ランサムウェアが届き始めた
問題は、そのアドレスが仕事で使うアドレスだということだ。
仕事で連絡を取っている(取っていた)誰かがウイルスに感染し、アドレスが漏洩したようだ。
FW: Payment #440463
Subject: FW: Payment #440463
From: Dorothea Nicholson
Date: 16/05/18 2:05
添付ファイル: details_payment_440463.zip 11.7 KB
その他このような名前がある
添付ファイル: myName_invoice_909054.zip 7.2 KB
添付ファイル: unpaid_myName_306154.zip 7.2 KB
添付ファイル: myName_invoice_188513.zip 7.1 KB
添付ファイル: details_myName_623307.zip 7.2 KB
添付ファイル: details_myName_715177.zip 7.1 KB
添付ファイル: myName_invoice_915066.zip 7.1 KB
添付ファイル: services_myName_608482.zip 7.0 KB
添付ファイル: payment_info_539963.zip 11.4 KB
添付ファイル: payment_urgent_514867.zip 11.6 KB
添付ファイル: info_payment_863055.zip 12.7 KB
添付ファイル: payment_urgent_887407.zip 11.1 KB
送信元も北米、南米、アフリカ、東欧、西欧、アジアなど世界中からだ。
サーバーのspamassasinとClamXavで引っかかり、Spam mailであることは明らかになるが、送られてきたものを選り分けるより、サーバーに着いたときに門前払いにしなければ、Spam送信リストから消すことはできない。
サーバーが受けてしまったら、そのメールアドレスの存在を認めたことになり、その後もこの手のメールが送られてくるからだ。
あやしい送信元からのSpamを追い返す
Spam メールサーバーから発信されたメールは、http://www.au.sorbs.net/ と http://www.spamhaus.org/ のデータベースと照合して弾かれる。Jun 10 14:55:26 domain sendmail[98765]: u5J5tOcC009876: ruleset=check_rcpt, arg1=
Jun 11 11:33:23 domain sendmail[215202]: u5K2XKDr021519: ruleset=check_rcpt, arg1=
だが、今回のSpamはボットで発信しているらしく、ADSLや光回線に接続したPCから送られ、データベースには登録されていない。パターンとして、ホスト名がなかったり送信元にドメインがない場合が多いので、それを利用してSpamをブロックする。
postfixなら設定は簡単だが
postfixのmain.cfsmtpd_sender_restrictions = reject_unknown_sender_domain
check_sender_access hash:/etc/postfix/reject_sender
reject_unknown_client
reject_unknown_hostname
reject_unknown_sender_domain
reject_unknown_recipient_domain
以前は postfixを使っていたが、いまは sendmailなので、残念ながらこの方法は使えない。
sendmailはやり方が変わる
sendmail.cfを変更しなければならない。それにはsendmail.cfをsendmail.mcなどから生成することになる。
生成は
# m4 sendmail.mc > sendmail.cf
で行うが、sendmail.mcの名称はなんでも構わない。
まずは m4を確認する
# whereis m4m4: /usr/bin/m4 /usr/share/man/man1p/m4.1p.gz
sendmail.mcを書き換える
現在のsendmail.cfの元となるsendmail.mcをコピーして 適当名.mcを作成する。適当名.mcを編集。以下を追加する。
dnl # 20160502
LOCAL_RULESETS
SLocal_check_relay
R$* $: $&{client_resolve}
RTEMP $#error $@ 4.7.1 $: "450 Access denied. Cannot resolve PTR record for " $&{client_addr}
RFAIL $#error $@ 4.7.1 $: "450 Access denied. IP name lookup failed " $&{client_name}
sendmail.mcから sendmail.cfを生成する
# m4 適当名.mc > sendmail.cf ... パスは適宜設定のことsendmail.cfの変更箇所を確認する
# cat sendmail.cf,,,,,,,,,,,,,,,,,,,
SLocal_check_relay ■これを追加
R$* $: $&{client_resolve} ■これを追加
RTEMP $#error $@ 4.7.1 $: "450 Access denied. Cannot resolve PTR record for " $&{client_addr} ■これを追加
RFAIL $#error $@ 4.7.1 $: "450 Access denied. IP name lookup failed " $&{client_name} ■これを追加
#
,,,,,,,,,,,,,,,,,,,
sendmail再起動
# restart_sendmail .... shellscript shutdown -> startShutting down sm-client: [ OK ]
Shutting down sendmail: [ OK ]
Starting sendmail: [ OK ]
Starting sm-client: [ OK ]
Stopping saslauthd: [ OK ]
Starting saslauthd: [ OK ]
エラーが表示されなければ大丈夫だ。
これで効くようになる。
maillogで確認
弾かれたリストを表示する。# tail -80 maillog |grep reject=450
May 31 21:22:08 domain sendmail[289205]: u4CCM08S028923: ruleset=check_rcpt, arg1=
May 31 21:23:15 domain sendmail[289291]: u4CCNDIG028925: ruleset=check_rcpt, arg1=
うまくいっている。
24 Jun, 2016 | mokimoc
Comments
Leave comments
このアイテムは閲覧専用です。コメントの投稿、投票はできません。