このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

SPAM?

発言者:takeshi uno
( Date Thursday, January 25, 2001 15:54:31 )


最近、管理しておりますEIMSにこの様なログが残ります。
Receive failed from ***.***.***.***, recipient ***@mydomain.com not known.
きちんと返しているようですが、アカウントを作って受け取ると又しつこく
やってくるような気もするのでbounceさせ、相手には受け取り拒否という形
を取り、なおかつ正規のアカウントに転送する方法ってありますか?
 特にこちらには支障はないので問題ないと思うのですがこの様なたぐいの
SPAMはほっておくべきなのでしょうか?

今井真人 さんからのコメント
( Friday, January 26, 2001 07:06:36 )

 私は、????@mydomain.comのようなメールは、bounceさせずに
すべて私のメールボックスに転送するようにしています。こうすると
SPAMMERも遠慮するようですよ。メールが受け取り拒否で、返信経
路情報も返されないので、SPAMMERが不安に思うらしいです。

 自分のサイト向けの間違いメールがときどき届きますが、それは
親切に転送してあげてます。

#ただなぁ。非常に個人的なメールを読んでしまうこともあるので、
#そういう場合はどうしようと考えますね。通信上の秘密はもらさ
#ないように努力してます。

たまちゃん さんからのコメント
( Saturday, January 27, 2001 22:21:00 )

> recipient ***@mydomain.com

この *** にはどのような名前が入っていますか?それと相当数の
宛先不明メールを受け取っておられますか?

takeshi-uno さんからのコメント
( Thursday, February 15, 2001 09:43:39 )

xxxには登録していないアカウントが来ます。
どこかに登録でもされているのでしょうか?
来る数はそんなにないのですが増加していることは確かです。
最初はrebounceしていたのですが、気持ち悪いので今は自分のところまで
転送して見たところ国内のアダルト系もしくはDM系ばかりの物です。
EIMSの設定としては何か必要な事ってありますか?

たまちゃん さんからのコメント
( Thursday, February 15, 2001 21:17:06 )

>来る数はそんなにないのですが増加していることは確かです。

アカウント名が日本人の名前ではなく,「john」やら「smith」など
の名前である場合は,Rumplestiltskin Attacks の可能性があります。

お使いの EIMS のバージョンが分かりませんが,基本的には対処法
はありません。もしこの攻撃がひどくなってきて,メールサーバの
機能が奪われるような事態になれば,gateway サーバを設けるなど
の対策が必要になってくると思います。

今のところはそのままでいいと思います。

takeshi-uno さんからのコメント
( Thursday, February 15, 2001 23:32:26 )

ありがとうございます。EIMS3.0を使用しています。
一応2度と送らないで〜とは返事したのですがね・・・。
以前、IPアドレスを調べてreray拒否したのですが・・・。
ちょっと精神的にも病気になりそうなのでやめました(笑)

Chobin さんからのコメント
( Thursday, February 22, 2001 22:19:13 )

EIMS1.3.1でmail serverを運用していたのですがSPAMされ機能不能になりました。そこでSIMS1.7をインストールしたのですが送信はできても受信ができません。どういう風に設定したら良いのでしょうか?ひょっとしてSIMS1.7は
送信専用ソフト?なのでしょうか...どなたか教えて下さい。

田中求之 さんからのコメント
( Thursday, February 22, 2001 23:49:15 )

>SPAMされ機能不能になりました。

どういうことが起きたのですか? 機能不全とはどういうことでしょうか?
(EIMS が spam によって機能しなくなることはないと思うのですが??)

>ひょっとしてSIMS1.7は
>送信専用ソフト?なのでしょうか

いいえ、ちゃんとしたメールサーバです。受信ができないのであれば、それは
設定が悪いからです(具体的なことが書いてありませんので、これ以上の
答えを望んでも無駄です)

今井真人 さんからのコメント
( Friday, February 23, 2001 07:19:48 )

>一応2度と送らないで〜とは返事したのですがね・・・。

この行為はしない方がよろしいでしょう。逆にちゃんと読んでいると
確認され、ますますSPAMを送られるだけです。

やまかわ さんからのコメント
( Thursday, March 08, 2001 12:08:07 )

便乗質問させてください。

LC475/EIMS1.3.1です。 
Onlyrelay if for local domains or the following domains.にはチェックを入れた設定です。
Server Consoleに下記のようなログが秒あたり2つぐらいでず〜〜と(過去数ヶ月)
つづいておりますが これもSPAM? でしょうか?

***.***.***.*** SMTP connection opend
***.***.***.*** SMTP connection closed
***.***.***.*** ESMTP connection from aaa.bbb.co.jp

田中求之 さんからのコメント
( Thursday, March 08, 2001 12:44:59 )

これだけでは spam とは言えません(実際にメールの中継が行われているわけ
ではないのでしょう?)

>aaa.bbb.co.jp

このサイト(ドメイン)は、実際にメールを送ってきているドメインなの
でしょうか?

やまかわ さんからのコメント
( Thursday, March 08, 2001 16:14:33 )

田中先生、ありがとうございます。

メール送受信のログには、「aaa.bbb.co.jp」は見かけません。
相手のサーバーとこちらのサーバーとの間で 無限ループ的な処理がでも
発生してしまったのでしょうか?

私の受けているようなアクセス自体は、マシンや 処理に対して何ら悪影響が無いのか
心配です。

今井真人 さんからのコメント
( Thursday, March 08, 2001 17:45:46 )

>Server Consoleに下記のようなログが秒あたり2つぐらいでず〜〜と(過去数ヶ月)

>***.***.***.*** SMTP connection opend
>***.***.***.*** SMTP connection closed
>***.***.***.*** ESMTP connection from aaa.bbb.co.jp

まずは相手側メールサーバ管理者に問いあわせしてみてはどうでしょうか?

やまかわ さんからのコメント
( Thursday, March 08, 2001 20:35:19 )

今井さま ありがとうございます。

メジャーなサイトのアドレスなので 明日にでも早速問い合わせてみます。

今井真人 さんからのコメント
( Thursday, March 08, 2001 21:17:16 )

> ***.***.***.*** ESMTP connection from aaa.bbb.co.jp

IPアドレスから逆引して、サーバをちゃんと特定できていますか?
違う名前を名乗っているかも知れません。メジャーなサイトなら
特にそうです。

今井真人 さんからのコメント
( Thursday, March 08, 2001 21:20:18 )

日本国内のサーバを調べるのは、ここです。

→  JPNIC Whois Gateway

やまかわ さんからのコメント
( Friday, March 09, 2001 10:08:59 )

JPNICにて 調べてみました。 相手の会社名と連絡先メールアドレスが判明しましたので
まずは、こちらの状態をお伝えして 何らかの手違いがあるのか問い合わせてみます。

やまかわ さんからのコメント
( Wednesday, March 14, 2001 20:12:47 )

先方から回答が届きました。 メールマガジンなどを配信しているようです。

-------------------------------------------------------
御迷惑をおかけしております。 原因は不明ですが, 同じことは
過去一度発生しております. このとき
  1. 相手が Mac Eudraメールサーバ であり,
  2. かつ, rcpt to (今回は aaa@xxxx.co.jp様) のユーザの
     メールボックスがフルのとき
に発生するようです。 当方の smtpサーバは Microsoft SMTPサービス
です。前回解決の対策は, メールボックスを拡張する事でした。
御社側で早急に aaa@xxxx.co.jp 様の mailbox を使用可能な状態に
されることをお願いいたします。 
-------------------------------------------------------

なるほどです。 どうやらメールユーザーが「サーバーにメールを残す」設定にしていた
ため容量制限で新規のメール受信を拒否して相手のメールサーバーと繰り返し交信をして
いたようです。 容量制限を倍にしてみたら 正常になりました。

今井真人 さんからのコメント
( Wednesday, March 14, 2001 20:24:02 )

ユーザの記憶容量制限にかかった場合は、エラーログに記録が残るはずです。
見落としてはいけないログでしたね。

やまかわ さんからのコメント
( Thursday, March 15, 2001 00:29:35 )

どもです。

いま、エラーログ(EIMS1.3.1)を見てみたのですが 「容量」に関するエラーを
吐き出していないようです。 

SMTP incoming connection timed out to ***.***.***.***

以前、やはり容量をオーバーして使えないユーザーに、メールサーバーが
英文で「容量をオーバーしているので受け取れない」様な内容を送っていた
ようでしたが・・・。

システムフォルダ内にある 「Mail folder」にアカウントごとのファイルがありますが
これの容量をみることで判断材料にはなりそうです。

fuku さんからのコメント
( Thursday, March 15, 2001 01:32:40 )

いつも参考にさせていただいております。
以前 "たまちゃん"(失礼!!) がお答えになりました、
Rumplestiltskin Attacks  とはどんな仕組みなんでしょうか。

この1週間、同じような状態にあっています。
発信元がランダムなIP、アカウントも同様のメールで防ぎようが
ありません。

たまちゃん さんからのコメント
( Thursday, March 15, 2001 06:39:05 )

>Rumplestiltskin Attacks  とはどんな仕組みなんでしょうか。

Dictionary Attack といわれる古典的な攻撃の変種です。この攻撃
により有効なアドレスを得て,SPAM メールを送り付けてきたりしま
すが,攻撃そのものによって攻撃を受けたサーバが機能不全状態に
陥ることもあるという厄介なものです。

→  Rumplestiltskin Attacks

今井真人 さんからのコメント
( Thursday, March 15, 2001 07:39:34 )

>エラーログ(EIMS1.3.1)を見てみたのですが 「容量」に関するエラーを
>吐き出していないようです。 

管理上問題がありますね。EIMS 2以降にアップグレードするほうがよろし
いのでは?

今井真人 さんからのコメント
( Thursday, March 15, 2001 07:46:52 )

私はエラーログを複製して、私へメールするような作業をメールサーバに
行わせています。EIMSのエラーログは、実機に出向かないとわからないの
で、このようなサーバ運営上の細工が必要になります。

使うアプリケーションはUVJ Mailerと自作ErrorLog複製AppleScript
で大丈夫です。

やまかわ さんからのコメント
( Thursday, March 15, 2001 11:39:27 )

メールサーバーをLinuxのqmailにしようかと検討していますが ログの扱いが
どうなっているのかも詳しく調べてからにします。

エラーログがメールで届くっていうのは、魅力あるな〜〜 (●^o^●)