パスワードを忘れた? アカウント作成
736272 journal

enhydraの日記: POP before SMTP下SPAMの正体見たりっ

日記 by enhydra

なんどもなんども悩まされてきたPOP before SMTPしてるのにSPAMを喰らう件の全体像がやっと見えてきた。シナリオはこうだ。以下の条件が成り立つ時にPOP Before SMTPのメールサーバでもSPAMの影響を受ける。

    * メールサーバの利用者がOCNなどでインターネットに常時接続している。
    * その利用者がトンネリング機能を備えたProxyをLANのGatewayとして使用している
    * そのProxyのTCP 25番ポートをメールサーバのTCP 25番ポートにトンネリングしている。
    * そのトンネリングしたポートをWAN側からも利用できる。
    * そのProxyが一時的なオープンリレーホストとしてSPAM業者に目を付けられている。

つまりLANの正規利用者がPOPした後の一定期間に限り、SPAMメールが流出する。正規利用者の手で認証されてだ。主に日中に流量が多いのは一般的な事務所の営業時間内に頻繁にPOPされるからであろう。

Proxy製品としてはBlackJumboDog(WinProxyの後継)などが該当する。スキルの低い「LAN構築・インターネット構築(?)請負業者」の類が、このソフトウェアをGatewayによく使用するようだ。トンネリングされたポートのアクセスコントロールが適切に行われていない場合、このような事態に陥る。
# この辺の注意を喚起する告知をしないとなぁ

Receivedヘッダの送信元ホストの情報が一致しないのはこのため。

また、退避した約1万件のメールキューから申告された送信元ホスト名の集計を採ったところ、50件程度の送信元が同時期にSPAMを行っていることが判った。何故かスイスやドイツなどヨーロッパの発信元が多い。
こういうSPAM業者の間ではオープンリレーホストのリストが流通していとは聞いているが、何故に同時期に仕事を始めるのかはよくわからないまま。

なんにせよ、示した要素に該当する人は即刻Proxyの設定内容と挙動をチェックすることをお勧めする。ってゆーかやれ

___
結局WinGateというソフトウェアでした。見たところインストール後のデフォルトの設定が全てのI/Fからの接続に対してサービスする設定だったので、LAN側だけに制限する設定をしてもらった。ひとまず解決。でもインストール時に明示的な警告なくこの設定がなされるのはおかしいぞ。
ついでに言うとそのサーバはNimdaにも掛かってたそうだ。

ち~ん

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...