非常事態対策
現実社会と同様、インターネットにも油断のならない悪漢たちが存在するおかげで、ある日突然あなたに大きな災厄が訪れ、あなたやあなたの組織が大小の損失をこうむる事態が訪れないとも限りません。このメモは、そうならないために、また万一そうなってしまった場合のために用意したものです。

XMail の運用において以下の事態が生じた場合、あなたの XMail が乗っ取られる可能性、または乗っ取られた可能性、あるいは不正に利用されている可能性があります。迅速で適切な対応が必要です。

万一あなたの XMail のユーザアカウントの一つが何者かに乗っ取られるか、乗っ取り攻撃を受けている場合、あるいは正規アカウント所有者が XMail をスパム送信サーバとして悪用している場合、前掲の一つ以上の事態が観察されるはずです。XMail は高速かつ安定した動作が期待できるので、数百万通のスパムを短時間に自動送信したいスパマーにとって魅力的な存在なのです。


非常事態発生!!

あなたの XMail が非常事態であると見られるときは以下のように対応しましょう。

  1. まず冷静になりましょう。冷静でなければ状況を正しく把握できず、間違った対応のために事態をさらに深刻にしてしまうかもしれません。

  2. 総合的にみて本当に深刻な状況と思われるときは、とにかく XMail のサービスを一時停止しましょう。許されるなら、ネットワークケーブルも抜いてしまいましょう。XMail の停止により事態が改善する場合、XMail で何かが起きたことは確実です。

  3. XMail の動作環境が適切か確認してください。[セキュリティ] メニュー内の [SMTPホワイトリスト(IP/ドメイン)]、[SMTPリレー]、[SMTP認証]、[CTRLアクセス許可] などです。

  4. POP3 ログや SMTP ログを見てアカウント乗っ取り攻撃と思われるものがあればそのアクセス元 IP アドレスを不正アクセスホストとして登録してください。 アカウント乗っ取り攻撃を含む不正アクセスは XMailCFG ではログ行が赤色背景で表示されます。赤色の行が数百行以上にわたって連続する場合、その多くは乗っ取りの失敗を意味します。なお、すでに乗っ取りが完了している場合、あるいは正規アカウント所有者が XMail を不正利用している場合はログが赤色表示にならないことに注意が必要です。

  5. SMAIL ログのサイズが異常に大きい場合、あなたの XMail がすでに乗っ取られている可能性があります。あるいは、正規アカウント所有者があなたの XMail を不正利用している可能性があります。SMAIL ログの詳細で、Google や Yahoo! などにあてた大量の送信ログがある場合などは乗っ取られたこと、または不正利用されたことが確実です。

  6. 乗っ取りや不正利用の場合に XMail/XMailCFG でできる直接的な対抗措置としては、(1) 乗っ取られた、または不正利用されている XMail アカウントを特定して停止すること、(2) 不正アクセス元 IP アドレスを特定して不正アクセスホスト等に登録すること、(3) 不正利用の兆候を察知して自動的に接続拒否処理を行うこと、などがあります。

    • (1) については、アカウント数が多い場合は短時間に結論を出すことは難しい場合がありますが、SMTP アクセスログを参考にすることができます。同一の MAIL FROM で短時間に大量のログがある場合、そのアカウントに対して SMTP アクセスを一時停止してみることをすすめます(XMail を一時起動し、XMailCFG のユーザの管理を利用してください)。
    • (2) についても SMTP アクセスログが参考になります。ログ詳細を閲覧し、同一 IP アドレスからの大量接続があれば、そしてその接続が手作業では不可能な頻度であるなら、それは不正利用の可能性があります。この場合、その IP アドレスを不正アクセスホストとして登録してください。
    • (3) については、[アンチ・スパム] メニューの [SMTP 接続数制限] を利用することができます。(1)、(2) は異常事態になってからの対応ですが、(3) は異常事態を事前に防ぐのに役立ちます。ただし、機能の実行自体に一定の負荷がかかること、機械的な強制処理であるという点に注意が必要です。

  7. XMailCFG の [セキュリティ]-[POP/SMTP不正アクセス統計] メニューを利用すれば、特定のアクセス元 IP アドレスからどのような不正アクセスがあるかを統計的に知ることができます。不正アクセスと判断した場合、そのまま該当 IP を不正アクセスホストとして登録することができます。

  8. XMail のサービスを再開する前に、そのスプール (MailRoot/spool) 内に残っている待機状態の未送信スパムメッセージをできるだけ削除する必要があります。そうしないと、引き続きスパムが順次送信されてしまいます。大規模な不正利用の場合、スプール内に非常に多くの、たとえば数十万通以上のスパムメッセージが待機していることもあるでしょう。

    スプール内メッセージの選択的削除のためには XMailCFG の [オプション]-[スプール内メッセージ強制削除] が利用できます。削除するメッセージファイルは万一のために退避(コピー)することができます。

  9. 以上の対応策を行ったあと、XMail を再起動してください。そして注意深くアクセスログ等を観察しましょう。


パスワード更新の呼びかけ

アカウント乗っ取りによって XMail が不正利用されることを防ぐためには、何よりも個々のアカウントのパスワードを強度の高いものにする必要があります。 折々、あなたの XMail ユーザに対してパスワードの更新をアナウンスしてください。そのさい、以下の点を強調してください。

XMail ユーザの現在のパスワードが強固かどうかの判断には、[セキュリティ]-[POPパスワードチェック] を参考にしてください。 また、ユーザ自身によるパスワードの更新は K4 を利用できます。


ブラックリストデータベースからの削除手続き

あなたの XMail が実際に大規模な不正利用を受けた場合、あなたが使用しているグローバル IP アドレスがインターネットのブラックリストデータベースに登録されると思ってください。その場合、あなたの XMail を利用して外部へ送る一部のメッセージが相手先サーバから受け取りを拒否されるようになります。あなたの XMail が安全になったとしても登録は自動解除されません。

拒否メッセージに "ブラックリストデータベースに登録されているから拒否する" と正直に応答してくれるサーバばかりではないので、当初は判断に困るかもしれませんが、特定のあて先へのメッセージが例外なく拒否されるようになった場合は、やはりそのことが原因の一つになっていると考えるべきでしょう。

その場合、それぞれのデータベースを運用している組織によるウェブサイトへ行き、登録解除の手続きを行うことになります。どのデータベースに登録されたか不明な場合は、著名なサイトから順にそれぞれの案内ページへ行けば、そこのデータベースに登録されているかどうかをチェックするフォームを開設していることが多いので、それを利用してください。

データベースからの登録を削除する方法はそれぞれのサイトに案内があるはずです。

本当に大変な時代になりました。いったい誰のせい? あなたの健闘を祈ります。

XMailCFG