【至急】メールで不正な試みをされているようなんです・・・。

自宅サーバーをこの度初めて立ち上げた初心者です・・・。
別カテで回答頂けなかったので、こちらで新規に質問させてください。T_T

今まで順調に運営出来ていたのですが、ここ数日調子が悪く、色々と調べてみて、似たような記事は幾つか確認出来たのですが、解決出来ないためご相談させていただきました。よろしくお願いします。

実は、メールの調子がおかしく調べてみたところ、maillogに大量の送信試み？？の記述がありました。多分ですが・・・。以下の様な記述です。


Oct 19 06:47:26 www qmail: 1958476251.874115 delivery 91113: deferral: Connected_to_***.***.***.***_but_greeting_failed./Remote_host_said:_421_4.7.1_[TS03]_All_messages_from_61.**.**.***_will_be_permanently_
deferred;_Retrying_will_NOT_succeed._See_?http://postmaster.yahoo.com/421-ts03.html/?


こんな感じで、凡そですが10万件程度これらの記述が確認出来ました。
これってまずいのでしょうか・・・？ログの行数も半端ない数になっていますしメールの機能に問題も出てきています。

今回ご相談させて頂きたいのは、

1：このログの意味は一体なんでしょうか？何らかの不正な試みが行われているのでしょうか？

2：これらの行為への対処法

初心者なので憶測ですが、この記述があるところからサーバーの調子がおかしくなった気がいたします。

1の回答にもよるかと思いますが、この記述が悪いものであれば、何らかの対策を取りたいと思いますが、具体的な対策法などわからず困っております。お詳しい方いらっしゃいましたらアドバイス頂けないでしょうか？

特に問題ないのであればいいのですが・・・。


よろしくお願いします。

No.5 ベストアンサー 回答者： SN1701 回答日時： 2009/10/19 18:23

ログを見て知りたかったのは、qmailがメール受け取った時の接続元IPアドレスです。

それで、第三者からのメールを中継しているのか、自分のネットワークから出したメールを中継しているのか、区別できると思ったので。

ただ、qmailをしばらく使っていないので、記憶が薄れているのですが、qmailでは設定によっては接続元の情報がログに出なかったかも知れません。

qmailの中継（リレー）に関連する設定は、例えば、このあたりになると思います。
http://www.syns.net/2/2/index.html#control
http://www.syns.net/2/2/index.html#tcpserver

例えば、qmailは、/var/qmail/control/rcpthosts が無いと、すべての中継を許可してしまうようです。
http://yang.amp.i.kyoto-u.ac.jp/~yyama/FreeBSD-3 …

もっとも、普通に設定していれば、何でも中継してしまうような設定にはならないと思うので、不正中継が原因だと決めてかかるのも危険な気はします。

No.4の方の回答にあるように、第三者不正中継をしてしまう可能性があるか、チェックしてくれるサービスがあるので、
それでチェックしてみるのは、一つの切り分けの判断材料になると思います。
http://www.rbl.jp/svcheck.php

他にも、「qmail 不正中継」などのキーワードで検索すれば、いろいろ参考になるページが見つかると思います。
qmail関係の書籍等も参考にされた方がいいでしょう。

この回答への補足

色々と有難う御座いました。

ログの一部が保存期間の兼ね合いで全て確認できない部分もあるのですが、今回はフォームのCGIに問題がある事が判明いたしました。修正したところ、元に戻り大量のログも嘘のようになくなりました。

アドバイスを頂けた事感謝しています。
有難う御座いました。

補足日時：2009/10/30 13:12

この回答へのお礼

SN1701様、何度も有難う御座います。

良くない方向に行っている気がいたします・・・。

>>ログを見て知りたかったのは、qmailがメール受け取った時の接続元IPアドレスです。

これは先ほどので***という伏字にしているIP部分でしょうか？そうであれば、私のとは異なるIPが記述されています。それ以外のIPは今見ているログには確認出来ないようです。

取りだてて対策としては、まず何を行えばよいでしょうか。少々焦っております。下でも報告しましたが中継のエラーは5つ表示されてしまいました。

何か、現状から対策できる方法などありましたらお伺いできると喜びます・・・。取り合えず、qmail関連の書籍を買いに行ってまいります。

皆様アドバイス感謝いたします。

お礼日時：2009/10/19 18:37

No.9 回答者： winarrow07 回答日時： 2009/10/20 13:54

エラーログの内容を自分で調べる力や知識もないのにサーバを立てるとこのように自分だけでなく世界中の多くの人に迷惑をかける可能性があることが分かったと思います。

即刻サーバを停止してください。心からお願いします。

No.8 回答者： mattalix 回答日時： 2009/10/20 12:22

・すでに踏み台に使われていて

・spam送信実績があるのでyahoo.comから拒絶されています

http://help.yahoo.com/l/us/yahoo/mail/postmaster …
we are seeing a high volume of messages from your IP address
このぐらいは読めますね？

ただちにqmailを停止させ、認証なしで中継されないよう設定して下さい
qmail-smtpdの設定に問題がないのに中継されている場合には、フォームメールCGIに穴がある場合が多いです

この回答へのお礼

mattalix様

アドバイス有難う御座います。
現在も試行錯誤中です。
CGIも調べてみたいと思います。

ちなみにサーバーは現在停止しています。

お礼日時：2009/10/20 22:28

No.7 回答者： tom233 回答日時： 2009/10/19 20:26

>何かこの状況から行う手立ては無いでしょうか・・・。

サーバを即刻停止する。

>自宅サーバーをこの度初めて立ち上げた初心者です・・・。
質問者のような人間がサーバ公開することが本人以外にどれだけ迷惑な行為か理解しましょう。
http://slashdot.jp/security/article.pl?sid=08/09 …

>今まで順調に運営出来ていたのですが
本当にそうかな?
不正中継されるような人の様ですから今頃バックドアを仕掛けられて踏み台に利用されている可能性もありますよね。
(ログ改変されていて気がついてないだけの可能性も高いですね。)

この回答へのお礼

tom233様

アドバイス感謝いたします。
仰るとおりでご指摘頂いた内容が心苦しいです。

ただ、他のログも合わせて確認しました結果、メールの送信自体は尾k所なわれていません、結果、私自身への問題が発生している限りのようです。

もっと、勉強して行きたいと思います。。。

お礼日時：2009/10/19 23:14

No.6 回答者： SN1701 回答日時： 2009/10/19 19:11

Connected_to_***.***.***.***_but_greeting_failed の部分の伏せ字になっているIPアドレスでしたら、接続先（yahoo.com）のメールサーバのIPアドレスだと思います。

それ以外に、IPアドレスがないのなら、接続元はログに出てないような気がします。

5項目のテストで中継する可能性があるという結果だったそうですが、
qmailにパッチを当てていない場合、qmail特有の問題で引っかかっている可能性があります。

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.ph …
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.ph …

どういうテスト項目で引っかかったのかが重要なので、確認されることをおすすめします。

この回答へのお礼

SN1701様有難う御座います。

本当に感謝いたしております。

パッチの件も確認してみたいと思いますが、何分時間が掛かりそうですので、場合によっては一旦サーバーを停止して、その間に対処しようかと思います。

パッチのあて方も難しそうですね・・・。


ただ、今回は皆様のご助言があり、前向きに対応していくことが出来そうで、本当に感謝しています。本当です。T_T
心より有難うございます。

現状、解決には至りませんが、皆様の助言を下にさらに頑張って解決へと導いていきたいと思っています。

このスレは申し訳ないですが、もう少し開放させておいてください。
今後、同じような方のヒントになるかと思うと、そうしたく思います。

わがままを言いますが、メッセージを頂けた方全てに本当に感謝しています。有難うございました。
もし、ここまでの情報で何でも結構です、関連すると思われる情報をご提供頂ける方はメッセージいただけますと幸いです。

それでは、引き続き頑張って調べてみたいと思います！！！

お礼日時：2009/10/19 23:22

No.4 回答者： tekuina 回答日時： 2009/10/19 18:15

このページ (参考URL) にあなたのメールサーバのホスト名を入力し、結果が赤字で表示された場合は、不正中継を許す設定になっている可能性が高いです。

参考URL：http://www.rbl.jp/svcheck.php

この回答へのお礼

tekuinaさん、アドバイス有難う御座います。

早速チェックしてみました、19個くらいのチェックが始まり、なんと！All tests performed, 5 relays accepted.ということで5つの問題点が赤字で表示されてしまいました・・・。T_T

困りました・・・。
何かこの状況から行う手立ては無いでしょうか・・・。
tekuinaさん、そして皆さんよろしくお願いします。

お礼日時：2009/10/19 18:32

No.3 回答者： FEX2053 回答日時： 2009/10/19 16:37

送信を繰り返したけどダメだった、ということは、送信を繰り返して

いる、って事に他なりません。送信を繰り返すということで、一番
考えやすいのは「ウイルスメール」ですからね。この場合発信できたか
出来てないかは関係ないですよね（発信側が感染してるんですから）。

全ての送信メールのヘッダーを解析し宛先をチェックしてみて下さい。
宛先が全部違えば、ウイルスメール決定です。

宛先が同じだと、メールソフトの設定上の問題じゃないかと。そうなる
と現地でトライ＆エラーしないと何とも言えないです。

この回答へのお礼

FEX2053さん何度も有難う御座います！！

ウィルスと言う言葉が出てきますと怖いですね・・・。
ウィルスでは無い事を祈ります。

>>全ての送信メールのヘッダーを解析し宛先をチェックしてみて下さい。
>>宛先が全部違えば、ウイルスメール決定です。

すみません、理解することが出来ない部分もあるのですが、ヘッダーとは送信メールのヘッダーになるのでしょうか？送信自体は恐らくされていないと思うので、その場合確認方法がわかりません・・・。

一応、メールログの塊を記載してみます。
本日は△△△@△△△.comと記載がある部分は、ほぼ同じメールアドレスと成っています。

Oct 19 13:10:58 www qmail: 1158489366.009859 starting delivery 91251: msg 379181 to remote △△△@△△△.com
Oct 19 13:10:58 www qmail: 1158489366.009932 status: local 0/10 remote 1/20
Oct 19 13:10:58 www qmail: 1158489366.580651 delivery 91251: deferral: Connected_to_***.***.***.***_but_greeting_failed./Remote_host_said:_421_4.7.1_[TS03]_All_messages_from_***.***.***.***_will_be_permanently_d
eferred;_Retrying_will_NOT_succeed._See_http://postmaster.yahoo.com/421-ts03.html/
Oct 19 13:10:58 www qmail: 1158489366.580727 status: local 0/10 remote 0/20


ちなみに、このドメインにアクセスするとyahoo.comに飛ばされてしまいます。

ウィルスなのでしょうか・・・、ショックです。T_T
何度も申し訳御座いませんが、宜しくお願いいたします。

お礼日時：2009/10/19 17:14

No.2 回答者： SN1701 回答日時： 2009/10/19 16:34

この情報だけ見ると、qmailの設定ミスで不正中継され、結果としてyahoo.comに大量のメールを送りつけてしまい、yahoo.comに拒否されているように思います。

ログをちゃんと調べれば、この行より前に、どこかからメールを受け取った時のログがあるはずです。それを見ればもっとはっきりするでしょう。

設定ミスなら、qmailの設定をきちんとするほかないです。
普通、第三者間のメールの中継は許可しないように設定します。
それが許可されてしまっていると、迷惑メールを送信するのに使われてしまいます。
今回を例とするなら、迷惑メール業者とyahoo.comの間ですね。

対策方法がわからなくても、とにかく止めたいのなら、qmailを停止するのが一番です。
yahoo.com以外にもメールを送りつけている可能性がありますし、いったん止めた方がいいのではないかと思います。
配信は失敗していますが、それはyahoo.com側が拒否してくれているだけで、平たく言えば迷惑だから送らないでくれと言われているわけです。
そのログに出ているメッセージは、あなたのIPアドレスからのメールは永久に延期され、再送信は失敗するという意味ですので。

設定ミスという推測が当たっていた場合、ちゃんと設定を見直さないと、再インストールしても同じ設定なら同じことになります。

別の可能性としては、あなたの別のパソコンが、このサーバ経由でメールを送る設定になっていて、なおかつウイルスに感染している可能性も考えられないこともないですが。
それも、ログを調べればある程度わかるでしょう。

この回答へのお礼

SN1701さん有難う御座います。

アドバイス頂き感謝いたします、不慣れなため1つ調べるのにも大変時間が掛かってしまいまして・・・。

>>ログをちゃんと調べれば、この行より前に、どこかからメールを受け取った時のログが>>あるはずです。それを見ればもっとはっきりするでしょう。

本日のログを見てみました。ドメインは載せないほうがいいのでしょうか・・・？
とりあえず、殆どが今日はあるドメインからのものでしたが、そのドメインにアクセスすると、リダイレクトか何かでしょうか？

こちらのページに飛ばされます。yahoo.comのようです。

https://login.yahoo.com/config/login_verify2?.in …


>>設定ミスなら、qmailの設定をきちんとするほかないです。
>>普通、第三者間のメールの中継は許可しないように設定します。
>>それが許可されてしまっていると、迷惑メールを送信するのに使われてしまいます。
>>今回を例とするなら、迷惑メール業者とyahoo.comの間ですね。

そうなのですか・・・。
すみません、どういったものが設定ミスになるのでしょうか？もし、例を挙げていただけるようなものがあると助かります・・・。タイムロックを設定しないとか、ロック時間が以上に長いとかでしょうか？

また、第三者間のメールの中継は許可しないとありますが、こちらはどういった部分の設定になるのでしょうか？何度も申し訳ありませんが、ご回答頂けますと幸いです。

お礼日時：2009/10/19 17:02

No.1 回答者： FEX2053 回答日時： 2009/10/19 14:55

要はウイルスに感染して、大量に迷惑メールを送ってるんじゃ

ないかと。詳細はこちらを、どぞ・・・って英文ですけど。

http://help.yahoo.com/l/us/yahoo/mail/postmaster …

大至急、再セットアップしちゃった方がヨサゲな気もします。

この回答へのお礼

早速のアドバイス有難う御座います。

URL拝見しました、が、完全には理解できませんでした。^^;

>>大至急、再セットアップしちゃった方がヨサゲな気もします。

そうなのですか・・・、すみません初心者なもので勘違いかも知れませんが、上記に記載した内容ではメールの配信は行っていない様に思いますが違いますでしょうか？

送信を試みるけれど駄目だった・・・。の繰り返しの記述のようなのですが、実際の送信の記述なのでしょうか・・・。

いずれにしても何とか対策を取りたいと思いますので、些細な事でも結構ですので、アドバイスお待ちしております。

※再セットアップは一番最後の手段でお願いいたします。

お礼日時：2009/10/19 16:02