![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?5a7ff87)
VPSサーバーをレンタルし、独自ドメインでメール及びwebサイトを構築しています。FreeBSD4.7とsendmailで送信にはSMTP authを採用していますが、突然メール送受信不可となりサポートへ相談すると、「アカウントから大量のメール送信があり、sendmailのプロセスが異常に増えストップしている」と説明されました。
サポートでsendmailを再起動し復旧しましたが、対処方法はユーザのメールPWを変更するしかないと説明されました。それは即ち、サーバーでなくメールPWが漏れていて、アカウントから不正送信がされているとの説明でした。
/var/log/mail ログには、「@paypal.com」や、怪しいメールアドレス宛の送信ログが大量に残り、defferdを示していました。また、/var/spool/mqueue にも未送信のデータが数千と残っていました(削除してもらい済み)。
そこで以下の疑問があります。
1.このサポートセンターの説明は正しいと思われますか?
現在150ほどのアカウントを管理していますが、PWはもともと難解に設定しており、簡単に漏れるとは思えません(エンドユーザが勝手に変更出来ないようにも設定済)もっと別の原因は考えられませんか?
2. 150近いアカウントのPW全変更は大変な作業である上、実際メールを利用しているのはクライアントの為、最小限に抑えたいのです。
ログから、クラックされているアカウントを目星だけでもと質問したのですが、ログからは調査不可の説明でした。これも本当に無理ですか?送信元の情報も(IPアドレスやホスト名など)と質問しましたが、送信元は偽装してくるとかで、これも特定不可と説明されました
4.ちょっと本筋とは外れるのですが、/var/spool/mqueueと同じディレクトリにある、clientmqueueは何が違うのでしょうか?
サポートに連絡しても、はっきりと説明をしてくれませんでした。(たぶん分からないのだと思いますが・・・)
お願いします。
A 回答 (1件)
- 最新から表示
- 回答順に表示
No.1
- 回答日時:
1,2に関しては、ログみないとなんともいえないことを予め書いておきます。
>>1
正しい可能性はあります。
まず、第三者中継に関する対策が完全になされていたと仮定して。
原因としては、SMTP authのユーザーアカウントとそのパスワードが漏れて、そのアカウントを利用して送られた。
サーバ自体に不正アクセスされた。
他のシステムの脆弱性を突かれた。
など可能性は多数考えられます。
その可能性のうち、いずれか、またはその組み合わせかということを調べるのにログが必要です。
パスワードの漏れ方としては、
・ユーザーから漏れた場合
・サーバにアタックかけられた場合
が簡単なところだとあります。
前者は、ユーザーのPCなどにスパイウェアなどを仕掛けられるなど事故によるものや、ユーザーがちゃんとパスワードを管理していなかったなど比較的簡単に起きます。
後者は、まず、辞書に載っている言葉などで、認証をしようとして、パスワードではじかれたら、ユーザーは固定して、パスワードは総当りで調べていくなど。
SMTP auth用のアカウント情報が漏れただけなら、ログを操作されることはないでしょうから、ログ見ればどのアカウントで認証されたかわかるでしょう。
2については、クラックされた方法によるでしょう。
1で説明したように、SMTP authの認証のためのアカウント情報が漏れて、それが利用されただけならば、きちんとログをとる設定にしてあれば、メールログに認証のログが残っているでしょう。
ログを書き換えるようなクラックをされていれば、ログに残ってないでしょうけど。
個人的な意見を言わせてもらうと、別に送信元もクラックされたアカウントもわからなくてもいいからログを閲覧することを要求します。
共有ホストであろうが、占有であろうが、自分のところに関するところだけでよいので、よこせといいます。
もし、ログを渡さないようであれば、別の会社の穂スティングサービスに乗り換えるでしょう。
ログからはシステムの不具合に関することだけではなく、いろいろなことが読み取れます。
そして、そのログを閲覧する権利は管理者(穂スティングの利用者)にはあります。
>>4
/var/spool/mqueue
MTAが使うメールキュー
/var/spool/clientmqueue
MSPが使うメールキュー
簡単にいえば、前者はネットワークから受け取り送信するメールが入るキュー。
後者は、ローカルから送信されるメールが入るキュー
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Google+ ブランド品偽物サイトからのメールを拒否する方法 批判覚悟で投稿します。 とあるサイトからブランド品を 2 2023/01/11 21:49
- その他(ソフトウェア) PC上のOutlookでIMAPアクセス時の送信が出来ない。Android上では問題なし。 2 2022/09/28 11:22
- その他(メールソフト・メールサービス) Windows10付属のメール、なぜ設定が劇的に簡単になったのか? 1 2022/12/16 13:14
- Amazon ネット初心者に詐欺・フィッシングメールを確実に見分けさせる方法はありあせんか? 5 2023/06/28 11:03
- サーバー 接続・ログインはできているのにメールが送信できない 2 2022/06/27 15:03
- その他(メールソフト・メールサービス) メールサーバーは「PC側がメールをDL済みか否か?」を何を以て感知するのか? 2 2022/12/20 14:56
- ガラケー・PHS SMSメールの受信遅延原因はガラケー自体の欠陥では 8 2022/08/06 11:46
- UNIX・Linux Ubuntuサーバーでメールを受信できない 7 2022/08/23 20:55
- その他(悩み相談・人生相談) 自分が心配性すぎて苦しいです。 誰か、励ましてください、、、。 outlookアカウントについてです 7 2022/08/16 17:12
- Outlook(アウトルック) PCで登録途中の画面から認証コードを確認する方法を教えてください。 3 2022/09/29 06:11
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
sendmailで遅延が発生したとき...
-
外付けHDDへのアクセスログを取...
-
フォルダを移動した犯人は誰?
-
IISのログに出力される「GET」...
-
Windowsのシステムログをsyslog...
-
Apacheのログ206,304,404等につ...
-
ログ(足跡)について。いっぱ...
-
詳細なログが出力できるルータ...
-
フォルダを作成した人 or IP...
-
TeraTermのログが正しく取得出...
-
ネットでの用語について質問が...
-
投稿者のIPを保存しない掲示板...
-
Cosminexusのログエージェント...
-
ウェブページ改竄
-
アクセス解析について
-
WinXPでログをとるには、どうし...
-
私は素人なのですが、ログに容...
-
WIN2000 IIS ADSL アクセス...
-
NW機器のログ監視
-
UPSとサーバ2台の接続について
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
TeraTermのログが正しく取得出...
-
フォルダを移動した犯人は誰?
-
IISのログに出力される「GET」...
-
ログとダンプの違いって・・・
-
外付けHDDへのアクセスログを取...
-
Webで重い処理をするとリクエス...
-
sendmailで遅延が発生したとき...
-
固定ではないはずなのにIPアド...
-
Windowsのシステムログをsyslog...
-
DISMのログを見る方法を教えて...
-
Cosminexusのログエージェント...
-
USBを刺した記録を消す方法
-
ユーザアカウント等の管理にお...
-
Apacheのログ出力方法とローテ...
-
フォルダを作成した人 or IP...
-
Apache アクセスログ 不審な足跡
-
NW機器のログ監視
-
windows10 パソコンのログイン...
-
パフォーマンスログ
-
アクセスログを取る方法
おすすめ情報