[postfix-jp: 2399] 不正中継の踏み台にされようとしているのでしょうか？

[和田 優海 <zunko@xxxxxx>]

和田と申します。

POSTFIXのログの判断と対応策についてご教授願えませんでしょうか？

今日の16時頃、派遣先の事業所でメールサーバーのハードディスクが突然景気良くアクセスを始め
アクセスランプが点滅しっぱなしになりました。

事業所といっても10名ほどの規模ですし、利用といっても社員メールとWEBくらいで普段はあまりア
クセスのないサーバーであったので明らかに異常事態のように思えました。

maillogを調べたところ

Dec 15 17:40:48 www postfix/qmgr[16513]: XXXXXXXX: from=<>, size=2568, 
nrcpt=1 (queue active)

と言ったログが1分間当たり30〜40回、時間にして10数分繰り返した後、


Dec 15 17:41:18 www postfix/smtp[17408]: connect to 
hoge4.hoge3.hoge2.hoge1.jp[AAA.BBB.CCC.DDD]: Connection timed out (port 25)
Dec 15 17:41:18 www postfix/smtp[17408]: XXXXXXXX: 
to=test01@xxxxxxxxxxxxxxxxxxxxxxxxxx[, relay=none, delay=3948, 
status=deferred (connect to hoge4.hoge3.hoge2.hoge1.jp[AAA.BBB.CCC.DDD]: 
Connection timed out)

と言うセットが同様の数だけループしています。

これらのログよりも少し前に
Dec 15 18:05:25 www postfix/smtpd[17078]: connect from 
test03.hoge3.hoge2.hoge1.jp[AAA.BBB.CCC.DDD]
Dec 15 18:05:26 www postfix/smtpd[17126]: disconnect from 
test03.hoge3.hoge2.hoge1.jp[AAA.BBB.CCC.DDD]

と言ったログがある事からtest03.hoge3.hoge2.hoge1.jpからプログラムを利用してメールサーバーを中継して
test01@xxxxxxxxxxxxxxxxxxxxxxxxxxへメールを大量送信するテストをしている様に思えます。


専門外の上、行きがかり上見る事になった為状況判断に自信が持てませんが、こういった場合どのような
対処が有効でしょうか？

お忙しい中申し訳ございませんがよろしくお願いします。


・環境
OS　FedoraCore4
Postfix Ver.  postfix2.0.2


---------------------------
Yumi-Wada（和田　優海）
mail zunko@xxxxxx




_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list