enhydra (153) の日記
なんどもなんども悩まされてきたPOP before SMTPしてるのにSPAMを喰らう件の全体像がやっと見えてきた。シナリオはこうだ。以下の条件が成り立つ時にPOP Before SMTPのメールサーバでもSPAMの影響を受ける。
* メールサーバの利用者がOCNなどでインターネットに常時接続している。
* その利用者がトンネリング機能を備えたProxyをLANのGatewayとして使用している
* そのProxyのTCP 25番ポートをメールサーバのTCP 25番ポートにトンネリングしている。
* そのトンネリングしたポートをWAN側からも利用できる。
* そのProxyが一時的なオープンリレーホストとしてSPAM業者に目を付けられている。
つまりLANの正規利用者がPOPした後の一定期間に限り、SPAMメールが流出する。正規利用者の手で認証されてだ。主に日中に流量が多いのは一般的な事務所の営業時間内に頻繁にPOPされるからであろう。
Proxy製品としてはBlackJumboDog(WinProxyの後継)などが該当する。スキルの低い「LAN構築・インターネット構築(?)請負業者」の類が、このソフトウェアをGatewayによく使用するようだ。トンネリングされたポートのアクセスコントロールが適切に行われていない場合、このような事態に陥る。
# この辺の注意を喚起する告知をしないとなぁ
Receivedヘッダの送信元ホストの情報が一致しないのはこのため。
また、退避した約1万件のメールキューから申告された送信元ホスト名の集計を採ったところ、50件程度の送信元が同時期にSPAMを行っていることが判った。何故かスイスやドイツなどヨーロッパの発信元が多い。
こういうSPAM業者の間ではオープンリレーホストのリストが流通していとは聞いているが、何故に同時期に仕事を始めるのかはよくわからないまま。
なんにせよ、示した要素に該当する人は即刻Proxyの設定内容と挙動をチェックすることをお勧めする。ってゆーかやれ。
___
結局WinGateというソフトウェアでした。見たところインストール後のデフォルトの設定が全てのI/Fからの接続に対してサービスする設定だったので、LAN側だけに制限する設定をしてもらった。ひとまず解決。でもインストール時に明示的な警告なくこの設定がなされるのはおかしいぞ。
ついでに言うとそのサーバはNimdaにも掛かってたそうだ。
ち~ん