以前Webサーバーを踏み台にされた話をしましたが。
今度はMailサーバーを踏み台にされてしまいました;x;
ことの発端は以下のメールが送られてきたことでした。
————————————————————————————————
警告:お客様サーバーからのフィッシングメール送信行為について
いつもMyDNS.JPをご利用頂きましてありがとうございます。
お客様が使用している回線から、フィッシングメールがMyDNS.JPのメール
リレーサーバー経由で送信されていることを確認いたしました。
このような行為は、社会的に非常に迷惑であり、加入規約に反しており
ますので行なわないようにして頂けますようお願い致します。
再度行なわれた場合には、以後の利用を禁止させて頂きます。
もし身に覚えがないようであれば、お客様のサーバーがクラッキングを
受けていないかどうか確認をしていただけますようお願いいたします。
また、本件についてお客様のアクセス状況や個人情報を関係省庁に報告
することもありますので予めご了承ください。
————————————————————————————————
昼間はとりあえずスマホからVPNでメールサーバーを停止して、これ以上のスパム送信を防ぐ暫定措置をとり。
帰宅後にぐぬぬ、postfixで踏み台にされたお話を参考にログを解析しました。
以下が実際のログの一部です。
Sep 14 15:36:25 localhost postfix/smtpd[28698]: connect from unknown[216.251.77.186] Sep 14 15:36:27 localhost postfix/smtpd[28698]: 06A9780053: client=unknown[216.251.77.186], sasl_method=LOGIN, sasl_username=○○○○@mail.ranran.mydns.jp Sep 14 15:36:28 localhost postfix/cleanup[29044]: 06A9780053: message-id=<> Sep 14 15:36:28 localhost postfix/qmgr[1936]: 06A9780053: from=<info@rolandbest.com>, size=1949, nrcpt=5 (queue active) Sep 14 15:36:28 localhost postfix/smtpd[28698]: disconnect from unknown[216.251.77.186] Sep 14 15:36:29 localhost postfix/smtp[29045]: 06A9780053: to=<tunde.adeoye@aol.com>, relay=auth.gate-on.net[210.197.72.170]:587, delay=2.9, delays=1.7/0.02/0.1/1.1, dsn=2.0.0, status=sent (250 Ok: queued as 8C61DD73A9) Sep 14 15:36:29 localhost postfix/smtp[29045]: 06A9780053: to=<gordonbank11@gmail.com>, relay=auth.gate-on.net[210.197.72.170]:587, delay=2.9, delays=1.7/0.02/0.1/1.1, dsn=2.0.0, status=sent (250 Ok: queued as 8C61DD73A9) Sep 14 15:36:29 localhost postfix/smtp[29045]: 06A9780053: to=<adamfarm103@hotmail.com>, relay=auth.gate-on.net[210.197.72.170]:587, delay=2.9, delays=1.7/0.02/0.1/1.1, dsn=2.0.0, status=sent (250 Ok: queued as 8C61DD73A9) Sep 14 15:36:29 localhost postfix/smtp[29045]: 06A9780053: to=<honare.ravzio@ig.com.br>, relay=auth.gate-on.net[210.197.72.170]:587, delay=2.9, delays=1.7/0.02/0.1/1.1, dsn=2.0.0, status=sent (250 Ok: queued as 8C61DD73A9) Sep 14 15:36:29 localhost postfix/smtp[29045]: 06A9780053: to=<a4deoye2004@yahoo.com>, relay=auth.gate-on.net[210.197.72.170]:587, delay=2.9, delays=1.7/0.02/0.1/1.1, dsn=2.0.0, status=sent (250 Ok: queued as 8C61DD73A9) Sep 14 15:36:29 localhost postfix/qmgr[1936]: 06A9780053: removed
アカウントは伏せていますが、あるアカウントがハックされて1秒ごとに3~5通のペースでメールを送信していました。
(1週間余りでログが2Gぐらいになっていた)
参考にした「online106の日記」と同じで特定のアカウントをのっとってメールを不正に送信されていたようです。
とりあえず該当のアカウントのパスワードを変更して、様子を見ています。
今のところ、すべて認証エラーとなっていますが、先々のことを考えるとセキュリティを強化する必要がありそうです。
幸いにも「online106の日記」さんの中でそのことについても触れられているので、参考にして実施することにします。
とりあえず今日はここまで。