ランサムウェアが届き始めた


問題は、そのアドレスが仕事で使うアドレスだということだ。
仕事で連絡を取っている(取っていた)誰かがウイルスに感染し、アドレスが漏洩したようだ。

FW: Payment #440463
Subject: FW: Payment #440463
From: Dorothea Nicholson
Date: 16/05/18 2:05

添付ファイル: details_payment_440463.zip 11.7 KB

その他このような名前がある
添付ファイル: myName_invoice_909054.zip 7.2 KB
添付ファイル: unpaid_myName_306154.zip 7.2 KB
添付ファイル: myName_invoice_188513.zip 7.1 KB
添付ファイル: details_myName_623307.zip 7.2 KB
添付ファイル: details_myName_715177.zip 7.1 KB
添付ファイル: myName_invoice_915066.zip 7.1 KB
添付ファイル: services_myName_608482.zip 7.0 KB
添付ファイル: payment_info_539963.zip 11.4 KB
添付ファイル: payment_urgent_514867.zip 11.6 KB
添付ファイル: info_payment_863055.zip 12.7 KB
添付ファイル: payment_urgent_887407.zip 11.1 KB
送信元も北米、南米、アフリカ、東欧、西欧、アジアなど世界中からだ。

サーバーのspamassasinとClamXavで引っかかり、Spam mailであることは明らかになるが、送られてきたものを選り分けるより、サーバーに着いたときに門前払いにしなければ、Spam送信リストから消すことはできない。
サーバーが受けてしまったら、そのメールアドレスの存在を認めたことになり、その後もこの手のメールが送られてくるからだ。

あやしい送信元からのSpamを追い返す

Spam メールサーバーから発信されたメールは、http://www.au.sorbs.net/ と http://www.spamhaus.org/ のデータベースと照合して弾かれる。

Jun 10 14:55:26 domain sendmail[98765]: u5J5tOcC009876: ruleset=check_rcpt, arg1=, relay=spruce-goose-bl.twitter.com [199.59.150.107], reject=553 5.3.0 <... Rejected - see http://www.au.sorbs.net/lookup
Jun 11 11:33:23 domain sendmail[215202]: u5K2XKDr021519: ruleset=check_rcpt, arg1=, relay=lucrativefind.com [94.46.115.169], reject=553 5.3.0 ... Rejected - see http://www.spamhaus.org/lookup.lasso

だが、今回のSpamはボットで発信しているらしく、ADSLや光回線に接続したPCから送られ、データベースには登録されていない。パターンとして、ホスト名がなかったり送信元にドメインがない場合が多いので、それを利用してSpamをブロックする。


postfixなら設定は簡単だが

postfixのmain.cf
smtpd_sender_restrictions = reject_unknown_sender_domain
  check_sender_access hash:/etc/postfix/reject_sender
      reject_unknown_client
      reject_unknown_hostname
      reject_unknown_sender_domain
      reject_unknown_recipient_domain
以前は postfixを使っていたが、いまは sendmailなので、残念ながらこの方法は使えない。

sendmailはやり方が変わる

sendmail.cfを変更しなければならない。
それにはsendmail.cfをsendmail.mcなどから生成することになる。
生成は
# m4 sendmail.mc > sendmail.cf
で行うが、sendmail.mcの名称はなんでも構わない。

まずは m4を確認する

# whereis m4
m4: /usr/bin/m4 /usr/share/man/man1p/m4.1p.gz

sendmail.mcを書き換える

現在のsendmail.cfの元となるsendmail.mcをコピーして 適当名.mcを作成する。
適当名.mcを編集。以下を追加する。

  dnl # 20160502
  LOCAL_RULESETS
  SLocal_check_relay
  R$* $: $&{client_resolve}
  RTEMP $#error $@ 4.7.1 $: "450 Access denied. Cannot resolve PTR record for " $&{client_addr}
  RFAIL $#error $@ 4.7.1 $: "450 Access denied. IP name lookup failed " $&{client_name}

sendmail.mcから sendmail.cfを生成する

# m4 適当名.mc > sendmail.cf ... パスは適宜設定のこと

sendmail.cfの変更箇所を確認する

# cat sendmail.cf
,,,,,,,,,,,,,,,,,,,
SLocal_check_relay  ■これを追加
R$* $: $&{client_resolve}  ■これを追加
RTEMP $#error $@ 4.7.1 $: "450 Access denied. Cannot resolve PTR record for " $&{client_addr} ■これを追加
RFAIL $#error $@ 4.7.1 $: "450 Access denied. IP name lookup failed " $&{client_name} ■これを追加
#
,,,,,,,,,,,,,,,,,,,

sendmail再起動

# restart_sendmail .... shellscript shutdown -> start
    Shutting down sm-client:       [ OK ]
    Shutting down sendmail:       [ OK ]
    Starting sendmail:            [ OK ]
    Starting sm-client:            [ OK ]
    Stopping saslauthd:             [ OK ]
    Starting saslauthd:             [ OK ]
エラーが表示されなければ大丈夫だ。
これで効くようになる。

maillogで確認

弾かれたリストを表示する。
# tail -80 maillog |grep reject=450
May 31 21:22:08 domain sendmail[289205]: u4CCM08S028923: ruleset=check_rcpt, arg1=, relay=[42.116.249.250], reject=450 4.7.1 ... Access denied. Cannot resolve PTR record for 42.116.249.250
May 31 21:23:15 domain sendmail[289291]: u4CCNDIG028925: ruleset=check_rcpt, arg1=, relay=[196.12.61.90], reject=450 4.7.1 ... Access denied. IP name lookup failed [196.12.61.90]

うまくいっている。


24 Jun, 2016 | mokimoc
« Prev item - Next Item »
---------------------------------------------

Comments



Leave comments

このアイテムは閲覧専用です。コメントの投稿、投票はできません。