不正なメール送信元で、sendmailがダウン、ほんと？

VPSサーバーをレンタルし、独自ドメインでメール及びwebサイトを構築しています。FreeBSD4.7とsendmailで送信にはSMTP authを採用していますが、突然メール送受信不可となりサポートへ相談すると、「アカウントから大量のメール送信があり、sendmailのプロセスが異常に増えストップしている」と説明されました。
サポートでsendmailを再起動し復旧しましたが、対処方法はユーザのメールPWを変更するしかないと説明されました。それは即ち、サーバーでなくメールPWが漏れていて、アカウントから不正送信がされているとの説明でした。
/var/log/mail ログには、「@paypal.com」や、怪しいメールアドレス宛の送信ログが大量に残り、defferdを示していました。また、/var/spool/mqueue にも未送信のデータが数千と残っていました（削除してもらい済み）。
そこで以下の疑問があります。

1.このサポートセンターの説明は正しいと思われますか？
現在150ほどのアカウントを管理していますが、PWはもともと難解に設定しており、簡単に漏れるとは思えません（エンドユーザが勝手に変更出来ないようにも設定済）もっと別の原因は考えられませんか？

2. 150近いアカウントのPW全変更は大変な作業である上、実際メールを利用しているのはクライアントの為、最小限に抑えたいのです。
ログから、クラックされているアカウントを目星だけでもと質問したのですが、ログからは調査不可の説明でした。これも本当に無理ですか？送信元の情報も（IPアドレスやホスト名など）と質問しましたが、送信元は偽装してくるとかで、これも特定不可と説明されました

4.ちょっと本筋とは外れるのですが、/var/spool/mqueueと同じディレクトリにある、clientmqueueは何が違うのでしょうか？
サポートに連絡しても、はっきりと説明をしてくれませんでした。（たぶん分からないのだと思いますが・・・）
お願いします。

No.1 回答者： kalze 回答日時： 2006/02/12 19:29

１，２に関しては、ログみないとなんともいえないことを予め書いておきます。

>>1
正しい可能性はあります。
まず、第三者中継に関する対策が完全になされていたと仮定して。
原因としては、SMTP authのユーザーアカウントとそのパスワードが漏れて、そのアカウントを利用して送られた。
サーバ自体に不正アクセスされた。
他のシステムの脆弱性を突かれた。
など可能性は多数考えられます。
その可能性のうち、いずれか、またはその組み合わせかということを調べるのにログが必要です。

パスワードの漏れ方としては、
・ユーザーから漏れた場合
・サーバにアタックかけられた場合
が簡単なところだとあります。

前者は、ユーザーのPCなどにスパイウェアなどを仕掛けられるなど事故によるものや、ユーザーがちゃんとパスワードを管理していなかったなど比較的簡単に起きます。

後者は、まず、辞書に載っている言葉などで、認証をしようとして、パスワードではじかれたら、ユーザーは固定して、パスワードは総当りで調べていくなど。

SMTP　auth用のアカウント情報が漏れただけなら、ログを操作されることはないでしょうから、ログ見ればどのアカウントで認証されたかわかるでしょう。

2については、クラックされた方法によるでしょう。
１で説明したように、SMTP authの認証のためのアカウント情報が漏れて、それが利用されただけならば、きちんとログをとる設定にしてあれば、メールログに認証のログが残っているでしょう。

ログを書き換えるようなクラックをされていれば、ログに残ってないでしょうけど。


個人的な意見を言わせてもらうと、別に送信元もクラックされたアカウントもわからなくてもいいからログを閲覧することを要求します。
共有ホストであろうが、占有であろうが、自分のところに関するところだけでよいので、よこせといいます。
もし、ログを渡さないようであれば、別の会社の穂スティングサービスに乗り換えるでしょう。
ログからはシステムの不具合に関することだけではなく、いろいろなことが読み取れます。
そして、そのログを閲覧する権利は管理者（穂スティングの利用者）にはあります。


>>4
/var/spool/mqueue
MTAが使うメールキュー
/var/spool/clientmqueue
MSPが使うメールキュー

簡単にいえば、前者はネットワークから受け取り送信するメールが入るキュー。
後者は、ローカルから送信されるメールが入るキュー