2022年01月15日
Tweet
あるとき、メールがスパムになってしまい届かなくなったという連絡がきました。
おそらく何らかの理由でパスワードが漏れ、踏み台になっているかクライアント側からメールが大量に送られているのだと考えていました。
調査をしても、なんらおかしい動作はしていませんでした。
ただしく処理が行われており、異常な動作はありませんでした。
しかしメールキューには大量のメールがあるのもまた事実でした。
調べてもまったく原因が不明で、でもログはものすごい量でなかなか調査が進みませんでした。
で、引き続き時間をかけてログを調べていると以下のログが出ていました。
blocked using internal list; Too many unknown addresses, probable dictionary harvest attack.
ハーベストアタックではないか?というログが出ていました。今まで何年も運用していますが、あまりみた記憶がありません。
結局このサーバーは、
1. 存在しないアドレスのメールを受け取る
2. 受け取れないのでエラーメールを返す
3. Return-Path が詐称されているため、スパムのようにエラーメールをばらまく
4. 大量にメールが届くので相手方で拒否される
と言う内容のようです。
とりあえず以下の設定を入れていなかったので入れておきました。
disable_vrfy_command = yes
おそらく何らかの理由でパスワードが漏れ、踏み台になっているかクライアント側からメールが大量に送られているのだと考えていました。
調査をしても、なんらおかしい動作はしていませんでした。
ただしく処理が行われており、異常な動作はありませんでした。
しかしメールキューには大量のメールがあるのもまた事実でした。
調べてもまったく原因が不明で、でもログはものすごい量でなかなか調査が進みませんでした。
で、引き続き時間をかけてログを調べていると以下のログが出ていました。
blocked using internal list; Too many unknown addresses, probable dictionary harvest attack.
ハーベストアタックではないか?というログが出ていました。今まで何年も運用していますが、あまりみた記憶がありません。
結局このサーバーは、
1. 存在しないアドレスのメールを受け取る
2. 受け取れないのでエラーメールを返す
3. Return-Path が詐称されているため、スパムのようにエラーメールをばらまく
4. 大量にメールが届くので相手方で拒否される
と言う内容のようです。
とりあえず以下の設定を入れていなかったので入れておきました。
disable_vrfy_command = yes
stock_value at 15:08│Comments(0)│技術