朝から開発用サーバ宛に急にスパムのエラーメールが殺到してきた。そのサーバはメールを利用するシステムでも正常にテストが行えるように別途ドメイン登録しているのですが、開発の仲間内でしか使わないこのドメイン宛に大量のスパムがやってきたため、一瞬乗っ取られた!?と思い緊急監視。そしたらメールサーバは全然送信履歴がない。どうもドメイン詐称されたっぽい。
そこでまずは濡れ衣エラーメール自身が非常にウザイ(毎時300通って何だよ!スパム自身はこれよりもっと多いわけか…)のでデフォルトのエイリアスを削除。
これでエラーメールにエラー返しの状態になるのですが、良く考えたら今度はpostmaster宛てにどっさりやって来る|||orz
結局 +激しくウザイ+ ので25番をFWで止めた。別に現在進行形のプロジェクトもないし。さらにIN/OUT両方にlogを記録するように変更し、OUT側は塞がないままで監視。
OUTのアクセスはまったくなかったので完全にドメイン詐称スパム確定(SMTP認証のみ設定してpop before smtpのような旧来のなんちゃって認証は使ってないので自信はありました)。当然、今度はスパムエラー自身をFWで止めてしまったのでお互いのサーバに負荷がかかり続けている点についてはあまり褒められることではない。
そこでドメインの認証を行う方法がないか検索したらSPFレコードを発見。こんなレコードがあるなんて知らなかった。無知でしたスミマセン。一応設定は完了したので25番を止めたまま2~3日様子見ます。
世の中のサーバの多くがしっかりしていればスパム量は一気に減るかもと期待。
Open Tech Press SPF解説
http://opentechpress.jp/enterprise/article.pl?sid=04/09/16/0127221
コメントする