 |
| 12/1 亀石峠にて |
W-ZERO3メールのバグ対応でpdx.ne.jp宛にテストメールをバンバン送信していたのだが、WILLCOMのサーバーから急にメール着信しなくなった。
ちょっとしくじったのでW-ZERO3メールのみならずサーバーにまで拒否されたかと思ったのだが、秀丸メールから送っても無しのつぶて。Yahoo!などもダメなのでウチから外へ出ていってないような気がしてメールサーバーをチェック。
netstatしたところ、25番宛のSMTPソケットがたくさんSYN_SENTになっていたので、こいつらどこ宛?とIPアドレスからドメイン名を逆引きするとすべからくaol.com。....なんでaol.com?
メールスプールをチェックするとバウンススプールが40~50個くらい滞留していた。pdx.ne.jp宛以外は全く思い当たる節が無く、さりげなくTo:を見るとaol.comのアドレスになっている。なるほど、こいつらを送ろうとしてSMTPがたくさんSYN_SENTになっていたんだ、と理解。取り敢えずバウンススプールを全て消し去る。どうもSPAMの踏み台にされている可能性がある。
![[External]](/~yano/parts/extlink.png)
長崎ネットワークサービスの「第三者中継の診断」で確認してたんだけどなぁ、と思いながら慌てて再確認しようとしたらサーバーが止まっていた。
ならばとRBL.JPの第三者中継チェックで確認すると、20パターンのうち4パターンでacceptしてしまった。どうやらqmailにはRCPT TOのユーザー名に%、!、複数の@を含む中継はリレーされてしまう穴があったらしい。最近見つかったのかと思いきや、すでに4年も昔の2002年とな。orz…だが、凹んでいる暇は無い。
徳の高いお方がqmail-smtpd-relay-rejectパッチを提供してくれているので、ありがたくこいつを適用してアップデートすれば良い。Network AbuseのMail relay testingもパスしたのでひとまず大丈夫だろう。また入れ直す時にも忘れないように、3月にqmail-spfを導入した時の記事にも追記しておく。
ログを精査すると数ヶ月に数通程度不正中継されていたようだが、ブラックリストに載せられる前に気が付いて良かった。今回の件を含めてこの穴を突かれたのかどうかはわからないが、もう少しログを纏めてチェックし易くするかな。
【参照】
●@IT http://www.atmarkit.co.jp/
┗Linux Square 会議室
>> qmailでRCPT TOに%、!、複数の@を含む中継はリレーされてしまう 2002年6月9日
●qmail.org http://www.qmail.org/
┗qmail-smtpd-relay-reject http://www.qmail.org/qmail-smtpd-relay-reject
●長崎ネットワークサービス http://www.nanet.co.jp/
┗第三者中継調査 http://www.nanet.co.jp/rlytest/
●RBL.JPプロジェクト http://www.rbl.jp/
┗第三者中継チェック http://www.rbl.jp/svcheck.php
●Network Abuse http://www.abuse.net/
┗Mail relay testing http://www.abuse.net/relay.html
