 Re: uucp経由でメール不正送信がされている? ( No.1 ) |
 |
- ????????? 2006/07/20 20:57
- ????????? 管理者
-
houseさん、こんにちは。
結構、深刻な状態となっていますね・・・。
まず原因を追究するよりも、対処の方が先と思われます。
ヘッダを見る限りではSMTP-Authを設定している様ですが、再度確認してみて下さい。
(http://kajuhome.com/postfix.shtml#n03 を確認してください)
それと、送受信の確認まで時間は掛かりますが、メール送受信を暗号化する事をお勧めします。
参照:http://kajuhome.com/mail_ssl.shtml
メールログ「/var/log/maillog」より2006年 7月 20日(木)2:44 pmの当該部分を教えてください。
下記の実行結果もお願いします。
# service --status-all
出先の為、即答できませんがあらゆる限り解決へのお手伝いをさせて頂きます。
|
| Re: uucp経由でメール不正送信がされている? ( No.2 ) |
|
- ????????? 2006/07/20 22:20
- ????????? house
-
ありがとうございます。
SSLも設定していたつもりだったのですが、
ヘッダではSSLを設定していない、と出ているのでしょうか?
見方がちょっと分からなかったのですが、
もしよければ教えてください。
*******
ログについては残っていました。
以下にアップします。
Jul 20 14:44:03 server postfix/smtpd[22545]: connect from 68-114-82-17.dhcp.oxfr.ma.charter.com[68.114.82.17]
Jul 20 14:44:05 server postfix/smtpd[22545]: 1CBF51E2802A: client=68-114-82-17.dhcp.oxfr.ma.charter.com[68.114.82.17]
Jul 20 14:44:06 server postfix/cleanup[22549]: 1CBF51E2802A: message-id=<20060720054405.1CBF51E2802A@server.shiawase-home.com>
Jul 20 14:44:06 server postfix/qmgr[1774]: 1CBF51E2802A: from=<uucp@shiawase-home.com>, size=792, nrcpt=1 (queue active)
Jul 20 14:44:06 server clamd[1703]: SelfCheck: Database status OK.
Jul 20 14:44:06 server postfix/smtpd[22545]: disconnect from 68-114-82-17.dhcp.oxfr.ma.charter.com[68.114.82.17]Jul 20 14:44:10 server postfix/smtpd[22554]: connect from localhost.localdomain[127.0.0.1]
Jul 20 14:44:10 server postfix/smtpd[22554]: EC1A51E28032: client=localhost.localdomain[127.0.0.1]
Jul 20 14:44:11 server postfix/cleanup[22549]: EC1A51E28032: message-id=<20060720054405.1CBF51E2802A@server.shiawase-home.com>
Jul 20 14:44:11 server postfix/qmgr[1774]: EC1A51E28032: from=<uucp@shiawase-home.com>, size=1784, nrcpt=1 (queue active)Jul 20 14:44:11 server amavis[1778]: (01778-05) Passed SPAM, [68.114.82.17] [68.114.82.17] <uucp@shiawase-home.com> -> <uucp@shiawase-home.com>, Message-ID: <20060720054405.1CBF51E2802A@server.shiawase-home.com>, mail_id: kxcP6zxQxXpK, Hits: 29.194, queued_as: EC1A51E28032, 4894 ms
Jul 20 14:44:11 server postfix/smtpd[22554]: disconnect from localhost.localdomain[127.0.0.1]Jul 20 14:44:11 server postfix/smtp[22551]: 1CBF51E2802A: to=<uucp@shiawase-home.com>, relay=127.0.0.1[127.0.0.1], delay=7, status=sent (250 2.6.0 Ok, id=01778-05, from MTA([127.0.0.1]:10025): 250 Ok: queued as EC1A51E28032)Jul 20 14:44:11 server postfix/qmgr[1774]: 1CBF51E2802A: removed
Jul 20 14:44:11 server postfix/local[22555]: EC1A51E28032: to=<info@shiawase-home.com>, orig_to=<uucp@shiawase-home.com>, relay=local, delay=1, status=sent (delivered to maildir)
Jul 20 14:44:11 server postfix/qmgr[1774]: EC1A51E28032: removedJul 20 14:47:26 server postfix/anvil[22547]: statistics: max connection rate 1/60s for (smtp:68.114.82.17) at Jul 20 14:44:03Jul 20 14:47:26 server postfix/anvil[22547]: statistics: max connection count 1 for (smtp:68.114.82.17) at Jul 20 14:44:03
Jul 20 14:47:26 server postfix/anvil[22547]: statistics: max cache size 1 at Jul 20 14:44:03
いつも無理をいっているにもかかわらず
本当に感謝します。
|
| Re: uucp経由でメール不正送信がされている? ( No.3 ) |
|
- ????????? 2006/07/20 22:31
- ????????? 管理者
-
> SSLも設定していたつもりだったのですが、
> ヘッダではSSLを設定していない、と出ているのでしょうか?
> 見方がちょっと分からなかったのですが、
> もしよければ教えてください。
ヘッダから判断した訳ではありません。
>> **************
>>
>> 現在のポート開閉状況
>>
>> 25,80,443、ハイポートで5つ
>>
>> **************
より、SSLポート(465・995)をオープンしていないと思ったので書かせて頂きました。
SMTP-Authを使用していれば登録していないアカウントでは送信できないはずだったと思います。
以下コマンドで「uucp」は出力されないですよね?(SMTP-Authを使用するメールアカウントしか出てこないですよね?)
# sasldblistusers2
|
| Re: uucp経由でメール不正送信がされている? ( No.4 ) |
|
- ????????? 2006/07/20 22:33
- ????????? 武蔵
-
postfixは最新のバージョンになっていますか?
|
| Re: uucp経由でメール不正送信がされている? ( No.5 ) |
|
- ????????? 2006/07/20 23:20
- ????????? house
-
本当にありがとうございます。
(ポートについて説明させて頂きます)
現在、
メールクライアント(ベッキー)と
ターミナル(poderosa)と
WINSCP
は、ローカルのPCからのみアクセスしています。
なので、SSLのポートを開放しないでも良いかと考えたのですが、
これはあっていますでしょうか?
(sasldblistusers2)
では登録しているユーザーのみが表示されます。
uucpは出てきません
(postfixのバージョン)
バージョンは
postfix-2.2.8-1.2でした。
最新は
2006.7.13 新しいPostfixのマイナーリリースバージョン、Postfix 2.3.0がリリースされました。
なので、まだそれにはしていませんでした。
このあたりが関連しているのでしょうか?
どのみち新しくしようと思います。
ちなみに新しくしたら、設定ファイルをもう一度設定しなおす必要はありますか?
(馬鹿な質問ですいません。いつもはyumでがんがんアップデートしているので・・・)
***********
現在、とりあえず、SSLのキーを再度作り直しています。
本当に協力を感謝します。
|
| Re: uucp経由でメール不正送信がされている? ( No.6 ) |
 |
- ????????? 2006/07/20 23:39
- ????????? 管理者
-
了解しました。
ローカルからのアクセスであれば、ポートを開ける必要はありません。
確か110番も必要なかったと思います。
(25番だけで良いはずです)
引き続き、調べてみますね。
|
| Re: uucp経由でメール不正送信がされている? ( No.7 ) |
|
- ????????? 2006/07/20 23:43
- ????????? Johann
- ?????§??? http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html
-
勘違いだったらすみませんが、uucp@shiawase-home.comというメールアドレス宛てに
スパマーがスパムを送ってきただけってことはありませんか?
|
| Re: uucp経由でメール不正送信がされている? ( No.8 ) |
|
- ????????? 2006/07/21 00:09
- ????????? house
-
Johann さんもありがとう・・・(涙)
そういうことなんでしょうかね?
From: uucp@shiawase-home.com
っていうのが気になっています。
ちなみに、最近、
「追跡!ネットワーク セキュリティ24時」っていう本を読んだばかりで
セキュリティに気を付けよう・・・
と思っていたところだったので
ショックが倍です。
|
| Re: uucp経由でメール不正送信がされている? ( No.9 ) |
|
- ????????? 2006/07/21 07:32
- ????????? 管理者
-
>> Johannさん
確かにその様に見えますね。
> server amavis[1778]: (01778-05) Passed SPAM, [68.114.82.17] [68.114.82.17] <uucp@shiawase-home.com> -> <uucp@shiawase-home.com>, Message-ID: <20060720054405.1CBF51E2802A@server.shiawase-home.com>, mail_id: kxcP6zxQxXpK, Hits: 29.194, queued_as: EC1A51E28032, 4894 ms
ただ、気になっているのが上記のログ部分で、SPAMメールが外部ネットワーク(68.114.82.17)を何故リレーを許してしまったのかが不思議です。
Fromがhouseさんのドメインで且つ、IPが自ネットワーク外なのでリレーされないと思ったのですが・・・
P.S.
先日の悪質スレッドにて削除推進のコメントをありがとう御座いました。
お礼を言う場がなかったので、この場をお借りしてお礼申し上げます。
>> houseさん
差し支えなければ、以下の実行結果を教えてください。
# grep mynetworks /etc/postfix/main.cf
|
| Re: uucp経由でメール不正送信がされている? ( No.10 ) |
|
- ????????? 2006/07/21 11:21
- ????????? Johann
- ?????§??? http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html
-
管理者さん、houseさん
houseさんのamavisでスパム処理をどうやってるのかちょっと分からないので
何とも言えない部分はありますが、外から来たuucp宛てのスパムをamavisが処理
した後にpostfixに返して、postfixがinfo宛てに送っているように見えます。
infoがuucpのエイリアスになっている可能性が高そうですね。
>お礼を言う場がなかったので、この場をお借りしてお礼申し上げます。
とんでもございません。。わけわかんないスレッドは消してしまって問題ないかと。
|
| Re: uucp経由でメール不正送信がされている? ( No.11 ) |
|
- ????????? 2006/07/21 21:38
- ????????? house
-
>管理人さん
上記の結果が以下になります。
[root@server ~]# grep mynetworks /etc/postfix/main.cf
# The mynetworks parameter specifies the list of "trusted" SMTP
# By default (mynetworks_style = subnet), Postfix "trusts" SMTP
# Specify "mynetworks_style = class" when Postfix should "trust" SMTP
# mynetworks list by hand, as described below.
# Specify "mynetworks_style = host" when Postfix should "trust"
#mynetworks_style = class
#mynetworks_style = subnet
#mynetworks_style = host
# Alternatively, you can specify the mynetworks list by hand, in
# which case Postfix ignores the mynetworks_style setting.
mynetworks = 192.168.0.0/24, 127.0.0.0/8
#mynetworks = 168.100.189.0/28, 127.0.0.0/8
#mynetworks = $config_directory/mynetworks
#mynetworks = hash:/etc/postfix/network_table
# - from "trusted" clients (IP address matches $mynetworks) to any destination,
smtpd_client_restrictions = permit_mynetworks,
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
>Johannさん
Johannさんが以前にコメントされていた
(他サイトですが)
postfixでamavisのチェックを行うように設定しています。
(コメントでは大容量のzipが消去される・・・とかなっていたコメントを見ました)
もしかすると、言われるように
amavisチェックが影響しているんでしょうか?
ヘッダ情報をもう少し勉強しようと思いますが、
まだちょっと力不足のようです。
**************
とりあえず現状、セキュリティ対策したことは
1.ssh秘密鍵等を再度つくり直した。
2.念のためca.der等も作り直した
3.rootパスワードの変更(恐ろしく長いパスワード)
4.一般ユーザのパスワード変更
(今までは全てのユーザパスワードが同じだったので、
全てのユーザオリジナルのパスワードにしました。
恐ろしく長いパスワード)
5.mysql root パスワード変更(恐ろしく長いパスワード)
6.mysql database ごとに 専用のユーザーをつくり、
それぞれ異なるパスワードに変更
(今までは一つの一般ユーザのみで全てを管理していました)
今後の予定
1.使用しているcgiのパーミッションを
順に下げてゆき、一番低い数値での運用
(これが簡単に分かる方法があると良いのですが・・・)
2.SELINUXの導入
(本を注文しましたが、実運用はずっと先と思います)
と、とりあえず以上が現状の報告です。
|
| Re: uucp経由でメール不正送信がされている? ( No.12 ) |
|
- ????????? 2006/07/21 21:39
- ????????? house
-
みなさん、いつも有り難うございます。
っていうお礼が抜けていました。
ごめんなさい。
|
uucp経由でメール不正送信がされている?