[plamo:17822] Re: host -t mx

[早間義博]

From: Shun-ichi TAHARA (田原 俊一) <jado@flowernet.gr.jp>
Subject: [plamo:17821] Re: host -t mx
Date: Tue, 25 Feb 2003 00:21:11 +0900 (JST)
Message-ID: <20030225.002111.628193519.jado@flowernet.gr.jp>

> 
> 「メーリングリストの時」を、「Reply-To: がある時」と読み替えると、昔の
> Mew でも今の Mew でも、(やり方は異なりますが)同じような設定が可能だと
> 思います。
>

まじめに調べなければいけませんね。
 
> 
> ご本人が晒しているアドレスを、他の人が伏せても、SPAM対策等の上ではあま
> り意味がなさそうです。少なくとも、ホスト名は書いていただいた方が読み手
> に優しかったのでは。
>

考えてみます。
 
> > たいした問題では無いのですが「hst.phyas.aichi-edu.ac.jp」について
> > は mx が探せません。
> 
> hst がドメインでなく、MTA の動いているホストなのであれば、別に MX がな
> くても A で引ければメールは送れますよね。
>

否定的に理解しています。MX が無いと送れないと思っています。
 
> > > > # 外では使用しないメールホストの MX を local IP address にしてみた
> > > > # のですが JPNIC 「DNS運用健全化タスクフォース」と言う文章の
> > > > # ＜よくある間違い＞ に 
> > > > #   プライベートアドレスの登録
> > > > # と言うのがありまして、私の設定はこれにあたるのではないかと思いま
> > > > # す。
> 
> > ここのくだりは言葉が足りなかったことをお詫びいたします。
> > 私の使用している IP の中で、外部からの SMTP アクセスをルータで拒否
> > している IP が複数個あるのですが、その中の一つにだけ毎日外部からア
> > クセスがあり、ルータの Reject ログにのって来るのです。そこで、この
> > ホストの MX で指定するIPについて上述の設定をしたのです。
> 
> ええと、これは、hst が見えなくてメールが送れないのと関係ありますか?
>

関係の無いことを書いたのが間違いのようです。最初のメールで # のつ
いている部分は hst には無関係です。

> > メールアドレスとして使用しているアドレスに対してはグローバルなアドレ
> > スを MX に指定しています。これはメールを通常受け取っているので問題
> > ないのです。メールを受け取っていないホストアドレスに対応する MX に
> > プライベートアドレスを MX に設定しました。
> > 内部（と言ってもIPアドレスはグローバルです）でサーバの情報をメール
> > で送って来ます。 MX を引けないと受け取らない設定になっているのです。
> 
> を見る限りは、山内さんちのマシン→早間さんちのマシンだと、メールが届か
> ない可能性がありますが、逆はなさそうな気がするので。
>

私が使用している yedo.src.co.jp（src.co.jp も） は MX で指定してい
るメール用のドメインで A は定義されていません。

# 蛇足ですが ping yedo.src.co.jp は届きません。MX でメールを受け取
# るホストは得られます。

> > > > # ただ、この設定をしてから２４時間に当該ホストに通常の１０倍位の
> > > > # アクセスがあり（ルータログ--reject、mx の local IP でなく直接）
> > > > # 結果に怒った？？さんが直接攻撃してきたみたいに感じました。
> 
> > 上述と同じように私の管理下にあるホストの事です。
> 
> というか、「この設定」というのは、早間さんちの「当該ホスト」のホスト名
> のエントリの MX にローカルIPアドレスを設定した事、という解釈でいいです
> か?
> 
> あと、「結果に怒った??さん」ってのは、誰を指しているのか文脈でも読めま
> せん。
> 

通常のメール送受には全く関係のないホスト名の事です。src.co.jp ドメ
インでは２つのメールドメインしか利用していません。
個々のホストをメールアドレスのドメインとするメールは外部から送られ
てくることはありません（受け取るユーザがいません）。
# メールアドレスのドメイン部分と言う表記に戸惑いを感じます、
# ホスト部分と言うのが良いのでしょうか

swatch をそのまま使用するとホスト名をメールのアドレスに使って来る
ので各ホスト名を MX で引けるようにしています。この MX にプライベー
トアドレスを指定したのです。

# 
# グローバル IP アドレスの割り当て数が減少しました。
# ルータの内側はグローバルな IP アドレスとプライベート IP アドレス
# の２重になっています。グローバル IP アドレスを持っているホストは
# 両方のアドレスを持っています。
#
# 社内のユーザは全く別のアドレスです。
# （もう一つのプライベートアドレス）

> 
> ようするに、
> 
> ・誰かが「当該ホスト」にSMTPを投げてくるのでルータで閉めている
> ・それでも毎日やってきてルータのログに載っている
> ・そこで、「当該ホスト」の MX レコードにローカルIPアドレスを書いてみた
> ・そしたら「??さんち」からのSMTPが急増した
> 
> ってことですか?
>

そう言うことです。
 
> 山内さんちの問題とのつながりが読めないですが、それはさておきなかなか嫌
> な話ですね。
>

山内さんちとのつながりはありません。「新しい手法」への期待でしょうか。

> 120%推測ですが、
> 
> ・src.co.jp からどこかのMLとかに投げたメールの Received: とか
>   Message-Id: とかで、「当該ホスト」の情報が漏れていて、これがどっかの
>   攻撃ツールのDBに収集されてしまっている
> 
> ・ウィルスとかSPAMエンジンとかがFrom:を偽装したときに、漏れた「当該ホ
>   スト」の名前を付けたか、ランダムで付けたホスト名がたまたま当たってい
>   て、エラーメールがたんまり返ってきている
>

そんなところなのでしょうか
 
> とか。MX設定との関連性はよくわかりませんが、ルータで落としてるのであれ
> ば、もうこれ以上止めようがないので、「気にしない」という解決策しかなさ
> そうです。
>

１つだけ狙い打ちなので不快ですが仰せのように「気にしない」が正解な
のでしょう
 
> > # 上記ホストとは違いますが今日も 「edf56t@src.co.jp」 宛のメールが
> > #２０００通くらい来ています。前は 「user0002@src.co.jp」だったのです
> 
> これは、そのような偽装From:を持ったSPAMでも流れたのでしょうね。
> src.co.jp の内部に、ウィルス感染マシンがいて外にばら蒔いている、という
> 可能性もなくはないですが。
>

「七匹のこやぎ」の教えに背くのですが
Virus がユーザ名を捏造する機能を持っていれば可能です。
src.co.jp でのメールアドレスは比較的メール爆弾の対象となり難いユー
ザ名なので、今まで特定の個人にメール爆弾の届いた事はありません。昨
年も40000余のユーザ名へのメールが来ましたが１つもユーザ名に合致し
ませんでした（英語系の名前と変形したものでした）。
user0002 の時は発信元の１つのホストがが推測できました。edf56t は
発生開始時期と別の事象が同期しているようです。

-- 早間  yossi@yedo.src.co.jp