221.208.83.:deny
221.208.119.:deny
221.208.80.:deny
221.208.135.:deny
221.208.14.:deny
221.212.239.:deny
221.212.238.:deny
218.9.168.:deny
221.208.68.:deny
221.208.29.:deny
218.9.141.:deny
#tcprulesというのは、いわゆるDJBのtcpserverのためのアクセス制御ツールであります。
これらのIPアドレスブロックから何が来たかというと、こんなんです。
2004-09-05 00:48:50.696246500 info msg 8130: bytes 1685 from qp 19938 uid 81
2004-09-05 00:48:50.774647500 starting delivery 19193: msg 8130 to local 3com@readmej.com
2004-09-05 00:48:50.921350500 delivery 19193: failure: Sorry,_no_mailbox_here_by_that_name._(#5.1.1)/
2004-09-05 00:56:50.780150500 info msg 8130: bytes 1689 from qp 20032 uid 81
2004-09-05 00:56:50.849777500 starting delivery 19197: msg 8130 to local lonelier@readmej.com
2004-09-05 00:56:50.998258500 delivery 19197: failure: Sorry,_no_mailbox_here_by_that_name._(#5.1.1)/
2004-09-05 00:57:42.858220500 info msg 8130: bytes 1687 from qp 20045 uid 81
2004-09-05 00:57:42.928458500 starting delivery 19201: msg 8130 to local tygdzl@readmej.com
どうも辞書使って、readmej.comドメインへあらゆるユーザへのメール送信を試みているらしい。
readmej.comは別にフリーメールサービスをやっているわけではないので、ほぼ全てのメールアドレスはfailします。しかし不幸かな、qmailはオバカなことに一旦すべてのメールを受け取ってしまうので、攻撃者から見るとすべてのメールは送信成功したかのように見える。
さらに困ったことに、ウチはRBL対策で全てのoutgoingメールを外部専用サーバへ回送しているので、あらゆるエラーメールが
攻撃者 → 自宅 → 外部サーバ → (宛先不明)
という経路をたどる。こんなアホウな話があるか!
まぁ、いつかは来るだろうと思ってはいたので、とうとう来たかという感じであります。
幸いなことに、現在はこんなアホウな攻撃者が一定のIPアドレスブロックから外に出てこないようなので、最悪mask/16くらいで止めらそうですが、そうでなくなる日は近そうです。
とりあえず、qmailの寿命は尽きたね。ClamAVやSPF導入も含めて、MTAのリプレースを検討しなくてはなりませんな。
|