[plamo:17821] Re: host -t mx

[Shun-ichi TAHARA (田原 俊一)]

From: 早間義博 <yossi@yedo.src.co.jp>
Message-Id: <20030224.192637.104032753.yossi@yedo.src.co.jp>

> > 変わったのは返信先の決定方法とその設定方法で、デフォルト値は変わってな
> > いと思いますが、もちろん今までのように From: に返さないようにカスタマ
> > イズすることは可能です。
> 
> メーリングリストの時だけ To: に返信して、その他は From: に返信する
> 方法を思いつきませんでした。

「メーリングリストの時」を、「Reply-To: がある時」と読み替えると、昔の
Mew でも今の Mew でも、(やり方は異なりますが)同じような設定が可能だと
思います。

# できなければそれはMewのバグの可能性が… :-)

> > hst.phyas.aichi-edu.ac.jp (意味があるとは思えないので伏せません) が一
> > 時的に見えていないだけなんじゃないでしょうか。愛教大の足って結構細いん
> > じゃなかったですっけ?
> > 
> > phyas.aichi-edu.ac.jp のネームサーバに届かない状態がしばらく続くと、
> > Host unknown が出ても全然不思議じゃありません。ちょっと大きめのMLを管
> > 理してれば、それこそしょっちゅう遭遇します。
> >
> 
> 伏せ字は本分中にメールアドレスを書きたくなかっただけです。ホスト名
> はついでです。

ご本人が晒しているアドレスを、他の人が伏せても、SPAM対策等の上ではあま
り意味がなさそうです。少なくとも、ホスト名は書いていただいた方が読み手
に優しかったのでは。

> たいした問題では無いのですが「hst.phyas.aichi-edu.ac.jp」について
> は mx が探せません。

hst がドメインでなく、MTA の動いているホストなのであれば、別に MX がな
くても A で引ければメールは送れますよね。

> > > # 外では使用しないメールホストの MX を local IP address にしてみた
> > > # のですが JPNIC 「DNS運用健全化タスクフォース」と言う文章の
> > > # ＜よくある間違い＞ に 
> > > #   プライベートアドレスの登録
> > > # と言うのがありまして、私の設定はこれにあたるのではないかと思いま
> > > # す。

> ここのくだりは言葉が足りなかったことをお詫びいたします。
> 私の使用している IP の中で、外部からの SMTP アクセスをルータで拒否
> している IP が複数個あるのですが、その中の一つにだけ毎日外部からア
> クセスがあり、ルータの Reject ログにのって来るのです。そこで、この
> ホストの MX で指定するIPについて上述の設定をしたのです。

ええと、これは、hst が見えなくてメールが送れないのと関係ありますか?

> メールアドレスとして使用しているアドレスに対してはグローバルなアドレ
> スを MX に指定しています。これはメールを通常受け取っているので問題
> ないのです。メールを受け取っていないホストアドレスに対応する MX に
> プライベートアドレスを MX に設定しました。
> 内部（と言ってもIPアドレスはグローバルです）でサーバの情報をメール
> で送って来ます。 MX を引けないと受け取らない設定になっているのです。

を見る限りは、山内さんちのマシン→早間さんちのマシンだと、メールが届か
ない可能性がありますが、逆はなさそうな気がするので。

> > > # ただ、この設定をしてから２４時間に当該ホストに通常の１０倍位の
> > > # アクセスがあり（ルータログ--reject、mx の local IP でなく直接）
> > > # 結果に怒った？？さんが直接攻撃してきたみたいに感じました。

> 上述と同じように私の管理下にあるホストの事です。

というか、「この設定」というのは、早間さんちの「当該ホスト」のホスト名
のエントリの MX にローカルIPアドレスを設定した事、という解釈でいいです
か?

あと、「結果に怒った??さん」ってのは、誰を指しているのか文脈でも読めま
せん。

> また、上述のsmtp をルータで拒否しているホストは３年以上もルータで
> smtp アクセスを閉じているのです。このホストへの SMTP アクセスは 
> 「ＤＲＯＰ」を指定しているので、相手には、何の返事も返らないはずで
> す。ここにプライベート IP を設定してみました。ホストアドレスへの
> smtp が送られて来たのです。（ルータの Reject ログに載るだけです）

ようするに、

・誰かが「当該ホスト」にSMTPを投げてくるのでルータで閉めている
・それでも毎日やってきてルータのログに載っている
・そこで、「当該ホスト」の MX レコードにローカルIPアドレスを書いてみた
・そしたら「??さんち」からのSMTPが急増した

ってことですか?

山内さんちの問題とのつながりが読めないですが、それはさておきなかなか嫌
な話ですね。

120%推測ですが、

・src.co.jp からどこかのMLとかに投げたメールの Received: とか
  Message-Id: とかで、「当該ホスト」の情報が漏れていて、これがどっかの
  攻撃ツールのDBに収集されてしまっている

・ウィルスとかSPAMエンジンとかがFrom:を偽装したときに、漏れた「当該ホ
  スト」の名前を付けたか、ランダムで付けたホスト名がたまたま当たってい
  て、エラーメールがたんまり返ってきている

とか。MX設定との関連性はよくわかりませんが、ルータで落としてるのであれ
ば、もうこれ以上止めようがないので、「気にしない」という解決策しかなさ
そうです。

> # 上記ホストとは違いますが今日も 「edf56t@src.co.jp」 宛のメールが
> #２０００通くらい来ています。前は 「user0002@src.co.jp」だったのです

これは、そのような偽装From:を持ったSPAMでも流れたのでしょうね。
src.co.jp の内部に、ウィルス感染マシンがいて外にばら蒔いている、という
可能性もなくはないですが。
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
田原 俊一   jado@flowernet.gr.jp, shunichi_tahara@zenrin.co.jp
                                  http://flowernet.gr.jp/jado/
FingerPrint:  16 9E 70 3B 05 86 5D 08  B8 4C 47 3A E7 E9 8E D9
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣