気になるけど

PC関連情報、ビジネス書、IT資格などについて書いていきます。 ただいま不定期更新中です。

PREV | PAGE-SELECT | NEXT

≫ EDIT

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Twitterでつぶやく

| スポンサー広告 | --:-- | comments(-) | trackbacks(-) | TOP↑

≫ EDIT

スパムメールBL(ブロックリスト)に掲載された時--maillogは教えてくれる

最近このブログを書いていてよく思うことは、もう少しIT技術者として世間様のお役に立つべきことをログとして残せないか、という事であり、もっと皆様のお役に立てる情報を書きたい!と強く感じているので、ちょっとだけ専門的な事を書きます。

先日、私の担当しているお客様のところで、メールが相手に届かなくなったという障害が発生し、マジですか?という事で急いで調査する事になりました。

しかし全てのメールが届かなくなった訳ではなく、「突然届かなくなった相手がいる」という限定的なものでした。

お客様にエラーとして返信されたメールや、サーバのmaillogなどを確認してみると、以下のような記述が書かれていました。
※内容は一部修正してあります

----- The following addresses had permanent fatal errors -----


----- Transcript of session follows -----
... while talking to xxxxx.hogehoge.com.:
<<< 554 Message relaying denied for security policy.
554 ... Service unavailable


これを見る限りでは、メール送信相手のメールサーバから、security policy上の理由により、メールをrelayする事ができませんでした的な内容なので、なんとも判断のしようがなく、相手側から拒否されている事しかわかりませんでした。

さらに調査を進めていくと、別なエラーメールの記述を見つけたため詳しく見てみることにしました。

----- The following addresses had permanent fatal errors -----

(reason: 554-tekitou.ne.jp)

----- Transcript of session follows -----
... while talking to tekitou.ne.jp.:
<<< 554-tekitou.ne.jp
<<< 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.
... while talking to tekitou.ne.jp.:


私は英語がまったくと言っていいほどダメなのですけども、ここに書かれている内容を翻訳サイトなどを使ってみると・・・

---エキサイト翻訳を使用---
554 このメールシステムへのあなたのアクセスは発信しているMTAの貧しい評判のため拒絶されました。 この失敗が間違っていると信じているなら、代替の手段で意図している受取人に連絡してください。


「MTAの貧しい評判」という箇所がツボだったのですが、こりゃ~お客様のMTA(Message Transfer Agent)が何らかの事情によりブロックリストにでも掲載されたかな?と思いつつも、さらに調査を進めた
ところ、その予想が確信に変わるログを発見します。

----- Transcript of session follows -----
... while talking to post.nantoka.co.jp.:
>>> DATA
<<< 554 Service unavailable;
Client host [hogehoge.com]
blocked by sbl-xbl.spamhaus.org;
http://www.spamhaus.org/query/bl?ip=xxx.xxx.xxx.xxx
554 5.0.0 Service unavailable
451 4.4.1 reply: read error from post.nantoka.co.jp.


もうビンゴですよ!
「blocked by sbl-xbl.spamhaus.org;」というところで理由が確定・・・

sbl=Spamhaus Block List
xbl=Exploits Block List


つまり、spamhaus.orgが管理するスパムメールのデータベースに、お客様のメールのゲートウェイとなるIPアドレスがブロックリストに掲載されてしまったための事象という事でした。



とりあえずはSpamhaus.orgにアクセスして、sblとxblのRemoved IPAddressをクリックし、お客様のメールのゲートウェイにあたる部分のグローバルIPアドレスを入力し、Looking IPをクリックすると・・・

やはり見事にブロックリスト登録されているじゃないですか!

これはどこから解除すればいいのか?とその辺に詳しい人に聞いて見ると、CBLのサイトから解除できるとの事で、お客様のIPアドレスを入力し、全て英語の記述の中、翻訳サイトを活用して気合で先に進み、なんとかブロックリストから解除されることに成功しました!

cbl.jpg

画面を取るのを忘れたのでなんとも説得力が無いのですが、このCBLから解除依頼をすると、すぐに効果が出るので、再度spamhaus.orgからIPアドレスを入力して確認してみると・・・

spamhaus02.jpg

見事「xxx.xxx.xxx.1 is not listed in the SBL」となっているではないですか!素早い!
※IPアドレスは仮のものです

とりあえずこれでしばらく経過すると、このspamhaus.orgのBLを参照しているような製品の方で判断してメールが届くようになるとの事を聞き安心しましたが、それでもまだダメとなると、そのメールのドメインを管理する団体に連絡して、お客様のドメインをはじくのを止めていただくしか無さそうとの助言をいただき、ブロックリストって怖いと改めて感じました。

とりあえずお客様が送信できなかったメールも、数日後には送信可能となったところもあれば、やはり許可申請を出して、相手側にBLからの削除やホワイトリスト登録をしてもらわないとならない所もあった様子。

なんとか事なきを得ましたが、メールはビジネス上欠かせない大切なツールですし、正しく相手に届き、そして送られてこなければ、多大な損害が発生する可能性があるので、こういう部分は注意しておきたいですね。

そもそもスパムメールなどというものが無ければ、こんな事も起きずに済むのですがね~・・・
メールから違法にお金儲けへ繋げる犯罪組織がなくならない限り、こういう事象とは付き合っていかねばならないのでしょうね…
Twitterでつぶやく

| PCネタ・IT系ニュース | 23:59 | comments:6 | trackbacks:0 | TOP↑

COMMENT

>gxxxeさん

コメントありがとうございます。
何かお困りのようで、私の記事で参考になればと思います。
少しでもお役に立てればよいのですが・・・。
もしよろしければ、またこの拙ブログを覗いてやってください。

| fuminchu | 2010/01/08 00:14 | URL |

fuminchuさん、はじめまして。 ググったらここにたどりつきました。

さっそく、もうちょっと調べてみることにします。

途方に暮れていた中で光を見つけた思いがして、とてもうれしかったので、コメントさせていただきました。ありがとうございました。

| gxxxe | 2010/01/07 18:48 | URL |

>なあびんさん

またまたどうもありがとうございます。
ISPの管理をしていると、色んなユーザーさんがいるので大変ですよね・・・
そのユーザーごとに求めてくる要求も変わるでしょうし、頭ごなしに押さえつけるわけにもいきませんしね(笑

spamhausですがcblからRemoveされたのならば、基本それ以降は再登録されないと思いますが、何度もBLに登録されるのであれば、そのIPアドレスを利用しているユーザーに何か問題があるか、もしくはサーバ側の設定なのか・・・
よくわかりませんね(-_-;)

他のブラックリストも基本的に問題のあるIPアドレスをリスト化していますが、そのロジックはわかりませんからね~
色々なBLを横断的に採用していて、且つ独自のレピュテーションとDBを持っているCiscoのIronPortとかは優れていると思いますが。

折角なので、ちょっとこれをネタにさせてもらおうかなと考えていますので、よろしければまたご覧ください。

| fuminchu | 2008/09/25 19:10 | URL |

> fuminchuさん

コメントありがとうございます。
ブログにも遊びにきていただいて
ありがとうございます。(^^

ISPの管理者という立場ですと
それぞれのユーザーの状況にたって
すべて判断していかないといけないので
一概にこうしよう! みたいなことが
エイヤーっ!とできないところが
難しいです(笑

spamhausですが、fuminchuさんの
アドバイスの通り、とりあえず
一通りMTAサーバー関係を一度見直して
みることにしました。
その前に、お客様が配信できないと
困るなと思いまして、毎朝手動で
remove申請をポチっとやって、
データベースから削除して、その際に
正規のユーザーであることを
切に訴えたコメントを書きまして
本日、removeのボタンをポチっとした
ところ

Error
Specified IP has been removed an excessive number of times from the CBL already. FIX THE PROBLEM FIRST, then contact cbl@cbl.abuseat.org for assistance.

なんて画面がでました。
データベース上ではlisted in に
なっているようですが、実際は
removeされたようです。

ブラックリスト作成の際、必要と
なるのは、やはりそのレピュテーション
自体がどれだけ信用できるものなのか
ということだと思います。
機械的なものだけで作成されたものは
当然ながら信用できるものではなく、
最後はやっぱり人の手だなと。
spamhausの存在を批判するつもりは
まったくありませんが、単純に
IPだけで作成された、spamhausのような
方法で生成されたブラックリストを
Anti-spamのアプライアンスとして
導入している企業さんのことを考えると
すごいおそろしいです。

fuminchuさんのブログのタイトルに
誰かの役に立つそんなブログで
ありたいと掲載されておりますが、
少なくとも私にとっては
すごく役にたっております(笑

ちょくちょくのぞきにやってきます!(^^

それにしても。。。
ネットワークというのは、物体で
目に見えないものだけに
トラブるとややこしいですよね。
いつもそう思います。。。

| なあびん | 2008/09/25 10:48 | URL | ≫ EDIT

>なあびんさん

こちらこそはじめまして。
コメントありがとうございます。
ISPの管理者をされているのですか!
それは本当に大変なお仕事ですね(^^;)
よーくわかります。

spamhausなどのブラックリストですが、私も単純にIPアドレスだけで判断するのはおかしいと思っています。
きちんとレピュテーションのロジックを見直しつつ、機械的にではなくある程度人的な判断が必要な場合もあると思いますので、その辺りを柔軟にして欲しいのですが、IPアドレスを何度もBL登録されるということは、きっと何か原因がある事だとも思います。
sendmailやpostfix、qmailなどのMTAやサーバなどの設定による場合もありますからね(-_-;)
↑経験あり
確かCBLサイトでBLに登録された理由が英語で書かれていたような気がしますので、そちらから判断していくとかですかね・・・役に立てなくてすみません。

また何かありましたら気軽に見に来てやってください。

| fuminchu | 2008/09/23 23:47 | URL |

spamhaus

fuminchuさん、はじめまして。
私も東北某地でISPの管理者してます。
spamhausのお話、参考になります!
ある2つのIPアドレスが何回も登録されて、
毎日のように削除申請を出して、
spamhaus宛てに正規ユーザーが
困っているというメールをだしたのですが
いまだナシノツブテ状態です --;
単純にIPアドレスで判断して
ブラックリストを生成するという
やり方には、私も賛同できないです。

いまだ解決せず、ホントこまってます(汗;

| なあびん | 2008/09/23 09:02 | URL | ≫ EDIT















非公開コメント

TRACKBACK URL

http://kininarukedo.blog84.fc2.com/tb.php/392-811a7d02

TRACKBACK

PREV | PAGE-SELECT | NEXT

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。