このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

メアドをチェックするメールが来る このメッセージに返信する
日時: 2011/11/01 11:08
名前: フジマル
URL: http://www.kinryokai.net
10月8日位から、毎日数件の変なメールが来ています。
受け取り人と差し出し人が同じで、SMTPのheloは毎回違います。又そのドメインとIPアドレスは毎回違います。ログの一部抜粋

550 5.1.1 <zuqee@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<zuqee@ttcj.org> proto=ESMTP helo=<av-relay.teamware-gmbh.de> (total: 1)
1 av-relay.teamware-gmbh.de
550 5.1.1 <aqnbo@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<aqnbo@ttcj.org> proto=ESMTP helo=<smtp686.redcondor.net> (total: 1)
1 redcondor.net
550 5.1.1 <bkdxm@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<bkdxm@ttcj.org> proto=ESMTP helo=<su1.artnet.com.br> (total: 1)
1 acessa.com
550 5.1.1 <cswit@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<cswit@ttcj.org> proto=ESMTP helo=<mout3.freenet.de> (total: 1)
1 mout3.freenet.de
550 5.1.1 <cswit@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<cswit@ttcj.org> proto=ESMTP helo=<mx-2.tng.de> (total: 1)
1 ulric.tng.de
550 5.1.1 <daosh@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<daosh@ttcj.org> proto=ESMTP helo=<mx4.rwe.com> (total: 1)
1 rwe.com
550 5.1.1 <daosh@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<daosh@ttcj.org> proto=ESMTP helo=<tiger.foretransportation.com> (total: 1)
1 foretransportation.com
550 5.1.1 <daosh@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<michael@aquapr.co.uk> to=<daosh@ttcj.org> proto=ESMTP helo=<aquapr.co.uk> (total: 1)
1 pndsl.co.uk
550 5.1.1 <fgfcx@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<fgfcx@ttcj.org> proto=ESMTP helo=<hamsmtp.proweb.net> (total: 1)
1 proweb.net
550 5.1.1 <mwzvm@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<mwzvm@ttcj.org> proto=ESMTP helo=<Exchange.main.mavalgear.com> (total: 1)
1 windstream.net
550 5.1.1 <mwzvm@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<mwzvm@ttcj.org> proto=ESMTP helo=<mail.blodgett.net> (total: 1)
1 blodgett.net
550 5.1.1 <mwzvm@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<mwzvm@ttcj.org> proto=SMTP helo=<newmx1.fast.net> (total: 1)
1 fast.net
550 5.1.1 <zalso@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<zalso@ttcj.org> proto=ESMTP helo=<slox4.oms.de> (total: 1)
1 mail.oms.de
550 5.1.1 <zxnhq@ttcj.org>: Recipient address rejected: User unknown in virtual mailbox table; from=<> to=<zxnhq@ttcj.org> proto=ESMTP helo=<na3sys009amo112.postini.com> (total: 1)
1 postini.com
と、こんな風になっています。多分、メアドが存在するかチェックをしているみたいですが、これらのメールを防ぐ方法はありますか?
よろしくお願い致します。
記事編集 編集

Page: | 1 | 2 |

Re: メアドをチェックするメールが来る このメッセージに返信する
日時: 2011/11/07 13:59
名前: ペングイン
URL: http://blog.trippyboy.com
フジマルさん

>>4 でご紹介いただいたログを見る限り、全てFromヘッダを指定せずに
送信を試している事がわかると思います。

“Recipient address rejected: User unknown in virtual mailbox table; from=<>”

なので、>>2 で紹介した記述をちょっと書き換えてみました。

====半角スペースを一部「△」表示にします。
watchfor /Recipient address rejected: User unknown in local recipient table; from=<>/
△pipe "/usr/local/bin/swatch_action.sh 10"
△throttle=00:00:10
====

これで、【「from=<>」で且つ「User unknown」になった場合のみ】という条件が出来ました。
このログをどう処理させるのか、回数を数えて回数以上になったらロックするのか、それとも
該当した時点で接続元を拒否するのか、その点は/etc/swach/*.confで指定できます。

★ログがヒットした回数を指定する場所⇒/usr/local/bin/swatch_action.sh
☆ログに含まれる文字列を指定する場所⇒/etc/swatch/*.conf
☆半角スペース区切りでログの何番目に接続元情報があるか指定する場所⇒/etc/swatch/*.conf

こんな感じです。
記事編集 編集
Re: メアドをチェックするメールが来る このメッセージに返信する
日時: 2011/11/07 14:10
名前: フジマル
URL: http://www.kinryokai.net
ペングインさん
早速ありがとうございます。

Fromヘッダを指定せずに送信をすると、from=<> になるのですか!!
私は from=<> to=mail-address なので、自分から自分(いんちきメアド)に送っているのかと思っていました。勉強になります。

早速、上記の設定を試して、ご連絡致します。
ありがとうございました。
記事編集 編集
Re: メアドをチェックするメールが来る このメッセージに返信する
日時: 2011/11/12 23:10
名前: フジマル
URL: http://www.kinryokai.net
ペングインさん

やっとswatchを導入し、

watchfor /Recipient address rejected: User unknown in virtual mailbox table; from=<>/
△pipe "/usr/local/bin/swatch_action.sh 10 lock"
△throttle=00:00:10

と設定し、24時間ロックを掛けました。4日間程様子を見ましたら、from=<> は無くなり、代わりにfrom=<メアド> が1日に数件入り、昨日は1件だけになりました。これを送っている人には私がロックを掛けているのが判らないと思うのですが?(IPがその度に違うから)何で減ったのか判りません。ともかくよくなりました。ありがとうございます。
最後に virtual mailbox table を local recipient table に変更したのはどういう理由ですか?
私は判らなかったので変更をしませんでしたが。
記事編集 編集
Re: メアドをチェックするメールが来る このメッセージに返信する
日時: 2011/11/12 23:35
名前: ペングイン
URL: http://blog.trippyboy.com
フジマルさん

>最後に virtual mailbox table を local recipient table に変更したのはどういう理由ですか?

申し訳ないですっ 意味はありませんでした。
ただログを出力するために自分のサーバー内でUserUnknownメールを送ったのですが、
私のサーバ内はvirtusertbaleを使っていないので、異なるログ出力になっているのだと思います。

気づいていただけてよかったです。危なく深みに誘い込んでしまうところでした(^^;)

記事編集 編集
Re: メアドをチェックするメールが来る このメッセージに返信する
日時: 2011/11/13 07:35
名前: フジマル
URL: http://www.kinryokai.net
ペングインさん

最後まで色々ありがとうございました。
今後共、よろしくお願いいたします。
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -