POP3のトラフィックが激増しました。

サーバー上で、POP３のトラフィックが激増しました。

これはスパムメールとかを送りつけられているということなのでしょうか。

もし、そうだとしたらこれを回避する方法は

１）サーバーでスパム対策を強化する

２）メールアドレスを変更する

以外にないのでしょうか。。。。


スパム対策を強化すると、必要なメールが入ってこないという心配があり

メールアドレスを変更すると今まで使っていた人から連絡が来なくなる


という懸案事項があります。



一般的にはどのような方法を取られているのか、ご指南いただけると助かります。

どうぞよろしくお願いします、

No.2 回答者： onosuke 回答日時： 2013/07/19 15:40

現状は傾向から直感(これも重要ですよ)で原因判断されているようなので、

もう少しデータに基づいた判断を入れてはどうでしょう？

具体には、メールシステムのログ解析を行ってみる等。
http://gihyo.jp/dev/serial/01/sc-literacy/0009

原因判断が間違っていると、せっかくの対処も無駄になってしまいます。
そうなると、もったいないですよね？

この回答へのお礼

お返事ありがとうございました。

結果的にサーバーの会社と連絡が取れなくなってしまったので、どうすることも出来なくなってしまいました。

ご協力ありがとうございました。

お礼日時：2013/09/17 12:25

No.1 回答者： Wr5 回答日時： 2013/07/19 10:50

>サーバー上で、POP３のトラフィックが激増しました。

>これはスパムメールとかを送りつけられているということなのでしょうか。

POP3なら送信側ではないですから「送りつけられている」とかは無関係でしょう。
正常ログインでの増加なのか、パスワードなどに認証エラーによる増加なのか、はたまた他の原因によるものなのか…で対応が変わると思われます。

正常ログインでの増加の場合なら…
該当アカウントでのメールチェックの頻度が上がっているということでしょうから、メールチェッカーなどが誤動作している可能性があるかも知れません。
# メールチェック自体が複数の箇所から実行されている。という事も考えられるでしょう。
いずれにしろ使用しているアカウントの人に確認を行うことになるでしょう。

認証エラーが増えているという場合なら…
該当アカウントに対して乗っ取りなどを意図した攻撃である可能性が高いでしょう。
対象のアカウント名が毎回変わる。という状況ならば特定アカウント狙いではなくサーバ狙いという可能性が高くなるかと。
で、POP3ですからこれだけでは迷惑メール送信の被害はまだ受けていませんが、
SMTP認証時のパスワードとPOP3ログイン時のパスワードが同一だったら乗っ取られた後で大量の迷惑メール送信が行われる可能性があります。
攻撃元のIPアドレスが同じであれば、パケットフィルタで遮断して様子を見ますかね。

この回答へのお礼

早速のご回答ありがとうございます。

通常１日５０M前後のトラフィックが数日間１日６Gぐらいになっているのです。。。。

認証エラーが増えているかどうかは、サーバーの会社に問い合わせればいいのでしょうか。

お礼日時：2013/07/19 13:43