LoginSignup
5

More than 3 years have passed since last update.

不正なメール送信が疑われるときの対処

Posted at

1. 送信サーバーの停止

被害を広げないため、関係者に連絡したのち送信サーバーを停止します。

2. ログから状況を把握

送信できたか、できなかったのかを調べる

ログ内のstatus項目を参照する

送信できた(ただし相手がスパム判定したか不明)

cat /var/log/maillog | grep "status=sent"

送信できなかった

cat /var/log/maillog | grep "status=deferred"

送信で戻ってきたので再送信

cat /var/log/maillog | grep "status=bounced"

ログイン状況を調べる

SASLを利用したログイン認証

cat /var/log/maillog | grep "sasl_method=LOGIN, sasl_username="
cat /var/log/maillog | grep "sasl_method=PLAIN, sasl_username"

POP3のログイン認証

cat /var/log/maillog | grep "pop3-login: Login: user="

3. 乗っ取られている可能性があるアカウントのパスワードを変更します

関係者に連絡したのちパスワードを変更します

4. 残っているメールキューを確認します

パスワード変更しただけでは、再起動時にキューに残っているメールを送信してしまいますので不正な送信キューを削除しておきます。

キュー数を確認

mailq | wc -l

キューの詳細を確認

誰から誰に送ろうとしているのかがわかります

mailq 

キューをすべて削除

# postsuper -d ALL

5. 送信サーバーを起動します

6. 送受信のテストを行います

7. スパムフィルタの判定状況を調べます

サーバーのIPアドレスなどを入力しチェックします。ブラックリストに入っていた場合は解除申請を行います。*Googleは解除まで時間がかかる

proofpoint

TrendMicro

FortiGate

Google Postmaster Tools

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
5