Posted at

メール送信のパスワードが破られたらどうなるか


序章

あるところに、世界に公開している メールサーバA がありました。

このサーバで aaaa@xxxx.yyy(仮称)というメールアドレスを、

登録/運用していました。

この aaaa@xxxx.yyy には送信用パスワードが設定されていましたが、

ある日、何者かによって、パスワードが ばれてしまいました。

(おそらくパスワードの総当たり攻撃で、偶然 判明したのでしょう。)

このパスワードを引き当てた相手(ファースト スパマー)は、

正規のアドレス aaaa@xxxx.yyy から、世界中にスパムメールを送りつけたのです。

それだけではありません。

ファーストスパマーは、親切にも他のスパマー仲間に

メアドとパスワードを教えてあげたのです(たぶんですが。)

その結果 世界中から、メールサーバA の送信用の

25番ポート(587番や465番も)にアクセスが集中したのです。


対応開始

メールサーバA が どうもおかしいということで、さっそく調査しました。

数時間かけてようやく、上記の現象を把握しました。

まずはスパムメールを止めないといけません。



どうやって?

メールサーバA では postfix を利用していて、postfix の停止を考えましたが、

それだと aaaa@xxxx.yyy 以外のアカウントも使えなくなってしまうので、

この案は却下しました。

とりあえず aaaa@xxxx.yyy のパスワードを変えてみました。

長いパスワードに変えてやりましたよ。

これで大丈夫、と netstat コマンドで確認すると・・・

スパマーからの接続は まだ残っています。なぜ?

おそらく、新規の接続はできなくなったけど、

パスワード変更前のコネクションが、切断されずに残っているのでしょう。

それではと、これらコネクションを iptables コマンドで切断してみました。

IPアドレスごとに切断するので、何個ものコマンドを根気強く投入しました。

少し時間は かかりましたが、残っていたコネクションはすべて、

消えて無くなりました。

これでOK! とその日は家に帰りました。


翌日・・・

はぁぁっ!?

スパムメール送信は、まだ続いていました。

パスワードが再度ばれた? のではありません。

じつは送信キューに、大量の処理待ちが残っていたのです。

スパマーは昨日のコネクション接続時に、

これでもか!と送信要求をしていたのでしょう。

そのため1日経った時点でも、まだ数万のキューが残っていました。

業を煮やした私は、最終手段をとります。

「キュー全削除じゃぁっ!」

参考URL

Postfixのメールキューを確認、削除する方法


最後に

これでようやく、ほんとにスパムメール送信が収まりました。

スパムメールの受信も厄介ですが、送信のほうは さらに厄介です。

なにせ加害者になってしまいますからね。ほんと気を付けましょう。

(まぁスパムメールの大半は、宛先不明で届かなかったようですが。)

ちなみに破られたパスワードは、文字数も短く「弱い」パスワードだったようです。

今後はアカウント作成時、「強い」パスワードを要求するように設定変更しました。