2020年07月14日
Tweet
ここ最近はずっと大丈夫だったように思うのですが、またスパムメールを大量に送信されてしまうサーバーが出てしまいました。
理由としては非常に単純で、ユーザーが簡単なパスワードを利用していたというもののようです。
まずはスパムの送信を止めたり、ユーザーのパスワードを変更したり。そういうのを最初に行いました。
続いて今後は以下の方法でログを調べていこうと思います。
# grep sasl_username /var/log/maillog |egrep -v 'google.com|192.168' |awk '{print $1,$2,$7,$9}' |sort |uniq -c|sort
※ SMTP認証のときに、sasl_username を含んだログが出ます。この結果から、どのメールアドレスからメールが送信されているのかわかります。
以下のような感じで、集計を行った時点までで、どのぐらいのメールを送信しているのかわかります。
1 Jul X client=プロバイダ名[IP], sasl_username=[メールアドレス]
2 Jul X client=プロバイダ名[IP], sasl_username=[メールアドレス]
4 Jul X client=プロバイダ名[IP], sasl_username=[メールアドレス]
6 Jul X client=プロバイダ名[IP], sasl_username=[メールアドレス]
同様にスパムを送信していたときは、以下のようになっていました。
577 Jul X client=unknown[IP], sasl_username=[メールアドレス]
596 Jul X client=unknown[IP], sasl_username=[メールアドレス]
605 Jul X client=unknown[IP], sasl_username=[メールアドレス]
上位3件だけで抜きましたが、送信量がぜんぜん異なっています。
毎日ログをチェックし、ある日いきなり送信件数が増えていた場合にはすぐに対応したいと思います。
理由としては非常に単純で、ユーザーが簡単なパスワードを利用していたというもののようです。
まずはスパムの送信を止めたり、ユーザーのパスワードを変更したり。そういうのを最初に行いました。
続いて今後は以下の方法でログを調べていこうと思います。
# grep sasl_username /var/log/maillog |egrep -v 'google.com|192.168' |awk '{print $1,$2,$7,$9}' |sort |uniq -c|sort
※ SMTP認証のときに、sasl_username を含んだログが出ます。この結果から、どのメールアドレスからメールが送信されているのかわかります。
以下のような感じで、集計を行った時点までで、どのぐらいのメールを送信しているのかわかります。
1 Jul X client=プロバイダ名[IP], sasl_username=[メールアドレス]
2 Jul X client=プロバイダ名[IP], sasl_username=[メールアドレス]
4 Jul X client=プロバイダ名[IP], sasl_username=[メールアドレス]
6 Jul X client=プロバイダ名[IP], sasl_username=[メールアドレス]
同様にスパムを送信していたときは、以下のようになっていました。
577 Jul X client=unknown[IP], sasl_username=[メールアドレス]
596 Jul X client=unknown[IP], sasl_username=[メールアドレス]
605 Jul X client=unknown[IP], sasl_username=[メールアドレス]
上位3件だけで抜きましたが、送信量がぜんぜん異なっています。
毎日ログをチェックし、ある日いきなり送信件数が増えていた場合にはすぐに対応したいと思います。
stock_value at 11:56│Comments(0)│技術