このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

SIMSの不正中継

発言者:みなみじま
( Date Thursday, August 05, 2004 23:46:25 )


ここ1週間ほどメールの不正中継に悩まされています。

私はPowerMac6100, MacOS8.6, SIMS 1.8b9d14でインターネットメールサーバ
(同じパソコンでQuickDNS ProとAutoShareも使用)を立ち上げていますが、
メールの不正中継をされているのに気付き、
(SIMSを使い始めて3年半位経ちますが、初めての大きなトラブルです)
現在はルータでメールを受け取らない様、フィルタをかけています。

SIMSの設定は、SMTP settingsの画面で
 Anti-Spam Optionsの、Relay for Clients Onlyをチェックして、
 ClientsのIPアドレスを登録してあります。
 Verify Return Pathsもチェックしてあります。
 Use Blacklist DNS Server(s)はチェックしていませんでしたが、
 チェックして、bl.spamcop.netを登録しても不正中継は終了しません
 でした。


そこで肝心のログですが、下記のような2行で表されると思います。
(このようなパターンが何回も発生)

22:07:59 3 SMTP-001(hurdle) Failed to verify.
      Real address is [211.158.AAA.BBB:1853]

22:08:06 2 SMTP-001([211.158.AAA.BBB]) {S.0000078619} received,
      1093 bytes


よくわからないのですが、推測してみました。

 ログの1行目:
  相手が当方のサーバへ不正中継メールを送ろうとするが、
  上記のVerify Return Pathsの設定により、
  エラーが発生(Failed to verify.)。

 ログの2行目:
  エラーが発生しても、すぐに相手がメールを当方に送ると、
  受信(received,)できてしまう!!

ここ何ヶ月かは、メールサーバの設定を変更していませんでした。
SIMSのバグでしょうか? よろしくご教示ください。


みなみじま(自己レスです) さんからのコメント
( Friday, August 06, 2004 10:14:24 )

追加のテストをしました。

Verify Return Pathsのチェックを外してテストしましたが、
結果に変わりはなく、やはり不正中継をしてしまいました。


前の発言のログ1行目にある、「Failed to verify.」は
そもそもVerify Return Pathsのチェックとは無関係でしょうか?

たまちゃん さんからのコメント
( Friday, August 06, 2004 22:17:33 )

>22:08:06 2 SMTP-001([211.158.AAA.BBB]) {S.0000078619} received,
      1093 bytes

この後のログはどうなっていますか。そこが一番
大事です。

みなみじま さんからのコメント
( Saturday, August 07, 2004 01:27:59 )

御質問ありがとうございます。


>この後のログはどうなっていますか。そこが一番
大事です。

ごめんなさい。
下のログの様に(実際はまだまだ続きます)、
同じIPアドレスの相手からメールをreceiveして、
いろんな宛先へsendしています。
なお、ドメイン名はXXXXXXと、伏せ字にしました。


22:07:59 3 SMTP-001(hurdle) Failed to verify. Real address is [211.158.AAA.BBB:1853]
22:08:06 2 SMTP-001([211.158.AAA.BBB]) {S.0000078619} received, 1093 bytes
22:08:06 2 SYSTEM [S.0000078619] S.0000078619 1+0 From:tastersscraggly@XXXXXX.net
22:08:07 2 SMTP-001([211.158.AAA.BBB]) {S.0000078620} received, 1001 bytes
22:08:07 2 SYSTEM [S.0000078620] S.0000078620 1+0 From:scrawlstangy@XXXXXX.com
22:08:08 2 SMTP-001([211.158.AAA.BBB]) {S.0000078621} received, 1061 bytes
22:08:09 2 SYSTEM [S.0000078621] S.0000078621 1+0 From:bermudahydraulic@XXXXXX.com
22:08:11 1 SYSTEM(SMTP) [S.0000078620] failed on (XXXXXX.com)denita. Error Code=-15004
22:08:11 2 SMTP-001([211.158.AAA.BBB]) {S.0000078622} received, 1037 bytes
22:08:11 2 SMTP-004(XXXXXX.com) [S.0000078621] sent, 952 bytes
22:08:11 2 SYSTEM [S.0000078623] <AUTOS.0000078620-78623@mail.XXXXXX.net> 1+0 From:NULL@NULL
22:08:11 2 SYSTEM [S.0000078622] S.0000078622 1+0 From:poutexhortation@XXXXXX.net
22:08:11 2 SYSTEM(SMTP) [S.0000078621] sent to (XXXXXX.com)denital
22:08:12 2 SYSTEM [S.0000078621] deleted
22:08:13 2 SMTP-001([211.158.AAA.BBB]) {S.0000078655} received, 1097 bytes
22:08:13 2 SYSTEM [S.0000078655] S.0000078655 1+0 From:scenariobottommost@XXXXXX.net
22:08:14 2 SMTP-001([211.158.AAA.BBB]) {S.0000078656} received, 1021 bytes
22:08:14 2 SYSTEM [S.0000078656] S.0000078656 1+0 From:costingscarf@XXXXXX.com
22:08:15 2 SMTP-007(XXXXXX.com) [S.0000078655] sent, 984 bytes
22:08:15 2 SYSTEM(SMTP) [S.0000078655] sent to (XXXXXX.com)daneva
22:08:15 2 SYSTEM [S.0000078655] deleted
22:08:15 2 SMTP-006(XXXXXX.com) [S.0000078622] sent, 927 bytes
22:08:15 2 SYSTEM(SMTP) [S.0000078622] sent to (XXXXXX.com)denith77
22:08:15 2 SYSTEM [S.0000078622] deleted

なお、上記のログの
22:08:11 2 SYSTEM [S.0000078623] <AUTOS.0000078620-78623@mail.XXXXXX.net> 1+0 From:NULL@NULL
の、mail.xxxxxx.netは、当方のメールサーバを指します。

どうぞ、よろしくお願いいたします。

たまちゃん さんからのコメント
( Saturday, August 07, 2004 09:51:51 )

relayed という文字が1つもありませんので,不正中継にはいっさい
用いられなかったことが分かります。

いわゆるジャンクメールを大量に送りつけられてきているようです。

Verify Return Path の項目についてはマニュアルの

Verifying Return-Path Addresses

を参照してください。SIMS がきっちりと仕事をしてくれたことが
分かります。

みなみじま さんからのコメント
( Saturday, August 07, 2004 11:58:30 )

お忙しい中、ご回答ありがとうございます。

>いわゆるジャンクメールを大量に送りつけられてきているようです。

たしかにジャンクメールですが、
メールの宛先は(To: XXXXXXXXXXX)、当方のメールサーバとは関係ありません。

下記に、メールサーバのQueueフォルダの中にあった、
ひとつのメールのheader部分を示します。
ドメイン名は、xxxxxxと伏せ字にしました。

P I 04-08-2004 18:26:12 0000 xxxxxx.net adjutantsatisfying
O T
R E 04-08-2004 18:58:00 0000 xxxxxx.com chad57

Received: from [211.158.AAA.BBB] (HELO explainers)
  by mail.xxxxxx.net (Stalker SMTP Server 1.8b9d14)
  with ESMTP id S.0000082098 for <chad57@xxxxxx.com>; Thu, 05 Aug 2004 03:26:12 +0900
From: "Marcial Conner"<adjutantsatisfying@xxxxxx.net>
To: chad57@xxxxxx.com
Subject: MAX|MUM EXP00SURE

なお、上記の by mail.xxxxxx.net (Stalker SMTP Server 1.8b9d14)
の、mail.xxxxxx.netは、当方のメールサーバです。



私は、当方のメールサーバに関係ないメールは、
拒否するつもりでSIMSの設定をしていたつもりですが、
設定がまずくて、ジャンクメールを受信し、それを発信してしまっていた、
ということでしょうか?

たまちゃん さんからのコメント
( Saturday, August 07, 2004 14:13:02 )

>メールの宛先は(To: XXXXXXXXXXX)、当方のメールサーバとは関係ありません。

いわゆる辞書攻撃的なもので手当たりかまわずあらゆるアドレスに
メールを送りつけてきます。1000通に1通受け取ってもらえば
いいと思っていたり,User Unknown を返してくるサーバからは有
効なアドレスを拾ったりと向こう側の意図は様々です。

>設定がまずくて、ジャンクメールを受信し、それを発信してしまっていた、
>ということでしょうか?

受信はしているかもしれませんが,発信はしておりません。

一度 211.158.AAA.BBB とご自身の mail.xxxxxx.net を

http://openrbl.org/

の DNSBL (デフォルト)でチェックして出てきた結果をご報告ください。

みなみじま さんからのコメント
( Saturday, August 07, 2004 15:14:13 )

>受信はしているかもしれませんが,発信はしておりません。

いまいち納得いかないのですが、ログの中の、
たとえば下記の行で sent toとあります。これは、発信したという意味だと
理解していました。

22:08:11 2 SYSTEM(SMTP) [S.0000078621] sent to (XXXXXX.com)denital



> DNSBL (デフォルト)でチェックして出てきた結果をご報告ください。

211.158.AAA.BBBは、
Results: Positive=8, Negative=22 (2004-08-07 05:56:15 UTC) 

当方の mail.xxxxxx.net は、
Results: Positive=3, Negative=27 (2004-08-07 05:48:24 UTC) 
でした。

以上、よろしくお願いいたします。

たまちゃん さんからのコメント
( Saturday, August 07, 2004 15:49:57 )

XXXXXX.com と XXXXXX.net はみなみじまさんの管理するドメインで
すか?

それと Results: Positive=3 の3つ(bl.spamcop.net など)を列挙
してもらえますか。

たまちゃん さんからのコメント
( Saturday, August 07, 2004 16:11:19 )

もう1つ。mail.xxxxxx.net 側で unknown user に来たメールは
バウンスする設定にしていますか?

鎌田 さんからのコメント
( Saturday, August 07, 2004 17:00:10 )

211.158.AAA.BBB
このIPアドレスはみなみじまさんの運用しているメールサーバのユーザーであり、
POP before SMTPによりメールを受け付けている可能性があります、

これは考えられませんか?

みなみじま さんからのコメント
( Saturday, August 07, 2004 17:37:06 )

いろんなアドバイスをいただき、ありがとうございます。

>XXXXXX.com と XXXXXX.net はみなみじまさんの管理するドメインで
すか?

いいえ。違います。
当方のドメインは、mail.XXXXXX.netの場合だけです。
(先頭にmail.が付く場合だけです。)


>それと Results: Positive=3 の3つ(bl.spamcop.net など)を列挙
してもらえますか。

@COUNTRY/country
PSBL/surriel.com
BLARS/block.blars.org
の、3つです。


>mail.xxxxxx.net 側で unknown user に来たメールは
バウンスする設定にしていますか?

えーと、bounceのメールアカウントは作成してありますが
unknown userに関する設定をどこでしたのでしょうか?


>211.158.AAA.BBB
このIPアドレスは、私とは無関係です。
私のメールサーバのユーザは、当方のLAN内だけで、
インターネットを介してのユーザはいません。



==========================
それから、私の設定ミスと思われるところを見つけました。
ごめんなさい。 これが原因かも? 

SIMSのSMTP Settings−>Anti-Spam Options−>Client Hostsで、
Client Host Addressesを、グローバルIPアドレスでなく、
プライベートIPアドレスで設定していました。
(ルータでNATを使用してプライベートIPアドレスに変換していたため。
メールサーバー:LAN内からは192.168.0.12、外部からは61.199.AAA.BBBの環境)

Client Host Addressesは、192.168.0.100-192.168.0.199のような
設定だったのですが、SIMSがこれ以外のIPアドレスを排除するならば、
通常のグローバルも問題なく含まれるとは思うのですが?

現在は、グローバルIPアドレスに変更して、ルータのフィルタも解除し
外部からのメールを受信できる状態にして様子を見ています。

次回、お返事できるのは、明日の朝になると思います。
==========================

たまちゃん さんからのコメント
( Saturday, August 07, 2004 18:00:04 )

だいたい事態は了解できました。ひょっとしたら本当に中継されて
しまったかもしれません。

クライアントのアドレスを定義しても POP before SMTP を許可して
いたり,SMTP認証が可能になっていたりすると,いったん認証に成
功されてしまうと正規のクライアントになってしまいます。認証に
成功したかどうかは過去のログを詳細に眺めないとなんともいえませ
ん。

同じアドレスから繰り返し接続してくるときはそのアドレスのみ受信
拒否すればよいですが,違うアドレスから接続してくる場合は,念の
ためすべてのアカウントのパスワードを変更することと,POP before
SMTPを(可能であれば)無効にすることなどが,とりあえずできる
ことでしょうか。

あとはこまめにログを眺めて,どのようなところからメールを送信し
てくるかを把握し,dnsbl などで受信そのものを防ぐという方法が
少しは有効かと思います。

鎌田 さんからのコメント
( Saturday, August 07, 2004 21:47:47 )

私もSIMSを使っていますが、
私の場合SMTPのLOGを「Low Level」で取得しているのでこれまで公開されたLOGだと
ずいぶん省略されたように見えてちょっと違和感があります、

POP before SMTPの影響か否かを見るにはさらにPOPのLOGも
「Low Level」で取得しないと分かりませんね、

問題点が発見されるまでLOGの取得レベルをPOP/SMTP共にLow Levelにしておき
LOGを確認したほうが良いと思います。

みなみじま さんからのコメント
( Sunday, August 08, 2004 09:45:19 )

SIMSのSMTP Settings−>Anti-Spam Options−>Client Hostsで、
Client Host Addressesを、グローバルIPアドレスでなく、
プライベートIPアドレスで設定していました。

上記の問題点をグローバルIPアドレスに修正して、半日が経過しましたが、
現在のところ順調です。
ただし、たんに相手が不正中継のメールを送ってこないだけで、
不正中継が直っているのかどうかわからない状態です。


>あとはこまめにログを眺めて,どのようなところからメールを送信し
てくるかを把握し,dnsbl などで受信そのものを防ぐという方法が
少しは有効かと思います。

>問題点が発見されるまでLOGの取得レベルをPOP/SMTP共にLow Levelにしておき
LOGを確認したほうが良いと思います。

たしかに、SIMSのログのレベルはProblemsでした。
Low Levelに直します。


いろいろと有用な情報をいただき、本当にありがとうございました。