[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp:03605] Re: 不正中 継



岩本といいます。

On Tue, 04 Nov 2003 00:59:56 +0900
Leo Ishihara <i_leo@xxxxxxxxxxxxx> wrote:

> Postfix-2.0.16とdrac-1.11でPOP before SMTPで動くサーバーを立ち上げました
> 。初めてメールサーバ自体を立ち上げたのですが何とか動くようにはなってまし
> た。ですが、あるとき以下のようなログが出現しました。(一部抜粋)

ログをみたところ、不正中継を許してしまっているようですね。
かなりまずい状況だと思います。

> 28 08:43:26 prox7 postfix/smtpd[23223]: disconnect from unknown[210.166.208.189]

この 210.166.208.189 は何者なのでしょうか?
おそらくメールサーバと同じサブネットにいると思うのですが、
こいつは信頼できるクライアントなのでしょうか?
断言はできませんが、こいつがメールを送っているように思います。

> smtpd_recipient_restrictions = permit_mynetworks,
>   check_client_access hash:/etc/mail/dracd,
>   reject_unauth_destination
> #mynetworks = (コメントアウト)

mynetworksがコメントアウトされているという事は、mynetworksの設定は
mynetworks_styleに従う事になります。
そして、mynetworks_styleについては特に書かれていないので、
多分、デフォルトの subnet になっていると思います。
その為、同じサブネットにいると思われる 210.166.208.189 からのメールを
無条件にリレーしてしまっているのだと思います。

210.166.208.189 からのメールをリレーする必要がないのならば、
mynetwoks_style = host にしましょう。

210.166.208.189 が信頼できるクライアントだとすると、おそらく
こいつが不正中継に利用されているのだと思います。
210.166.208.189 のsendmail等の設定を見直して、不正中継を
許さないようにしましょう。

もう一つの可能性ですが、210.166.208.189 はProxyサーバではないですか?
Proxyサーバだとして、そして外部からのリクエストも受け付けるような設定に
なっていると、Proxyサーバ経由でメールサーバに接続する事ができます。
その時、メールサーバから見るとProxyサーバが接続してきたように見える為、
上に書いたような理由でメールを無条件にリレーしてしまいます。
外部からのリクエストを受け付けるようなProxyサーバの設定はかなり危険
なので、外部からのリクエストは受け付けないように設定を変えましょう。

-- 
いわもとこういち(sue@xxxxxxxxx)
# なるようになれ、明日もイケイケ♪

References
[postfix-jp:03603] 不正中継, Leo Ishihara

[検索ページ] [Postfix-JP ML Home]