7aa2b308f73ef526e2681



Attachment converted: archive:CKGIHLCK.EXE (bina/mdos) (0001CE87)


ヘッダーは、これしか付いてきません。

直接こちらの SMTP をたたいてくるの(たぶん)で、IP が丸見えです。
やっぱりウイルスでしょうか?

各事例に共通するのは、

oemcomputer
FROM: header 空欄
本文無し
アルファベット8文字(毎回変わる)+.EXE の添付ファイル

です。

たまちゃん さんからのコメント
( Friday, January 19, 2001 22:12:15 )

>アルファベット8文字(毎回変わる)+.EXE の添付ファイル

最近流行しているウイルスのようですね。

もしヘッダがその通りだとしたら Verify Return-Path をチェック
する位でしょうか。

たまちゃん さんからのコメント
( Friday, January 19, 2001 23:24:20 )

>>送り元の IP アドレスはある程度特定できますか?
>
>毎回違います(^^;)。

MAPS DUL や MAPS RSS にこれらのアドレスが載っているかどうかを
確かめるのも有効かもしれません。

山崎@ゼロ・オフィス さんからのコメント
( Friday, January 19, 2001 23:28:53 )

>たまちゃん さん

>最近流行しているウイルスのようですね。

いろいろ調べてみましたが、そのようです。

>もしヘッダがその通りだとしたら Verify Return-Path をチェック
>する位でしょうか。

もちろチェックしてあるのですが、

19:32:43 4 SMTP-031(oemcomputer) Looking for oemcomputer
19:32:43 3 SMTP-031(oemcomputer) Failed to verify. Real address is [210.228.171.***:1485]
19:32:43 4 SMTP-031(oemcomputer) Sending 250 mail.****.co.jp cannot verify oemcomputer\r\n
19:32:43 4 SMTP-031([210.228.171.***]) Input Line: RSET\r
19:32:43 4 SMTP-031([210.228.171.***]) Sending 250 SMTP state reset\r\n
19:32:44 4 SMTP-031([210.228.171.***]) Input Line: MAIL FROM: <>\r
19:32:44 4 SMTP-031([210.228.171.***]) Sending 250 <> sender accepted\r\n
19:32:45 4 SMTP-031([210.228.171.***]) Input Line: RCPT TO: <****@****.co.jp>\r


のように Failed になってもそのまま受け付けてしまうようです。


しあわせのツボ さんからのコメント
( Friday, January 19, 2001 23:54:19 )

Fromがoemcomputerになるのは、プリインストールのWinが
その名前になっており、それをそのまま使っている場合であって、
必ずそうなる訳ではありません。
うち来た例ですと、From cubxとかFrom computerとか名乗る
同類のメールが来ています。

検索してもらえばわかりますが、このワームは
添付ファイル名がランダム(正確にはAからPの8文字.EXE)なので
そのファイル名で検索してもウィルスの種類を特定できず、
直接SMTPを喋るため送信者の特定が難しく、
一気に大量のメールを送ったり「しない」のでMAPSにも
引っ掛かりずらいと思われ、
閲覧してるHTMLからもメールアドレスを取り込むため
赤の他人からも送信され、
アンチウィルス関連のサイトにアクセスできなくなる、
という非常に厄介なものです。
また、日本語以外のOSではSubjectや本文があり
添付ファイルの名前が決まっている(中には.scrもある)
という特徴があるそうです。
# おそらくワームの作者が日本語に疎かったのでしょう(^^;

地味な対策法になりそうです…。

ろばたろう さんからのコメント
( Tuesday, March 27, 2001 10:47:11 )

とうとう私の勤務先のEIMS2.2.2にもやってきました。

Return-Path: <>
Received: from oemcomputer (21*.190.209.16*) by ***.co.jp with SMTP
 (Eudora Internet Mail Server 2.2.2); Mon, 26 Mar 2001 22:58:38 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VE3WD6JCPIVGHAJKXUFK927WX"
Date: Mon, 26 Mar 2001 22:58:38 +0900
From: 
To: undisclosed-recipients:;
Message-ID: <1226507378-109332679@***.co.jp>
Status: R

----VE3WD6JCPIVGHAJKXUFK927WX
Content-Type: text/plain; charset="us-ascii"

----VE3WD6JCPIVGHAJKXUFK927WX
Content-Type: application/octet-stream; name="LCOLCKLC.EXE"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="LCOLCKLC.EXE"

添付ファイル名はLCOLCKLC.EXE

ログをみますとfromは空欄、toは勤務先のホームページに掲載している
問い合わせ先(info@***.co.jp)でした。
もちろんsubjectも本文もありません。
このinfo@はグループアカウントですが、もちろん個々のアカウント分
(3名)にもしっかり配送されていました。

filterでの対策が必要になってきました。
(.exeまでブロックするのは運用に制限がでないか心配ですが)
皆さんもご注意ください。

今泉克美 さんからのコメント
( Tuesday, March 27, 2001 19:06:03 )

やってきました。
先週金曜日。
NORTONで駆除途中
変なメッセージがでて
HARDdiskのブートセクターが
かきかわったと警告あり。
「もとにもどしますか?」
ときかれたので
「当然戻すよ」
と慎重に慎重にしたのですが。
検疫に成功、
隔離したものの、
次の瞬間から
OSごといかれちゃいました。

というわけで
最新のワクチンを入手しておくべきです。
私のは中途半端なものだった。。。