2010年07月29日

犯人を探せ

以前、ここキャピタルのメールドメインから大量のSPAMメールが送信されているとの指摘があったのですが、そのときは各パソコンのウィルス駆除を徹底的に行い、とりあえず様子を見ようとのことで一旦は終わっていました。

しかし最近また(というか以来ずっと?)SPAMが送信されているとの情報を受け、今回はさすがに本格的に調査をすることにしました。
mailserver.JPG
メールサーバー

話を聞いてみると職場の何人かからは特定のメールアドレスにメールが届かないとのこと。
どうやら、
 ・CapitolのメールサーバーがSPAMを送信しまくっている
   ↓
 ・SPAMメール発信元と認定されて、あるブラックリスト(Spamhaus XBL)に載ってしまった
   ↓
 ・そのブラックリストを採用しているドメインへのメールが送信できない
ということらしい。
spamhauslogo.jpg
ブラックリスト(spamhaus)に掲載された

とりあえずはメールサーバーのログファイルを見ようと思ってサーバーにログインしてみたのですが、
ログファイルのサイズがなんと11GB
1週間周期でアーカイブされる設定なので単純計算で、
1日あたり1.5GB以上!
200ユーザー足らずのメールサーバーでこのログの量。尋常じゃないことがすぐに分かりました。

あまりのデカさにログを表示することさえもままならなかったのですが、起動プロセスを見てみるとsmtpプロセスがやたらと多く、どうやらホントにSPAMを送信しているよう。

可能性としては、
  1.メールサーバーが外部からの踏み台にされて送信している
  2.Webメールの脆弱性を利用して送信されている
  3.ウィルス(Bot)感染により内部ユーザーが送信している

などが考えられたので、

まずは1の確認をしようと思い、
 ・Web上で不正中継チェックをしてみたところ特に問題はなし。
 ・SMTPサーバーの設定ファイルのパラメーターを一通りチェックしてみても問題なさそう。

次に2の確認をしようとWebメール側のログを見てみると、、、
見覚えのないIPアドレスから特定のメールアカウントにログインされてそこから毎日大量のメールが送られていました。
Openwebmail.jpg
Webメール

後で調べてみるとこのSPAMを送信している特定のメールアカウントはすべてデフォルトパスワードのまま変更していないことが判明。

これはパスワードが破られている・・
その可能性が高いので、すぐにシステムの担当者に利用者全員のメールパスワードを確認して変更してもらうように伝えました。

しかしこれで少しは落ち着くかと思いきや、
  自分 「どう?みんなにパスワード変えてもらうように案内した?」
  担当者「うん、近くの人には。あとは勝手に変えちゃったるんるん
  自分 「え・・(そんなアホな)」

予想通り翌日から・・・
  職員A 「なんかログインできなくなったんだけど!!」
  職員B 「メールが使えなくなったんだけど(怒)」

しかも直接自分で変えてもらうように頼んだ人からも
  職員C 「パスワードさっそく忘れちゃった揺れるハート
  職員D 「パスワード変えたんだけど・・なんだっけ?」
・・など問い合わせ多数

もー、ちゃんとやれ!!
パスワードをきちんと管理しないといけないという概念が希薄すぎる。

それにしてもとりあえずは原因が分かってよかった。
再発しないことを確認して早くブラックリスト解除依頼をしようと思います。

人気ブログランキングへ
posted by yort at 11:35| Comment(0) | TrackBack(0) | ボランティア活動 | このブログの読者になる | 更新情報をチェックする
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。