このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

EIMS1.3.1で侵入されました

発言者:matuya
( Date Monday, February 23, 2004 17:37:21 )


いつもROMにてお世話になっております。
Bフレッツニューファミリー回線IP8個、68KマックでQuickDNS2.2.1とメール、
青白G3マックでwebサーバを運営しております。
さて、メールサーバにEIMS1.3.1を使用していたのですが、これを外部から
不正に使用されてしまい、AIMSに乗り換えました。
EIMS1.3.1にはSPAM対策に問題があるとの書き込みを見て注意はしていたのですが。
見事にやられてしまいました。幸い、ログを見ている時だったので、20通ほどのメールが
外に出されたところで止められたのですが。
ログは以下のような状態です。
Fri, 13 Feb 2004 01:45:08 +0900 220.86.126.*** SMTP connection opened
Fri, 13 Feb 2004 01:45:09 +0900 220.86.126.*** ESMTP connection from dns.xxxxx.co.jp (220.86.126.***)
Fri, 13 Feb 2004 01:45:21 +0900 220.86.126.*** Receiving message
Fri, 13 Feb 2004 01:45:30 +0900 220.86.126.*** Message received OK (57065 bytes)
Moving message from xxx@xxxxx.co.jp to zzzzzz@hanmail.net
以下、100通ほど連続します。
このうち20通ほどは間に合わなくて送信してしまいました。
残りはWAN側コードを引き抜いたので外には出ていません。

220.86.126.***は、勿論、うちとは無関係です。
dns.xxxxx.co.jpは、うちのドメインネームです。
xxx@xxxxx.co.jpは実在のアカウントです。

直ちにxxx@xxxxx.co.jpのパスワードを変更したのですが、同様に入って来てしまいます。
現在はAIMS1.8に換えて侵入されることは止まっております。
もっとはやくAIMSに変更すれば良かったのですが、どうも使いにくいので、
簡単なEIMSを使ってしまっておりました。勿論、リレーはしないように、
たまちゃんさんのページを参考に設定しておりました。
ところが、上記のような状態となってしまったのです。
で、質問なのですが、これはEIMS1.3.1に問題があったのかどうかと言うことです。
上記のログから分かりますでしょうか?
EIMS1.3.1は簡単で使いやすくて、大いに気に入っていたので、とても残念です。
これで5年ほど運用していたのですが、もう使えないってことですよねぇ。

matuya さんからのコメント
( Monday, February 23, 2004 18:40:15 )

追加で伺いたいのですが、
AIMSのSMTP設定で、ブラックリスト登録が出来ます。
上記の220.86.126.***を書き込みましたが、その後、下3桁が違うIPでも、
怪しいと思われるアクセスがあります。AIMSはリジェクトしていますが、
ブラックリストに、
220.86.126.1-220.86.126.255
と言うふうに、範囲指定しての拒否も出来るのでしょうか?

たまちゃん さんからのコメント
( Monday, February 23, 2004 18:45:58 )

AIMS は SIMS のことですね?

> これはEIMS1.3.1に問題があったのかどうかと言うことです。

そうです。

> ブラックリストに、
> 220.86.126.1-220.86.126.255
> と言うふうに、範囲指定しての拒否も出来るのでしょうか?

できます。

matuya さんからのコメント
( Monday, February 23, 2004 19:24:39 )

>AIMS は SIMS のことですね?

ああ、すいません。
そうです。SIMS1.8を使うように致しました。

EIMS1.3.1に問題が有ったとのことですが、
これを避けることはフリー版EIMSでは不可能と言うことでしょうか?
ルーターの設定などで逃げることは出来ないと言うことでしょうか。
有料のEIMSにしようかと考えたことも有るのですが、パッケージになって
店頭に並んでいないと、どうも買いにくくて。
ヘンだと言われると思いますけど。

> ブラックリストに
>できます。

お答え、ありがとうございます。
SIMSのspam対策に書いてありましたね。どうも英語ページが苦手で。
実は、ここのspamtrapと言うのが、さっぱり分からないのです。
router設定にaaa=spamtrapなどと記述しろと言うことなのかなぁ?
もう少し、英語ページを一生懸命に読んでみます。

それから、ログにエラーコードとして数字が出てくるのですが、
それの説明はどこに記述されているのでしょうか?
Error code=3155 reason=54 などと記述されるのですが、その番号の
説明を探しております。SIMSのホームページには見あたらないようなのですが。

たまちゃん さんからのコメント
( Monday, February 23, 2004 19:58:12 )

> これを避けることはフリー版EIMSでは不可能と言うことでしょうか?

そうです。

> ルーターの設定などで逃げることは出来ないと言うことでしょうか。

はい。できません。

> 有料のEIMSにしようかと考えたことも有るのですが、パッケージになって
> 店頭に並んでいないと、どうも買いにくくて。

日本でも入手は可能ですが,製品版でも設定をきちんとしていない
と同じ目に遭います(SMTP認証を使ったジャンクメールの送信が横
行しています)。

> それから、ログにエラーコードとして数字が出てくるのですが、
> それの説明はどこに記述されているのでしょうか?

http://www.stalker.com/support/errorcodes.html

などはどうでしょう。

それと SIMS は最新版(1.8b9d14)を使うようにしてください。

http://www.stalker.com/pub/

matuya さんからのコメント
( Tuesday, February 24, 2004 00:31:08 )

親切なお答え、ありがとうございます。
既にSIMSは運用しているのですが(会社なのでメールサーバを止められません)
SIMSのホームページを少しずつ和訳しなら読んでおります。
緊急にSIMSに移行したので、まともに読んでいない状態です。
最低限の設定は出来ているとは思うのですが。
1.8b9までは確認しましたので、一応最新版だと思いますが、明日確認してみます。

進入されてビックリしたのは、パスワードが破られていないのに、ユーザーに
なりすますことが可能と言うことです。
SIMSだとユーザーのIPアドレスを指定出来るので、成りすますことが出来ない、
だからEIMS1.3.1より安全だと理解すれば良いのでしょうか。
外部からもSMTPを使う必要があるので、Pop before SMTPも使えるように
致しましたが、これは危険でしょうか?
でも、これを有効にしないと、外でメール送信が出来ませんよねぇ。
また、家でログを監視するためにHTTPも使えるようにしました。
閉じた方が安全でしょうか?
この2週間、ちょっと神経質になっております。

たまちゃん さんからのコメント
( Tuesday, February 24, 2004 12:28:49 )

>SIMSだとユーザーのIPアドレスを指定出来るので、成りすますことが出来ない、
>だからEIMS1.3.1より安全だと理解すれば良いのでしょうか。

はい。そうです。

>外部からもSMTPを使う必要があるので、Pop before SMTPも使えるように
>致しましたが、これは危険でしょうか?
>でも、これを有効にしないと、外でメール送信が出来ませんよねぇ。

1.接続している外側のサーバを使って送信する。
2.1がダメならSMTP認証を使って SIMS に接続する。
3.2もダメなら POP before SMTP を使う。ただしクライアント
  として認定する時間を極力短くする。

の順番で考えればどうかと思います。SMTP 認証も postmaster や
abuse アカウントが悪用されますので,これら2つは受信専用に
しておくのがよいです。

>また、家でログを監視するためにHTTPも使えるようにしました。
>閉じた方が安全でしょうか?

それはそうです。もちろんアクセス制限をかけると多少はましにな
ると思います。ログだけをみたいのであれば定期的にメールで送信
するなどのことも可能です。

matuya さんからのコメント
( Tuesday, February 24, 2004 16:08:59 )

色々とありがとうございます。
一段落しましたら、研究したいと思います。

>ログだけをみたいのであれば定期的にメールで送信

これはSIMSの設定だけで出来るのでしょうか?
そのような設定は無かったような気がします。アップルスクリプトなどで
実現すると言うことでしょうか?

自宅からアクセスしているのは、未だに不正アクセスのログが有るので、
(パスワードを試したり、SMTPを使おうとしています)チェックしています。
これが無くなれば、HTTPも閉じることにはしているのですが、
ログだけメールで届くのは今後も便利だと思います。
もしも簡単なことなら、やり方をお教え願いますでしょうか?

たまちゃん さんからのコメント
( Tuesday, February 24, 2004 18:51:36 )

> そのような設定は無かったような気がします。

ないです。田中さん作のいろいろなツールをいい機会ですから
調べてみてください。

matuya さんからのコメント
( Wednesday, February 25, 2004 10:51:46 )

あぁ、やはり無いですか。
今はちょっと時間が無いので、落ち着いたら考えてみます。
不正アクセスは続いておりますが、侵入は止まっておりますので、
HTTPも閉じることにしました。
色々とお答え頂き、誠にありがとうございました。

郷古 さんからのコメント
( Wednesday, February 25, 2004 14:20:00 )

もし、ルータを使っているならば、ルータによっては、smtpのアクセスを
rejectすることができるような気がするのですが。

ルータのファイアーウォール設定で、smtpをIPアドレスで拒否するような
機能があるルータの場合ですが。

matuya さんからのコメント
( Wednesday, February 25, 2004 17:34:38 )

>smtpをIPアドレスで拒否するような

私も最初、そのように思ったのですが、それだと侵入されてからじゃないと、
IPアドレスを指定出来ませんよね?他のメールサーバからのメールを受け取る
ために、SMTPは通さないといけない。悪意のあるIPアドレスの範囲指定が
出来ないと思います。侵入して来た220.86.126.***は拒否することが
出来ると思いますが、それ以外で来ることもあるので。
上のIPはうちの会社と関係ない国なので、メールを受け取る可能性が無いので
範囲指定してしまいました。
今回は、たまたま仕事中でログを見ていた時だったので、迷惑メールを20通
ほどでくい止めることが出来ましたけど、違う時間だったら何千通も
出されてしまったと思います。かなり背筋が涼しい状態でした。
もし、まだEIMS1.3.1をお使いの方がいらっしゃるなら、危ないから
SIMSなどに変更した方が良いと思います。
私は専門職では無いので、必ずしも安全な運用をしているとも思ってないのですが、
ルータなど、それなりの神経は使ってましたのでビックリしてしまって。

今、ちょっと考え込んでいるのは、SMTP認証とPOP before SMTPのどちらが
安全か?と言うことです。うちの場合、外部からメールを使うと言っても、
それぞれの自宅からです。ネットカフェなどでの使用はありません。
ですから、POP before SMTPでも良い感じがするのですけど。30秒程度なら
問題無いですよね?

たまちゃん さんからのコメント
( Wednesday, February 25, 2004 20:08:16 )

> ですから、POP before SMTPでも良い感じがするのですけど。30秒程度なら
> 問題無いですよね?

問題ないはずの設定で問題が起こりました。問題がないかと聞かれれば
「ない訳は無い」としか言えません。

SMTP認証が使えない環境が広範にあるのでしょうか(ルータでわざわざ
拡張SMTPをデフォルトで無効にする製品がありますが,そういう場合を
除いて)。

ただしSMTP認証を用いた「から」安心だという訳ではありません。上に
述べたような配慮は最低限必要です。

matuya さんからのコメント
( Wednesday, February 25, 2004 22:00:35 )

>「ない訳は無い」としか言えません。

確かに。

>使えない環境が広範にあるのでしょうか

そうですね。最近のメールクライアントソフトなら、どれでも対応してます
からね。SMTP認証だけにする場合は、時間のポップアップをneverにすれば
良いだけですよね?
一応、全員に通知して、やり方が分かるように、説明のページを作らないと
いけないなぁ。POP before SMTPだと、メールを送る前に受信して30秒以内に
送信するように、とか指示するだけで良いので。
プロバイダのページなどに、SMTP認証の方法が書いてあるところが有るので、
それをちょっと拝借しようかなぁ。

たまちゃん さんからのコメント
( Wednesday, February 25, 2004 22:44:52 )

> SMTP認証だけにする場合は、時間のポップアップをneverにすれば
> 良いだけですよね?

それプラス Advertise AUTH Capability にもチェックが必要だと思います。

たまちゃん さんからのコメント
( Saturday, February 28, 2004 18:03:46 )

> 30秒程度なら問題無いですよね?

独逸の某社の実話ですが,そこではいままで社員が自宅などからメールを送る
ことができるように POP before SMTP も認めていました。

ところがある日猛烈な勢いでウイルスメールをばらまこうとしているのが分か
り,調べたところ社員が自宅から感染したパソコンで接続していることが判明。
それ以降 SMTP 認証のみ認めるようになりました。

幸いサーバ側でウイルスチェックができていたので外側にばらまかなくてすん
だようですが,もしできていなかったら30秒というのはとてつもなく長い時
間になります。

あれこれ考えると POP before SMTP は見かけ上の便利さはともかく,使わない
方がよいですね。

matuya さんからのコメント
( Wednesday, March 03, 2004 17:06:46 )

やっと全員、SMTP認証の設定を使えるようになりました。
と言うことで、Pop Before SMTPを使えないようにサーバを変更しました。
侵入して来たIPアドレスから、今もsmtpアクセスがありますが、rejectに
なってますので、やっと落ち着きました。
ログを見るのにHTTPを開けていたんですが、これも閉じました。
ログを定期的に送信する件、これから考えてみようと思います。
色々とありがとうございました。

ifook さんからのコメント
( Sunday, March 07, 2004 01:24:20 )

いつも拝見しております。
相乗りで申し訳ありませんが私も今、SIMS (1.8b9d14)で運用試験をしています。
POP before SMTPを有効にした場合、一度受信に成功すればClient Hosts...で指定した
以外のパソコンからでもメール送信が可能になりますが、POP before SMTPを無効にして、
SMTP認証を行う為にAdvertise AUTH Capabilityをチェックした場合は、Client Hosts...
で指定した以外のIPからの送信は可能なのでしょうか? 
メールソフトが対応(Outlook express Win & becky)していないのか、メール送信が
行えませんでした。
しかし、Client Hosts...に何も指定せず、Advertise AUTH Capabilityをチェックした場合、
送信時にユーザーとパスワードの確認が来て入力したら送信は出来ました。
でも、メールソフト側でSMTP認証しないように設定した場合でもメールの送信ができました。
Client Hosts...とAdvertise AUTH Capabilityはどちらが優先されるのでしょうか?
また、
>SMTP 認証も postmaster やabuse アカウントが悪用されますので,
>これら2つは受信専用にしておくのがよいです。
とありましたが、どのように設定すれば良いのでしょうか?
よろしくお願いします。

たまちゃん さんからのコメント
( Sunday, March 07, 2004 09:03:35 )

>POP before SMTPを無効にして、
>SMTP認証を行う為にAdvertise AUTH Capabilityをチェックした場合は、Client Hosts...
>で指定した以外のIPからの送信は可能なのでしょうか?

はいそうです。

>Client Hosts...とAdvertise AUTH Capabilityはどちらが優先されるのでしょうか?

後者です。SIMS の現在のバージョンで Client Hosts で定義されたクライアント
が SMTP認証を使ってメールを送信したときのログなどを確認してみてください。

>>SMTP 認証も postmaster やabuse アカウントが悪用されますので,
>>これら2つは受信専用にしておくのがよいです。
>とありましたが、どのように設定すれば良いのでしょうか?
>よろしくお願いします。

Account Enabled へチェックを入れて,Login Enabled のチェックを外すとでき
ると思います。Login Enabled のチェックを外すとメールの読み取りができません
ので,例えば管理者のアカウントへ転送するようにしておけばよいと思います。

ifook さんからのコメント
( Sunday, March 07, 2004 23:23:51 )

たまちゃんさん、ありがとうございます。

>>SMTP認証を行う為にAdvertise AUTH Capabilityをチェックした場合は、Client Hosts...
>>で指定した以外のIPからの送信は可能なのでしょうか?
>はいそうです。
>後者です。SIMS の現在のバージョンで Client Hosts で定義されたクライアント
>が SMTP認証を使ってメールを送信したときのログなどを確認してみてください。

そうですよね。プロキシやファイアウオールが間にあるからでしょうかね、
もう一度、設定&動作を確認してみます。