---

不正中継の踏み台対策 updated!

---

SMTP認証を各ユーザに課し運用している限り、第三者による不正中継の踏み台になることは、通常ではまずありません。
SMTP認証を各ユーザに課さずに利用している場合、登録アカウントを使った、詐称による不正中継の踏み台になる可能性があります。
ただし、SMTP認証を課していても、容易に類推できるパスワードでは、危険であることは何ら変わりませんので、容易に類推できそうなパスワードは絶対に避ける必要があります。
万が一、不正中継の踏み台に利用されてしまう可能性を考え、以下のような状況が起きていないか、日ごろからチェックしておくとよいでしょう。

• 急に回線が重くなった。
  
• 異常なメールの遅配が発生するようになった。
  
• メールサーバの動作が極端におかしくなった。
  
• 見知らぬ所から苦情のメールが来た。
  
• 上流プロバイダからの警告が来た。
  
• 配信不能の大量のリターンメール等がメールの管理者宛てに届くようになった。
  
• 接続マシンログ（acceptlog）やSMTP受信ログ（inlog）のファイルサイズが異様に肥大化している。
  
• SMTP送信ログ（outlog）や配送失敗ログ（faillog）のファイルサイズが異様に肥大化している。
  
• POP3ログ（pop3log）やIMAP4ログ（imap4log）のファイルサイズが異様に肥大化している。（※POP3/IMAP4を実装している Mail Server の場合）
  etc.....
  

もし、このような状況に遭遇した場合、以下の内容を確認してみましょう。

1. SMTP受信ログ（inlog）や接続マシンログ（acceptlog）、さらにSMTP送信ログ（outlog）ならびに配送失敗ログ（faillog）を取得しているときは、ログを調べ、見覚えのない送信元アドレスからの送信依頼の受領が行われ、大量の配信や配送失敗がないかを確認します。もし大量の配信や配送失敗をした記録が確認されれば、不正利用されたと考えられる該当アカウントを特定します。
   
2. 不正利用されているアカウントを見つけた場合、そのアカウントはSMTP認証をしているか、していないのかをAccount Managerから確認します。
   
3. SMTP認証していないときは、おさまって以降はSMTP認証を実施するようにしますが、当面の不正利用をさせないためにアカウント名の先頭部分に文字を付け足す方法でリネームします。
   
4. SMTP認証しているのにSMTP認証パスワードが見破られ使われたのかを確認するには、SMTP受信詳細ログ（receivelog）を確認します。認証パスワードが見破られたときは該当アカウントの認証パスワードを変更するようにします。
   
5. メール作業フォルダ（既定値 /var/spool/epms/）にある以下のフォルダにSPAMメールのデータが溜まっていないかチェックします。
   incoming、domains、holding、lists などのフォルダ内のようすをチェックします。
   万が一、メールのデータが大量溜まっている場合、SPAMメールをメールサーバが配信し続けている可能性がありますので、epstrd・epstddサービスを直ちに停止させてください。
   ファイルが少数のときは、フォルダ内のデータ全てを削除するか、別の場所へ移動します。
   ファイル数が膨大になってしまっていて、削除や移動の操作自体に支障があるときは、フォルダ名を別名にリネームします。フォルダ名を別名に変えることで、メールサーバの処理対象から除外されます。
   
6. 不正中継（SPAM）メールの受信拒否対策を行います。
   ここでは、見知らぬメール送信者から外部への送信を行わせないように設定します。
   その際、上記SMTP受信ログ（inlog）や接続マシンログ（acceptlog）を参考に、「中継の制限」【effect.dat】ファイルに送信元（IPアドレスやドメインなど）からの受領を拒絶するように定義します。
   
7. SMTP認証を実施していなかったときは、メールサーバ全体および全ユーザーについてSMTP認証の導入をするように計画し実施してください。
   
8. 特定アカウントのSMTP認証パスワードが見破られ使われた可能性があると推測されるケースで Mail Server を運用中の場合、その手始めはPOP3パスワードあるいはIMAP4パスワードからかもしれません。特にPOP3/IMAP4を実装している Mail Server の場合は、該当するアカウントについてPOP3パスワードあるいはIMAP4パスワードを総当たりで試されていることはないか、POP3ログ（pop3log）あるいはIMAP4ログ（imap4log）から調べます。
   

以上の対応が完了したら、epstrd・epstddのサービスを再開して下さい。なお、自身のSMTPサーバーが踏み台にされていないのに、「SPAMメールがあなたのサイトから送られて来る」といったメールが届くことがあります。これらは、「あなたの管理するドメイン管理するメールアドレス」を送信元として、第三者のSMTPサーバーを踏み台にした送信によるケースもあります。どこを中継しているかは、メールヘッダの"Received:"ヘッダを参照することにより、判別することが可能ですので、確認してみましょう。
踏み台にされてしまってから、相当の時間が経過している場合、いくつかのRBLサイト（DNSBLサービス）に「ブラックサイト」として、登録されてしまっている可能性もあります。自身の管理するSMTPサーバーが登録されていないか確認し、登録されている場合は、解除の手続きが必要になります。できるかぎり、有力なRBLサイトを訪れ、チェックを行うようにしてください。

（参考情報）
　スパム判定DBサイト：BLACKLISTALERT.ORG
　RBLサイト例：spamcop.net

（関連FAQ）
●作成されていないアカウントで受理され、勝手な送信を許している
●存在しないアカウントに大量メールなどメール攻撃に対する総合的な手だてはどうしたらよいか
●〔新機能〕SMTP認証時の「認証接続ロックアウト機能」について
●〔新機能〕SMTP接続時の「IPロックアウト機能」について
●〔新機能〕POP3認証時の「認証接続ロックアウト機能」について
●〔新機能〕IMAP4認証時の「認証接続ロックアウト機能」について