DSBL

うちのメールサーバーがDSBLというものに登録されたらしく、一部の会社に送信できないようです。前任者がドキュメントを残していないし、組み立てサーバーで3GBしかありません。で、600ほどしか容量がなく一度、社外へ送信できなくなりました。その際に3日ほどのメールログを置いて後は全て削除ということになりました。またサーバーも赤いランプが点滅していて、いつ壊れるかわからないので、あまり触らないように言われています。会社の人からは、メールソフトも何を使っているかどういう設定かも聞かされていません（誰も知らない）。自分で何とかIISの機能の１つの仮想SMTPで設定している事がわかりました。でも特に何も制限をかけてはないようです。今日新しくDNSを構築していただくベンダーさんに見てもらいましたが、苦笑いをしていました。LINUXで新しく作るのですが、上層部（経理）が今回の原因を追究しろと言ってきました。DSBLはどのようにしたら登録されるのですか？何件か苦情があると登録されるのか？またその苦情件数は何件以上か？など仕組みを知っている方がいれば教えて下さい。また原因は不正中継サーバーに遣われているのはツールでわかったのですが、なぜこのようになったかも報告しないといけません。ウィルスソフトも途中からパターンファイルが更新されていなかったり、スキャンされていなかったりしていたらしいですが、放置していたそうです。私は入ったばかりなので何にもわからず。対応策や構築は大丈夫なんですが、社長などにも報告しないといけません。うちの管理ミスなのはわかっていますが、どのようにしたらこうなるのか教えて下さい。

No.5 回答者： furoshiki 回答日時： 2007/10/20 16:09

１．１年以上使われていないサーバーをネットにつないだら、間違いなく大怪我をするよ。

OSのセキュリティ対策が全然違うと思うよ。

＞見に行くとそのLinuxのIPがDNSのところに設定されていました。ですので、DCが兼務してるDNSのIPに変更したところつながりました

DNSではなくgatewayではないの？。または、DNSとgatewayが兼務している。

２．DNSは、勝手にいじらないほうがいいですよ。社内と社外で混乱するだけですよ。

－－－－－－－－－－
私に相談するのではなく、直接物を見ているベンダーに相談すべきです。
私は回答しません。

この回答へのお礼

すいません。先月ぐらいに使わないようにしたみたいで。
いや、デフォゲは別のIPでした。間違いなく社内DNSです。
さっき確認していました。
何とか社員の人がいますぐ使える策はないかと思い・・・
ベンダーさんは、まだ見積もり段階で、会社が正式に契約してないので相談はしてもしてはくれません。相談によっては契約してないのでと言われてしまうので。
furoshikiさんすいません。お休み中にもかかわらずありがとうございました。スキルがあれば代用してもいいですが、社外サーバー関係は自身がないので、このまま会社がどうするかほっときます。
でも本当に勉強になりました。
最後まで付き合ってくださり感謝しています。無事構築できたら報告したいですね。

お礼日時：2007/10/20 16:55

No.4 回答者： furoshiki 回答日時： 2007/10/19 17:13

：送信者側でメールが届かなかった相手のメールサーバーとメールアドレスはわかるが、拒否した理由は教えないとおもいます。

私のところにも、中国・韓国・台湾などのサーバーから用もないのに接続にきます。スパムなので３０秒すぎてから切断させています。

：リレーサーバーは、わかりません。

：数え切れないほどあるとおもいますが、ブラックリストを提供しているのでこの中を検索したら何箇所かは、登録されていますよ。
http://www.spamhaus.org/
http://cbl.abuseat.org/
http://spamcop.net/bl.shtml
http://www.rfc-ignorant.org/
http://www.njabl.org/
http://blitzed.org/proxy/
http://dsbl.org/main
http://dnsbl.isoc.bg/
http://dnsbl.isoc.bg/
http://www.au.sorbs.net/
http://www.uceprotect.net/en/index.php

・ヘイズ理論とか○○理論とかは、この人たちが開発し検証したものなんで、スパムの精度は、私のプロバイダよりも、たかいのが当然です。

.

この回答への補足

furoshikiさんありがとうございます。マンツーマンで教えてもらって。
実は、ひとつひらめいた事がありfuroshikiさんに判断していただきたく補足として書きます。
かなり苦情が出て、うち自体危ない雰囲気です。入社して半年ですが今までの会社での経験上、Notesが止まっても特になにも言われなかったのがびっくりしたぐらいですが今回は非常に危機感があります。
で、サーバー室にこれもまたホワイトボックスですが、LunuxのDNSがあります。今は使ってないです。多分社内DNSだったと思われます。何故かというと先日そのLinuxを何に使っているかわからない（誰もLinuxをしらない）という事で電源を切ったようです。するとMACがInternetに接続できないと苦情があり、見に行くとそのLinuxのIPがDNSのところに設定されていました。ですので、DCが兼務してるDNSのIPに変更したところつながりました。たぶん今のIT資産ソフトがMACに対応していなくてわからなかったのでしょう。
前にもお話したようにAD構築のdns設定はわかります。社外用DNSは勉強中ですが、このLinuxDNSサーバーを今障害が起きてるDNSの代わりにはできませんか？障害が起きているDNSの社内IPと同じIPを設定すれば、notesとの連携は取れます。あとはブラックリストに登録されているIPは社外用のIPにはつかえませんが、予備のIPがあります。もし可能であればベンダーさんに構築してもらってる間だけでも使えないかと。もちろん全く社外DNS（メールサーバー）は構築経験はありませんが、Linuxは少しなら分かります。サイトなどで構築方法を探して、できないでしょうか？やってみる価値はないのでしょうか？

補足日時：2007/10/20 10:21

No.3 回答者： furoshiki 回答日時： 2007/10/17 11:13

メールサーバーが違うのでログは、不明だが、テキストログ（？）なのでediterで普通にみられます。

詳細な設定から形ばかりのログまで設定しだいです。

今回DNSサーバーは関係していません。

いくつかのログはのこっているかもしれませんが、桁がちがうのでたいして意味がない。今きているペンダーに聞くのがベストですよ。仕事できているんだから。

.

この回答へのお礼

furoshikiさん本当にありがとうございます。報告書は一応提出しました。
DNSではなくSMTPなんですよね。
機器を手配し、構築してもらうと1ヶ月はかかるようです。でもまら上は見積段階です。今後の対策は決まっても、社内からは苦情が増え、またつながらないところが出てきています。DSBLをどこがつかっているかはわかりませんよね。自分でもMBSAでチェックしました。リスク大です。ベンダーさんに見てもらうのがいいのはわかっていますが、ベンダーさんも契約してからではないと調査もしてくれないと思います。送信できなかった人に返ってきたメールをもらってもこのヘッダーからは何もわからないでしょうか？
furoshikiさんはとてもスキルも高く経験もおありですので、聞きますが、現在DNSが新しくなるまでの対応として、今は私を経由して転送してますが、それ以外は何か方法はないでしょうか？うちはセキュリティが全くないに等しく、Webメールやメッセンジャーも見放題し放題です。ご自身のWebメールを使ってお客様にメールを送信している方もいますが、それ以外にやっぱり方法はないんでしょうか？
A・Dや社内LANまでは私も自身はあるのですが、メールや社外NWは勉強中で、会社にも誰も分かる人がいなくて、何かいい勉強方法やサイトがあればご紹介してもらえればうれしいです。
ずっとこの件で回答していただき本当にありがとうございます。furoshikiさんがいなければ、本当にここまで調査や報告書もできなかったと思います。ありがとうございます。

お礼日時：2007/10/19 14:47

No.2 回答者： furoshiki 回答日時： 2007/10/17 07:27

　

＞メールサーバーが接続を拒否するとはどういうことでしょう？
＞一部の会社に送信できないようです
まともなメールサーバ（セキュリティが厳しくスパムをブロック）は、メールを受信するときに、相手の身元調査を行います。ブラックリストと照合して該当すれば、サーバーが通信を切ります。ホワイトリストならすぐ通過させる。
初めてのドメインのときは、すぐにメールを受取らずに、数時間後に再度受信したときに受取る。
受信するまで、数十秒待たせる。などなど

ドメイン名・国・メールアドレス・I.P.アドレスなどが分かります。
ヘッダで経路のドメインやメールアドレスなどが分かります。
スパムの分析手法や収集する目的が違うので世界中には沢山のブラックリストがあります。
私は１通のメールを入手すると１５サーバでスパム情報を入手しています。

また、本文に記載しれあるURLや文字などなど。スパムはこれらを偽装して送信します。すべてが偽装なら送信する必要もないので、どれかが本物だと思います。この本物を世界中から集めて日々更新すればブラックリストが完成します。当然、これを無条件で運んだサーバも同じ仲間になるでしょう。

＞DSBLに直接申告し、DSBLが調査して本当であればブラックリストに載せるというものですか？
申告もあるし、おとりに届いたとか、世界中から情報は集まると考えたほうが良いでしょう。

＞これでどこが中継サーバーに使用しているかはわからないのでしょうか？
まともなサーバなら接続ログを見れば簡単に分かります。＜＝＝で、まともなの？

：：自動的に解除されない機関には、解除申請が必要かもしれません

.

この回答への補足

furoshikiさん大変勉強になります。社内にNWインフラ運用者がいないので本当に助かります。ほとんどの企業はやはりブラックリストを使用しているのですね。仕組みも分かりました。
＞これでどこが中継サーバーに使用しているかはわからないのでしょうか？
>まともなサーバなら接続ログを見れば簡単に分かります。＜＝＝で、まともなの？
はい。まともではありません。私も自分にわかる限りで確認し、ベンダーさんにも見ていただいたところ、Windwosについているインターネットマネージャーでの設定しかしていないので。宛先がうちの会社のドメインであれば通すしかしていないと思います。送信セキュリティの部分も特に指定はしていなく、匿名にチェックが入っています。Windowsのこと機能だけなのでセキュリティが弱いのでしょうか？（のような気がします）
接続ログはDNSサーバーのどこにあるのかわかりますでしょうか？MAILログは容量上、３日分しか置いてなく。設定では、BadmailとDropというフォルダにいくつかログがあります。ここのログを見ればわかるのでしょうか？
ご多忙中回答をありがとうございます。

補足日時：2007/10/17 09:05

No.1 回答者： furoshiki 回答日時： 2007/10/16 05:06

　

スパムサーバーとしてブラックリストに乗ってしまったわけです。

＞上層部（経理）が今回の原因を追究しろと言ってきました。
上層部（あんた）の責任だといってください。

世界中に相当のスパムメールをばらまいた可能性があります。
1日最低でも１００万通で性能のよい、ルータやサーバなら、その１０倍や１００倍送受信できると思います。

＞登録基準？
登録基準を公表したら、スパマーがそれを利用するのでしていないと思います。スパムメールを捕らえるメールサーバーも秘密でしょう。

ここで、確認したらいいとおもいます。
http://www.rbl.jp/


ブラックリストデータベースチェック
http://www.rbl.jp/ckdb/

メールサーバーがまともになったら、
解除申請が必要かもしれません。
http://homepage3.nifty.com/holly2001/bbq/dsbl.html
解除しないと、ホワイト・メールサーバーが接続を拒否する可能性があります。

.

この回答への補足

補足です。
解除依頼は今の状態では出来ないので、ベンダーに機器と構築を依頼しています。完璧なものが出来たら解除するつもりです。質問にもあるように現状のマシンでは再構築は不可能です。ただ気になるのですが、ホワイトメールサーバーが接続を拒否するとはどういうことでしょう？
本当はいっそのことDNSをNWから外したいのですが、そうもいかず。
Windowsでのメールサーバー構築の経験はないのですが、DNS事態のIPを変更しても結局は、セキュリティホールがある以上同じように登録されますよね。オープンリレーチェッカーでテストしたら、19にうち2つ中継サーバーとして使用されていました。でもこの意味がわかりません。これでどこが中継サーバーに使用しているかはわからないのでしょうか？

補足日時：2007/10/16 11:15

この回答へのお礼

furoshikiさんありがとうございます。やはり公開されていないですよね。でも登録されるには、誰かがうちのメールサーバーが不正中継サーバーだと気づいて申告したことになりますよね。その方法はDSBLに直接申告し、DSBLが調査して本当であればブラックリストに載せるというものですか？
>ここで、確認したらいいとおもいます。
>​http://www.rbl.jp/​
はい。確認済みです。
>ブラックリストデータベースチェック
>​http://www.rbl.jp/ckdb/​
こちらももちろんDSBLのみですが、ひっかりました。
ありがとうございました。本当に上層部に言いたいのはやまやまですが・・・

お礼日時：2007/10/16 11:14