踏み台にされたかどうかの確認はどうすれば

CentOS がインストールされたサーバで、メールサーバ（postfix）を運用しています。
昨夜から、他のメールサーバからのスパム報告やセキュリティ報告のメールが多数届くようになりました。

メールのタイトルは下記のようなものです。
Email was Quarantined
[Virus Notice] Payroll Invoice
**あなたの送信したメールはスパムフィルタによってブロックされました**
MDaemon Notification -- Attachment Removed

送信元は多岐にわたっていて、文面から、メールサーバのスパムチェッカやウィルスチェッカが送ってきたメールだと思われます。

拒否メールの宛先（もともとのスパムメールの送信元）は、下記のようにデタラメな英数字で作られていて、スパムであったことが推測されます。（*****.***の部分は実在する私のドメインです）
sojournrjm178@*****.***
nagshq@*****.***
unravellingjia@*****.***
存在しないアカウント宛のメールをすべて1つのアカウントで受信するようにしているので、気がつきました。

それで、踏み台にされているかもしれないと思って maillog を見てみたのですが、上記のメールを受信したログは見つかるのですが、もともとのスパムメールを送信した形跡が見つかりませんでした。
mailq にもそれらしい未送信のキューはありませんでした。

他のサーバから送られてくるセキュリティ警告メールは機械的に処理されるものなので、メールを受信したらすぐに返信されるものだと思っているのですが、送信ログがないのに、警告メールの受信だけが続いている感じです。

昨日まではこのようなことはなかったのですが、昨夜の日付が変わったころから急に発生し結構な頻度で警告メールが送られてきています。

postfix の改ざんも疑うべきでしょうか？
他にチェック項目とか、対策できる項目は何かありますでしょうか？

No.1 ベストアンサー 回答者： Wr5 回答日時： 2014/02/26 12:20

外部からログインされてmaillogを改ざんされている。

というのでなければ、スパマーが送信者のアドレスとして貴方の管理下のドメイン名を偽装しているのでしょう。
で、送信された先でエラーメールなりなんなりを自動返送するようになっていると思われます。

つまり、貴方のサーバから送信されていないので手の打ちようがありません。


送られてきている報告メールに元々のメールのヘッダ情報とかついていれば、とりあえずどこのIPから出されたものなのかを調べることは可能かも知れません。
# まぁ、調べられたとしても、その後の対処の方法がないのですが……。

>存在しないアカウント宛のメールをすべて1つのアカウントで受信するようにしている

で、フィルタして破棄するくらいしかないんじゃないですかねぇ……。

この回答へのお礼

早速の回答ありがとうございます。

rootアカウントや、その他のアカウントにログインされた形跡はありませんし、maillog の改ざんもされていないと思います。

「スパマーが送信者のアドレスとして貴方の管理下のドメイン名を偽装している」という可能性は高いのでしょうね。昨夜から急に現れたのでびっくりしてしまったのですが、スパマーに拾われただけという解釈にしたいと思います。

機械的に処理されているメールなので、先方の担当者には致命的な迷惑はかかっていないと考えて、フィルタリングして無視するしか手はなさそうですね。

お礼日時：2014/02/26 14:04

No.3 回答者： ahoo_ok 回答日時： 2014/03/02 11:00

>maillog の改ざんもされていないと思います。

巧妙に改ざんなんてされていたらそれが改ざんされていたかなんてわからない。

>rootアカウントや、その他のアカウントにログインされた形跡はありませんし
さてねぇ。どうだろうね。改ざんされていたり質問者が気づいていないだけで
すでにログインされていたりバックドアが仕掛けられていたり