qmailの不正中継ガード漏れ

W-ZERO3メールのバグ対応でpdx.ne.jp宛にテストメールをバンバン送信していたのだが、WILLCOMのサーバーから急にメール着信しなくなった。

ちょっとしくじったのでW-ZERO3メールのみならずサーバーにまで拒否されたかと思ったのだが、秀丸メールから送っても無しのつぶて。Yahoo!などもダメなのでウチから外へ出ていってないような気がしてメールサーバーをチェック。

netstatしたところ、25番宛のSMTPソケットがたくさんSYN_SENTになっていたので、こいつらどこ宛？とIPアドレスからドメイン名を逆引きするとすべからくaol.com。….なんでaol.com？

メールスプールをチェックするとバウンススプールが40～50個くらい滞留していた。pdx.ne.jp宛以外は全く思い当たる節が無く、さりげなくTo:を見るとaol.comのアドレスになっている。なるほど、こいつらを送ろうとしてSMTPがたくさんSYN_SENTになっていたんだ、と理解。取り敢えずバウンススプールを全て消し去る。どうもSPAMの踏み台にされている可能性がある。

長崎ネットワークサービスの「第三者中継の診断」で確認してたんだけどなぁ、と思いながら慌てて再確認しようとしたらサーバーが止まっていた。

ならばとRBL.JPの第三者中継チェックで確認すると、20パターンのうち4パターンでacceptしてしまった。どうやらqmailにはRCPT TOのユーザー名に%、!、複数の@を含む中継はリレーされてしまう穴があったらしい。最近見つかったのかと思いきや、すでに4年も昔の2002年とな。orz…だが、凹んでいる暇は無い。

徳の高いお方がqmail-smtpd-relay-rejectパッチを提供してくれているので、ありがたくこいつを適用してアップデートすれば良い。Network AbuseのMail relay testingもパスしたのでひとまず大丈夫だろう。また入れ直す時にも忘れないように、3月にqmail-spfを導入した時の記事にも追記しておく。

ログを精査すると数ヶ月に数通程度不正中継されていたようだが、ブラックリストに載せられる前に気が付いて良かった。今回の件を含めてこの穴を突かれたのかどうかはわからないが、もう少しログを纏めてチェックし易くするかな。

参照

＠IT http://www.atmarkit.co.jp/

• Linux Square 会議室

qmailでRCPT TOに%、!、複数の@を含む中継はリレーされてしまう 2002年6月9日

qmail.org http://www.qmail.org/

• qmail-smtpd-relay-reject http://www.qmail.org/qmail-smtpd-relay-reject

長崎ネットワークサービス http://www.nanet.co.jp/

• 第三者中継調査 http://www.nanet.co.jp/rlytest/

RBL.JPプロジェクト http://www.rbl.jp/

• 第三者中継チェック http://www.rbl.jp/svcheck.php

Network Abuse http://www.abuse.net/

• Mail relay testing http://www.abuse.net/relay.html