2017年02月17日
Tweet
僕が管理しているメールサーバーが、ある日突然ブラックリストに掲載されるようになってしまいました。
ということで、以下の調査を行いました。
リレーエラーを確認
#cat /var/log/maillog |grep "Relay access denie" |less
大量にログが出てくる場合、アタックだと思われるためIPを拒否するなどした方がよさそうです。
メールサーバーに接続してくるサーバーを確認
#cat /var/log/maillog |grep "connect from" |grep -v disconnect |less
本当は sort とか uniq とか組み合わせた方がいいです。
特定のサーバーから接続が頻繁に行われている場合、スパム等の送信が行われている可能性があります。
※ただし僕の環境では大量に正しい接続もあり、あんまり参考にはなりませんでした。
RCPT from を確認する
#cat /var/log/maillog |grep "RCPT from" |less
このログも正常なものも含めて大量にでていました。このログのなかで、127.0.0.1 から大量にメール送信が行われていることが確認できました。
これはApache経由の可能性が濃厚です。
上記の通りなので、Apacheを経由して大量にメールが送信されているようです。引き続き、次回以降でチェックしていきます。

ということで、以下の調査を行いました。
リレーエラーを確認
#cat /var/log/maillog |grep "Relay access denie" |less
大量にログが出てくる場合、アタックだと思われるためIPを拒否するなどした方がよさそうです。
メールサーバーに接続してくるサーバーを確認
#cat /var/log/maillog |grep "connect from" |grep -v disconnect |less
本当は sort とか uniq とか組み合わせた方がいいです。
特定のサーバーから接続が頻繁に行われている場合、スパム等の送信が行われている可能性があります。
※ただし僕の環境では大量に正しい接続もあり、あんまり参考にはなりませんでした。
RCPT from を確認する
#cat /var/log/maillog |grep "RCPT from" |less
このログも正常なものも含めて大量にでていました。このログのなかで、127.0.0.1 から大量にメール送信が行われていることが確認できました。
これはApache経由の可能性が濃厚です。
上記の通りなので、Apacheを経由して大量にメールが送信されているようです。引き続き、次回以降でチェックしていきます。