不正中継の踏み台対策 updated! 急に回線が重くなった。 異常なメールの遅配が発生するようになった。 メールサーバの動作が極端におかしくなった。 見知らぬ所から苦情のメールが来た。 上流プロバイダからの警告が来た。 配信不能の大量のリターンメール等がメールの管理者宛てに届くようになった。 接続マシンログ(acceptlog)やSMTP受信ログ(inlog)のファイルサイズが異様に肥大化している。 SMTP送信ログ(outlog)や配送失敗ログ(faillog)のファイルサイズが異様に肥大化している。 POP3ログ(pop3log)やIMAP4ログ(imap4log)のファイルサイズが異様に肥大化している。(※POP3/IMAP4を実装している Mail Server の場合) SMTP受信ログ(inlog) や接続マシンログ(acceptlog) 、さらにSMTP送信ログ(outlog) ならびに配送失敗ログ(faillog) を取得しているときは、ログを調べ、見覚えのない送信元アドレスからの送信依頼の受領が行われ、大量の配信や配送失敗がないかを確認します。もし大量の配信や配送失敗をした記録が確認されれば、不正利用されたと考えられる該当アカウントを特定します。不正利用されているアカウントを見つけた場合、そのアカウントはSMTP認証をしているか、していないのかをAccount Managerから確認します。 SMTP認証していないときは、おさまって以降はSMTP認証を実施するようにしますが、当面の不正利用をさせないためにアカウント名の先頭部分に文字を付け足す方法でリネームします。 SMTP認証しているのにSMTP認証パスワードが見破られ使われたのかを確認するには、SMTP受信詳細ログ(receivelog) を確認します。認証パスワードが見破られたときは該当アカウントの認証パスワードを変更するようにします。 メール作業フォルダ(既定値 C:\mail\)にある以下のフォルダにSPAMメールのデータが溜まっていないかチェックします。incoming、domains、holding、lists などのフォルダ内のようすをチェックします。万が一、メールのデータが大量溜まっている場合、SPAMメールをメールサーバが配信し続けている可能性がありますので、EPSTRS・EPSTDSサービスを直ちに停止させてください。 不正中継(SPAM)メールの受信拒否対策を行います。 SMTP認証を実施していなかったときは、メールサーバ全体および全ユーザーについてSMTP認証の導入をするように計画し実施してください。 特定アカウントのSMTP認証パスワードが見破られ使われた可能性があると推測されるケースで Mail Server を運用中の場合、その手始めはPOP3パスワードあるいはIMAP4パスワードからかもしれません。特にPOP3/IMAP4を実装している Mail Server の場合は、該当するアカウントについてPOP3パスワードあるいはIMAP4パスワードを総当たりで試されていることはないか、POP3ログ(pop3log) あるいはIMAP4ログ(imap4log) から調べます。 (参考情報) スパム判定DBサイト:BLACKLISTALERT.ORG RBLサイト例:spamcop.net (関連FAQ) 作成されていないアカウントで受理され、勝手な送信を許している 存在しないアカウントに大量メールなどメール攻撃に対する総合的な手だてはどうしたらよいか 〔新機能〕SMTP認証時の「認証接続ロックアウト機能」について 〔新機能〕SMTP接続時の「IPロックアウト機能」について 〔新機能〕POP3認証時の「認証接続ロックアウト機能」について 〔新機能〕IMAP4認証時の「認証接続ロックアウト機能」について