[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[postfix-jp: 3689] Re: 不正利用者の特定について
- Subject: [postfix-jp: 3689] Re: 不正利用者の特定について
- From: Mitsuru Ogino <ogino@xxxxxxxxxx>
- Date: Wed, 23 Dec 2009 16:22:14 +0900
荻野です。
"空野" said the following on 09/12/23 14:05:
> つい先日、ある企業のブラックリストに登録されていたため
> キューをみると1700件ほどのメールがたまっていたため
> 強制削除しました。
> 登録ユーザ以外の送信を制限しているはずなのですが
> 正規のユーザか不正ユーザーか特定ができませんが
> スパムメールの中継サーバになってしまっているようです。
気になるのですが、外部からのメールを中継 (Open Relay) をしていないかどう
かは確認されましたでしょうか。検索してみると
http://www.rbl.jp/svcheck.php
などいくつもチェックツールが公開されているようです。
> そこで、接続しているユーザを特定することは可能でしょうか?
> /var/log/maillog のログは一通り確認したのですが
> 闇雲にたどっているだけではどこからの接続かは
> 判別できませんでした。
キューから削除ということは postsuper -d Queue_ID としたということでしょ
うか。「一通り確認した」のであれば外しているかもしれませんが、その Queue
ID が分かるのであれば、それで grep してみてはどうでしょうか。
> Dec 23 14:06:14 black postfix/smtpd[5963]: 115B960F7EDC: client=lists.sourceforge.jp[202.221.179.24]
> Dec 23 14:06:14 black postfix/cleanup[5974]: 115B960F7EDC: message-id=<12615447558360000042c@xxxxxxxxxxxxxxxxxxx>
> Dec 23 14:06:14 black postfix/qmgr[15290]: 115B960F7EDC: from=<postfix-jp-list-bounces@xxxxxxxxxxxxxxxxxxxx>, size=4129, nrcpt=1 (queue active)
> Dec 23 14:06:14 black postfix/local[5975]: 115B960F7EDC: to=<ogino@xxxxxxxxxx>, relay=local, delay=2.7, delays=2.6/0.01/0/0, dsn=2.0.0, status=sent (d
> elivered to maildir)
> Dec 23 14:06:14 black postfix/qmgr[15290]: 115B960F7EDC: removed
こんな感じになるかと思いますので、client= をみれば発信元の IP アドレスが
分かります。「接続しているユーザ」ではありませんが。ウイルスに感染してい
る場合もありますし、ユーザが意識してやっているとは限らないかと。
grep して Queue ID を得て、それで再度 grep というのは頻繁に使うので手元
ではスクリプトを組んでいます。
--
荻野 充 (おぎの みつる) ... 「萩(はぎ)」にあらず
Key fingerprint = 7F26 5414 1805 F31B 1617 10B7 C117 07AE 1691 9BD1
_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list
- Follow-Ups
-
- [postfix-jp: 3690] Re:不正利用者の特定について, "空野"
- References
-
- [postfix-jp: 3688] 不正利用者の特定について, "空野"
[検索ページ]
[Postfix-JP ML Home]