2010年10月19日

メール問題再燃

最近、うちの職員から「外部にメールが送れない」という苦情がまた多く寄せられるようになったので、久しぶりにBlackListをチェックしてみると、なんとまたうちのメールサーバーがブラックリストに登録されてしまっていることが発覚。

前回のSPAM送信以来、メールサーバーのログは定期的にチェックするようにしていたが一応みて見ると、やっぱりSPAMらしき大量メールはここのところもうずっと送信されていない様子。

 ・メールサーバーの設定は何回もチェックして完璧なはずだし、
 ・Webメールも万全を期して最新版にバージョンアップしたし、
 ・パスワードも破られないように全員に複雑なものに変えてもらったし、
 ・使われていないユーザーアカウントもほぼ削除したし・・・

Mailserver.JPG
サーバーの監視は完璧のはず

うーん・・・・・・・・・・・・・・・・・・・
・・・・・・・・・・・・・・・・・・・・あっ!ひらめき

もしかしてメールサーバーを介さないで送られているのかも!?
内部の誰かがウィルス感染して本人の気づかないうちにSPAMメールを送信しているかもしれない。

メールサーバーを通らない以上、インターネットへのネットワークの出口を監視するしかないので、メインL3スイッチの設定を変更してポート・ミラーリングという機能を使い、そこを通過するデータのパケットキャプチャーを行うことにました。

パケットキャプチャーにはフリーのWireSharkというソフトを使用。
WireShark.jpg
http://www.wireshark.org/


キャプチャを始めるとすぐに大量の情報が取得されて良く分からないので、キャプチャされた情報の中から条件を付けてフィルタリングすると・・、

あ”ー!(やっぱし!)
ある特定のIPアドレスからメールサーバーを経由せずに大量のメールが送信されてる・・・。
packetCapture.JPG
WinSharkでパケットキャプチャ

すぐにIT担当の同僚に連絡して該当のIPアドレス使用者を調べてもらいました。でもこれで犯人が分かってすべて解決と思いきや、

 IT担当「これはコロール側のアドレスだね〜(いたって冷静)

結局、今度コロールオフィスまで行って直接調べることになりました。

でも原因がだんだん分かってきた!
一連のメール問題もちょっと先が見えてきた気がする。

人気ブログランキングへ
posted by yort at 22:24| Comment(0) | TrackBack(0) | ボランティア活動 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。