2010年10月19日

メール問題再燃

最近、うちの職員から「外部にメールが送れない」という苦情がまた多く寄せられるようになったので、久しぶりにBlackListをチェックしてみると、なんとまたうちのメールサーバーがブラックリストに登録されてしまっていることが発覚。

前回のSPAM送信以来、メールサーバーのログは定期的にチェックするようにしていたが一応みて見ると、やっぱりSPAMらしき大量メールはここのところもうずっと送信されていない様子。

 ・メールサーバーの設定は何回もチェックして完璧なはずだし、
 ・Webメールも万全を期して最新版にバージョンアップしたし、
 ・パスワードも破られないように全員に複雑なものに変えてもらったし、
 ・使われていないユーザーアカウントもほぼ削除したし・・・

Mailserver.JPG
サーバーの監視は完璧のはず

うーん・・・・・・・・・・・・・・・・・・・
・・・・・・・・・・・・・・・・・・・・あっ!ひらめき

もしかしてメールサーバーを介さないで送られているのかも!?
内部の誰かがウィルス感染して本人の気づかないうちにSPAMメールを送信しているかもしれない。

メールサーバーを通らない以上、インターネットへのネットワークの出口を監視するしかないので、メインL3スイッチの設定を変更してポート・ミラーリングという機能を使い、そこを通過するデータのパケットキャプチャーを行うことにました。

パケットキャプチャーにはフリーのWireSharkというソフトを使用。
WireShark.jpg
http://www.wireshark.org/


キャプチャを始めるとすぐに大量の情報が取得されて良く分からないので、キャプチャされた情報の中から条件を付けてフィルタリングすると・・、

あ”ー!(やっぱし!)
ある特定のIPアドレスからメールサーバーを経由せずに大量のメールが送信されてる・・・。
packetCapture.JPG
WinSharkでパケットキャプチャ

すぐにIT担当の同僚に連絡して該当のIPアドレス使用者を調べてもらいました。でもこれで犯人が分かってすべて解決と思いきや、

 IT担当「これはコロール側のアドレスだね〜(いたって冷静)

結局、今度コロールオフィスまで行って直接調べることになりました。

でも原因がだんだん分かってきた!
一連のメール問題もちょっと先が見えてきた気がする。

人気ブログランキングへ
posted by yort at 22:24| Comment(0) | TrackBack(0) | ボランティア活動 | このブログの読者になる | 更新情報をチェックする

2010年08月13日

ついに更新!

自分の配属先は予算計画局(Bureau of Budget and Planning)という組織で、パラオの各種経済統計データを作成することがそのミッションになっています。

データを公開するためのパラオ政府のホームページも数年前に開設されたのですが、現在は最新状態からは程遠い状態で、それどころか開設以来一度も更新されていないページもかなりあります。

代表的なところだと、、
  ・統計情報は1年以上(ひどいのは3〜4年前)前のまま放置
  ・裁判所のスケジュールが数年前のまま放置
  ・国務大臣の顔ぶれがえらく昔のまま放置


去年の夏に計画分析官が2人が海外留学し、秋にはボスが謎の失踪をしてしまってからは、計画分析官が1人だけ残されてしまい開店休業状態が長く続いていたのですが、
なんとちょうど留学中の2人が大学の夏休みでのこのこと留学先のグアムから帰ってきました。

当然のように、ここぞとばかりに彼女らがいる間にデータを集めてできる限り統計データを作ろうと言うことになりました。

そして2週間でなんとか以下の情報の入手・整理をしてデータの作成までこぎつけました。
  ・消費者物価指数(CPI)
  ・裁判所関連の最新情報


できたデータをWeb上に反映させてサーバーに無事アップロード!
1年数ヶ月ぶりに、全体のほんの一部ですがWeb上の統計データが更新されました。死にかけていたWebサイトがちょっと息を吹き返した瞬間でした
Palau_stats.jpg
やっと更新された!

さらに今回のデータ更新を単発で終わらせないために、今後は業務が継続できるように各工程を役割分担を決めました。

  1.各省庁から生データを集めてくる(ここの残っている職員が担当)
   ↓ 
  2.データの分析・加工(グアムにメールで送って授業の合間に行う)
   ↓
  3.統計データ作成(同じくグアムで実施)
   ↓
  4.統計データの整理とWebへの公開(自分がやる)

留学中の職員やボランティアまでも平気で業務に組み込むこのなりふりかまわない感じ。
ま、でもとりあえずはせっかく作ったこの流れを切らないように業務を継続させることが重要かなと思います。

ちなみに今日は偶然にも隣のミクロネシア連邦(FSM)政府の統計関係のWebサイトがオープンした日でした。今のとこパラオリードですがなんとか負けないようにしていきたいと思います。
fsm_stats.jpg
ミクロネシア連邦政府統計サイト(まだ甘い)

人気ブログランキングへ
posted by yort at 17:11| Comment(0) | TrackBack(0) | ボランティア活動 | このブログの読者になる | 更新情報をチェックする

2010年07月29日

犯人を探せ

以前、ここキャピタルのメールドメインから大量のSPAMメールが送信されているとの指摘があったのですが、そのときは各パソコンのウィルス駆除を徹底的に行い、とりあえず様子を見ようとのことで一旦は終わっていました。

しかし最近また(というか以来ずっと?)SPAMが送信されているとの情報を受け、今回はさすがに本格的に調査をすることにしました。
mailserver.JPG
メールサーバー

話を聞いてみると職場の何人かからは特定のメールアドレスにメールが届かないとのこと。
どうやら、
 ・CapitolのメールサーバーがSPAMを送信しまくっている
   ↓
 ・SPAMメール発信元と認定されて、あるブラックリスト(Spamhaus XBL)に載ってしまった
   ↓
 ・そのブラックリストを採用しているドメインへのメールが送信できない
ということらしい。
spamhauslogo.jpg
ブラックリスト(spamhaus)に掲載された

とりあえずはメールサーバーのログファイルを見ようと思ってサーバーにログインしてみたのですが、
ログファイルのサイズがなんと11GB
1週間周期でアーカイブされる設定なので単純計算で、
1日あたり1.5GB以上!
200ユーザー足らずのメールサーバーでこのログの量。尋常じゃないことがすぐに分かりました。

あまりのデカさにログを表示することさえもままならなかったのですが、起動プロセスを見てみるとsmtpプロセスがやたらと多く、どうやらホントにSPAMを送信しているよう。

可能性としては、
  1.メールサーバーが外部からの踏み台にされて送信している
  2.Webメールの脆弱性を利用して送信されている
  3.ウィルス(Bot)感染により内部ユーザーが送信している

などが考えられたので、

まずは1の確認をしようと思い、
 ・Web上で不正中継チェックをしてみたところ特に問題はなし。
 ・SMTPサーバーの設定ファイルのパラメーターを一通りチェックしてみても問題なさそう。

次に2の確認をしようとWebメール側のログを見てみると、、、
見覚えのないIPアドレスから特定のメールアカウントにログインされてそこから毎日大量のメールが送られていました。
Openwebmail.jpg
Webメール

後で調べてみるとこのSPAMを送信している特定のメールアカウントはすべてデフォルトパスワードのまま変更していないことが判明。

これはパスワードが破られている・・
その可能性が高いので、すぐにシステムの担当者に利用者全員のメールパスワードを確認して変更してもらうように伝えました。

しかしこれで少しは落ち着くかと思いきや、
  自分 「どう?みんなにパスワード変えてもらうように案内した?」
  担当者「うん、近くの人には。あとは勝手に変えちゃったるんるん
  自分 「え・・(そんなアホな)」

予想通り翌日から・・・
  職員A 「なんかログインできなくなったんだけど!!」
  職員B 「メールが使えなくなったんだけど(怒)」

しかも直接自分で変えてもらうように頼んだ人からも
  職員C 「パスワードさっそく忘れちゃった揺れるハート
  職員D 「パスワード変えたんだけど・・なんだっけ?」
・・など問い合わせ多数

もー、ちゃんとやれ!!
パスワードをきちんと管理しないといけないという概念が希薄すぎる。

それにしてもとりあえずは原因が分かってよかった。
再発しないことを確認して早くブラックリスト解除依頼をしようと思います。

人気ブログランキングへ
posted by yort at 11:35| Comment(0) | TrackBack(0) | ボランティア活動 | このブログの読者になる | 更新情報をチェックする
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。