No.331 メールサーバ（Postfix）に、大量の中継メールが届くのですが・・・

メールサーバ（Postfix）に、大量の中継メールが届くのですが・・・ - ゼブラ 03/20-17:16 No.331

特定のドメインからのアクセス拒否の方法 - kensuke@管理人 03/20-19:03 No.332

Re: 特定のドメインからのアクセス拒否の方法 - ゼブラ 03/20-20:04 No.333

Re^2: 特定のドメインからのアクセス拒否の方法 - ゼブラ 03/21-08:52 No.336

Re^3: 特定のドメインからのアクセス拒否の方法 - ゼブラ 04/05-22:07 No.387

タイトル： メールサーバ（Postfix）に、大量の中継メールが届くのですが・・・
記事No： 331
投稿日： 2003/03/20(Thu) 17:16
投稿者： ゼブラ URL： http://woodelf.org

ゼブラと申します。

Postfixでメールサーバを運用し始めて、１ヶ月くらいです。過去に運用の経験はありません。

こちらのサイトのメール不正中継の拒否（ http://www.miloweb.net/mail.html#2 ）の通りにして、メール不正中継拒否のテスト（ http://www.miloweb.net/mail.html#3 ）の17のテストで「 All tests performed, no relays accepted. 」が出ました。送受信テスト（ http://www.miloweb.net/mail.html#5 ）も、一通りうまくいきました。ありがとうございます。

しばらくは静かな状態だったのですが、ここ数日断続的に大量のメールを中継するようになって驚いています。3/16のログ（maillog）は、108,000行にもなっています。それまでが１日に数十から数百行でしたから、爆発的な増加です。これって、異常なことなんでしょうか？　それとも、メールサーバを運用するということは、こういうものなのでしょうか？

以下、長文になりますが、事情を説明させていただきます。どなたか解説していたけると助かります。もし、不正中継に荷担していたり、攻撃を受けているようなら、すぐに対処します。よろしくお願いいたします。

最初は、3/15のこんなアクセスでした。

Mar 15 18:31:52 zebra postfix/smtpd[29207]: connect from unknown[218.144.119.1]
Mar 15 18:31:53 zebra postfix/smtpd[29207]: 054CDAE17: client=unknown[218.144.119.1]
Mar 15 18:31:53 zebra postfix/cleanup[29208]: 054CDAE17: message-id=<48270-22003341393059843@hananet.net>
Mar 15 18:31:54 zebra postfix/qmgr[24493]: 054CDAE17: from=<journeypark@hananet.net>, size=758, nrcpt=1 (queue active)
Mar 15 18:31:54 zebra postfix/smtpd[29207]: disconnect from unknown[218.144.119.1]
Mar 15 18:32:08 zebra postfix/smtp[29210]: 054CDAE17: to=<journeyfirst@hanmail.net>, relay=mx8.hanmail.net[211.43.197.84], delay=15, status=sent (250 2.0.0 h2F9S6AT015974 Message accepted for delivery)

約８時間後に同じアドレス（journeypark@hananet.net）からのメールがひっきりなしに届くようになりました。宛先はxxxxxx@hanmail.net（xxxxxxはいろいろ）です。

Mar 16 01:59:38 zebra postfix/smtpd[29327]: connect from unknown[218.144.108.161]
Mar 16 01:59:39 zebra postfix/smtpd[29327]: 8D076AE17: client=unknown[218.144.108.161]
Mar 16 01:59:41 zebra postfix/cleanup[29328]: 8D076AE17: message-id=<2003.03.14.18BE678400294823@hananet.net>
Mar 16 01:59:41 zebra postfix/qmgr[24493]: 8D076AE17: from=<journeypark@hananet.net>, size=725, nrcpt=1 (queue active)
Mar 16 01:59:41 zebra postfix/smtp[29330]: connect to mx2.hanmail.net[211.43.197.34]: Connection refused (port 25)
Mar 16 01:59:41 zebra postfix/smtp[29330]: connect to mx5.hanmail.net[211.43.197.12]: Connection refused (port 25)

これが１～２秒間隔で延々と繰り返されます。
ユーザは実在する場合もあれば、No such userとなることもあります。

connectしようとする先は、mx1.hanmail.net～mx10.hanmail.netで、Connection refused (port 25) になる場合と、server dropped connection (port 25) になる場合があります。

以下のように送れたらしいときもあります。

Mar 16 02:02:51 zebra postfix/smtp[29338]: 25CDEAE1C: to=<spell013@hanmail.net>, relay=mx1.hanmail.net[211.43.197.21], delay=37, status=sent (250 2.0.0 h2FGwqTh027713 Message accepted for delivery)

以下のように送れなかった（？）らしいときもあります。

Mar 16 02:02:53 zebra postfix/cleanup[29333]: 7B382AE29: message-id=<2003.03.14.187E16C5692C4A80@hananet.net>

3/16は、数十分空いている時間帯もありましたが、ずっと続きました。それ以降のログは、１日あたり数万行～数千行に減っていますが、以前に比べるとかなりのものです。

経験が浅い（というかほとんどない）ので、放っておけばいいものなのか、対処すべきかわかりません。ログをざっと見ても、このjourneypark@hananet.netからxxxxxx@hanmail.netへのメールの中継が99％です。どちらも韓国のプロバイダのようですが、かなり異常な感じがするのと、始終ＨＤがコロコロいうのは嫌なので、 ProcmailやPostfixの内蔵フィルタリング機能（どちらもこれから勉強）でフィルタをかけるべきか判断がつかずにいます。

長文で申し訳ありませんが、どなたか解説・対処をお教えいただけると大変助かります。よろしくお願いいたします。

タイトル： 特定のドメインからのアクセス拒否の方法
記事No： 332
投稿日： 2003/03/20(Thu) 19:03
投稿者： kensuke@管理人 <webmaster@miloweb.net>
URL： http://www.miloweb.net/

特定のドメイン名（またはIPアドレス）からのSMTP接続を拒否する方法を紹介します。

Postfixの設定ファイルであるmain.cfの以下の記述を追加（もしくは編集）して下さい。

smtpd_client_restrictions=permit_mynetworks,check_client_access hash:/etc/postfix/reject_list,permit

そして、テキストエディタで、/etc/postfix/reject_listというファイルを新規作成します。

# vi /etc/postfix/reject_list
hananet.net REJECT
hanmail.net REJECT

記入できたら保存します。
このreject_listをバイナリのDB形式に変換する為に次のコマンドを実行します。

# /usr/sbin/postmap /etc/postfix/reject_list

そして最後にPostfixを以下のコマンドで再起動します。

# /usr/sbin/postfix reload

これで、reject_listに記載されたドメインからのSMTP接続が全面的に禁止になる為、幾らか安心できると思います。

しかし、指定したドメインからのメールが全て接続拒否になります。
もしゼブラさんの知人が指定したドメインのメールアドレスをお使いなら当然、送受信する事が出来なくなりますので、ご注意下さい。

タイトル： Re: 特定のドメインからのアクセス拒否の方法
記事No： 333
投稿日： 2003/03/20(Thu) 20:04
投稿者： ゼブラ URL： http://woodelf.org

ゼブラです。

管理人さん、素早い返答、ありがとうございます。とても助かりました。

何事も経験してみないと身にはつかないと思う一方で、他の人に迷惑をかけるのはできるだけ避けたいです。

> しかし、指定したドメインからのメールが全て接続拒否になります。
> もしゼブラさんの知人が指定したドメインのメールアドレスをお使いなら当然、送受信する事が出来なくなりますので、ご注意下さい。

今のところ、このドメインにメールアドレスを持っている知り合いはいませんから、教えていただいた方法で受信拒否して、様子を見ます。

ありがとうございました。

タイトル： Re^2: 特定のドメインからのアクセス拒否の方法
記事No： 336
投稿日： 2003/03/21(Fri) 08:52
投稿者： ゼブラ URL： http://www.woodelf.org/

ゼブラです。

受信拒否の対処をした詳細を報告します。

結果から言うと、メールの中継はパタリと途絶えました。
しかし、途中で腑に落ちないことがいくつかありました。

reject_listに
hananet.net REJECT
hanmail.net REJECT
と書いて、postmapして、reloadした後も、いつくかは journeypark@hananet.net からのメールが届きました。未対処だった3/20のログは約5,200行で最盛期（？）の二十分の一未満ですから、すべて通りぬけているのか一部なのかはわかりませんが、対応後も

Mar 21 00:54:53 zebra postfix/qmgr[28179]: 7F232AE12: from=<journeypark@hananet.net>, size=760, nrcpt=1 (queue active)

というようなログが残っていました。

で、ドメイン名でなく、pingで調べてIPアドレスの指定にしてみましたが、やはりいくつかメールが届く（数十分おき程度）ので、試しに http://hananet.net/ に行ってみると、http://www.hanafos.com/ にリダイレクトされました。ping www.hanafos.com でこれは 210.181.1.5 だとわかったので、これも reject_list に咥えました。

211.202.13.81 REJECT
201.181.1.5 REJECT
211.233.28.115 REJECT

この状態にして、postmap、reloadしてから約５時間たちますが、journeypark@hananet.net からのメールは１通も届きません。メール数自体が漸減していたので確証はありませんが、201.181.1.5 が効いたように見えます。この辺り、勉強不足なものでよくわかりません。

ちなみにWebmin＞サーバ＞Postfix の設定＞Mail Queue の中に溜まっていた同じメアドからのメールをいくつか調べると、内容はすべて同じで、韓国の婦人服通販のＤＭ（HTMLメール）でした。ウィルスチェックしても感染なし。うーん、ようわからん。単なるキャンペーンだったのか？

ともかく、お蔭様で収まりました。
メール配信の仕組みがよくわかっていないのもあり、ウチが中継サーバに何故選ばれたかもよくわかりませんが、こういうことってあるんですね。

hanmail.net からすれば、hananet.net でなく、ウチのドメインのアドレスをREJECTしなければ防げないということになるのかな？　ウチが中継拒否すると、hananet.net だか hanafos.com だかは、他の獲物を見つけて、そこに中継させるのでしょうか？　自分にはログが大量に発生したのと深夜の騒音（コロコロコロ・・・）以外は、実害がなかったとは言え、サーバ運用の怖さを実感しました。特に、メールサーバはその性質上、オープンな姿勢で待ちうけるしかないので、特に注意が必要なんですね。

再開するかも知れないし、今後も他のアドレスから同じような事があるかも知れませんが、リスクを体感する上で貴重な体験でした。

お世話になりました。皆様もお気をつけください。
ではでは。

タイトル： Re^3: 特定のドメインからのアクセス拒否の方法
記事No： 387
投稿日： 2003/04/05(Sat) 22:07
投稿者： ゼブラ URL： http://www.woodelf.org/

ゼブラです。

やっと大量の中継メールが送られてくる原因（というか設定の穴）がわかりました！
私のミスと手抜きの結果でした。面目ない。

SMTP-AUTH やPOP before SMTP をインストールするには、Postfixを一旦アンインストールする必要があるような記述をどこかのサイトで読んで、「いずれ時間が取れた時にしよう」「とりあえず、会社から自宅のドメインでもメールが発信できるようにしよう」と考えた私は、main.cfのmynetworksの記述を以下のように変えました。

mynetworks = 192.168.0.0/24, 127.0.0.0/8, 210.xxx.yyy.zzz/8, 218.uuu.vvv.www/8

210.xxx.yyy.zzzは会社のIP、218.uuu.vvv.wwwは自宅サーバのグローバルIPです。
とんでもないことをしてました。サブネットマスクの掛け方をよく理解していませんでした。
これだと、210.0.0.0～210.255.255.255と218.0.0.0～218.255.255.255からのメールは無条件で中継してしまいます。正しくは、

mynetworks = 192.168.0.0/24, 127.0.0.0/8, 210.xxx.yyy.zzz, 218.uuu.vvv.www

でした。お騒がせしました。
mynetworks の指定は最優先（大抵の設定で、最初に permit_mynetworks と指定するので）されるので、これを間違えているとreject_list で何を指定しても無駄でした。答えだけ暗記するような一夜漬けは、応用が効かないという見本でした。

実は原因を探ってゆく途中で mynetworks = 192.168.0.0/24, 127.0.0.0/8 の状態に戻したりもしているのですが、やっかいなのはMailQueに溜まっているメールで、これは入口を止めても、一定の間隔でお届先のサーバに出て行こうとします。それがわかってなかったので、ログを見ても状況が変化していないと判断して、元に戻していました。
私の場合、rm -f /var/spool/postfix/active/*/*/* として、Queに溜まっているメールを全削除して（SPAM以外のメールが入っている確率はとても低かったので）、やっと落ち着きました。

私のようなケース（無知が原因です）は稀でしょうが、不正中継のチェックには合格していました。それは、http://www.miloweb.net/mail.html#3 のメール不正中継拒否のテストのサイトのIPが、www.abuse.net(208.31.42.77）だからです。第三者中継の調査（ http://www.nanet.co.jp/rlytest/relaytest.html ）で調べると、不正中継の可能性ありと出たのが、原因発見のきっかけでした。www.nanet.co.jpは、210.196.249.130でした。

何にしろ、意味を理解・確認しながらやらないと、結果的に時間がかかることが実感できました。
管理人さん、アドバイスありがとうございました。

Linux で自宅サーバ [ Home Server Techncial ]