これが、不正アクセスなんでしょうか？

やっと、メールサーバーの運用ができるかもと思いきや。。。。
ログにこんな表示があったんですが。。。。

--------------------- iptables firewall Begin ------------------------


Logged 783 packets on interface eth0
From 59.135.39.225 - 19 packets to tcp(25)
From 59.135.39.228 - 5 packets to tcp(25)
From 59.135.39.229 - 20 packets to tcp(25)
From 59.135.39.230 - 5 packets to tcp(25)
From 59.135.39.231 - 4 packets to tcp(25)
From 59.135.39.233 - 5 packets to tcp(25)
From 59.135.39.234 - 10 packets to tcp(25)
From 59.135.39.235 - 14 packets to tcp(25)
From 59.135.39.236 - 5 packets to tcp(25)
From 59.135.39.238 - 5 packets to tcp(25)
From 59.135.39.239 - 5 packets to tcp(25)
From 59.135.39.241 - 10 packets to tcp(25)
From 59.135.39.242 - 5 packets to tcp(25)
From 59.135.39.243 - 5 packets to tcp(25)
From 59.135.39.244 - 20 packets to tcp(25)
From 114.111.83.217 - 11 packets to tcp(36701)
From 115.125.246.68 - 21 packets to tcp(25)
From 118.166.221.149 - 2 packets to tcp(25)
From 203.216.243.170 - 11 packets to tcp(52520)
From 211.9.230.193 - 9 packets to tcp(25)
From 211.9.231.193 - 8 packets to tcp(25)
From 211.132.128.193 - 40 packets to tcp(35135,40197,41037,41145,59982,60962)
From 219.103.130.24 - 18 packets to tcp(25)
From 219.103.130.34 - 129 packets to tcp(25)
From 219.103.130.152 - 9 packets to tcp(25)
From 219.103.130.154 - 248 packets to tcp(25)
From 221.242.76.82 - 96 packets to tcp(25)
From 222.15.69.195 - 44 packets to tcp(36270,36271,36272,36273,60169)

---------------------- iptables firewall End -------------------------

一応、最低限度のファイアーウォールはしてるつもりなんですが。。。。
いい方法があれば、教えてください。

No.1 回答者： Wr5 回答日時： 2009/10/29 00:29

[user@localhost ~]$ host 59.135.39.225

225.39.135.59.in-addr.arpa domain name pointer nx3oBP05-01.ezweb.ne.jp.
[user@localhost ~]$ host 115.125.246.68
68.246.125.115.in-addr.arpa is an alias for 68.0/24.246.125.115.in-addr.arpa.
68.0/24.246.125.115.in-addr.arpa domain name pointer www.rbl.jp.
[user@localhost ~]$ host 118.166.221.149
149.221.166.118.in-addr.arpa domain name pointer 118-166-221-149.dynamic.hinet.net.
[user@localhost ~]$ host 211.9.230.193
193.230.9.211.in-addr.arpa domain name pointer mgkyb1.nw.wakwak.com.
[user@localhost ~]$ host 211.9.231.193
193.231.9.211.in-addr.arpa domain name pointer mgkyb2.nw.wakwak.com.
[user@localhost ~]$ host 219.103.130.24
24.130.103.219.in-addr.arpa domain name pointer mgdnp1.nw.wakwak.com.
[user@localhost ~]$ host 219.103.130.34
34.130.103.219.in-addr.arpa domain name pointer fbdnp1.nw.wakwak.com.
[user@localhost ~]$ host 219.103.130.152
152.130.103.219.in-addr.arpa domain name pointer mgdnp2.nw.wakwak.com.
[user@localhost ~]$ host 219.103.130.154
154.130.103.219.in-addr.arpa domain name pointer fbdnp2.nw.wakwak.com.
[user@localhost ~]$ host 221.242.76.82
82.76.242.221.in-addr.arpa domain name pointer 221x242x76x82.ap221.ftth.ucom.ne.jp.
[user@localhost ~]$

ということで、59.135.39.xxxはauのケータイからのアクセス。
手持ちのauのケータイで、立ち上げたメールサーバを使用した送信テストとかしませんでしたか？
# ケータイから外部のSMTPサーバに接続できるのかどうかは不明ですが。
www.rbl.jpは不正中継サーバの確認用…ですかね。
wakwak.com系が複数ありますが…転送テストかなにかでもやったんでしょうか？
dynamic.hinet.netから2パケットありますが…たぶん乗っ取られたマシン等からのポートスキャンでもうけたのでしょう。
# って25番ポートだけなので、ポートスキャンとは少し違うか…　オープンリレーのできるメールサーバを探しているものが接続してきた…かな？
ftth.ucom.ne.jpもオープンリレーの調査…でしょうかねぇ。
他の25番以外に接続しているモノは…不明ですね。

んで、25番開けているのであれば、メールの配信で接続されることもあるでしょう。
メールサーバのログの方を確認すべき…かと思いますが。

iptablesでログを取るようにしていないので、こちらは特に出ていないです。
# まぁ25番を外部に開けていませんし。

この回答へのお礼

Wr5さん早速の回答ありがとうございます。
まだまだ未熟者で、わからない事もたたありますが、
勉強していこうとおもいます。今回の回答大変役立ちました。
　実際ルーターを使用して、バーチャルサーバー機能を使用し、
最低リレーだけは、されないように構成してます。
あと、ＣｅｎｔＯＳ5で、ｐｏｓｔｆｉｘ、ｄｏｖｅｃｏｔの構成なのですが、
ｓｍｔｐ認証、ｉｐｔａｂｌｅ等での対策はしているのですが、
どの様な不正アクセスを含め、ウイルスの対策をしていけばよいのでしょうか？
また、その他のログの見方設定等も教えていただけないでしょうか。
よろしくお願いします。

お礼日時：2009/10/30 01:10