[stalk:01357] メールサーバの一般的な不正中継テストをちょっと工夫するお話し

["K-IM" <k-imaiz@xxxxxxxxxxxxxxxxx>]

----------------------------------------------------------------------
★即ゲット!!プチくじ★「プチ」なのに豪華賞品多数!!★★★★★★★★★★
   スチーム！女性に大人気のマイナスイオン美顔、プレイステーション２
             デジカメ、5.1chスピーカーをプレゼント！！
  その場であたりがわかる！７日間限定！プチくじは８月27日（火）まで！
http://kuji.www.infoseek.co.jp/Puchi?pg=pk_s.html&p=Mlz91qs&svx=910118
----------------------------------------------------------------------


Scan Security Wire のニュース、

財団法人データ通信協会のメールサーバ不正中継問題(2002.8.6)
https://www.netsecurity.ne.jp/article/1/6229.html
自分の利用しているサーバの状況を確認する方法　不正中継確認(2002.8.5)
https://www.netsecurity.ne.jp/article/1/6212.html

を拝見していて、以下の記述にぶつかりました。

＜引用＞
同財団のメールサーバは、一般的な不正中継テスト 
(http://www.abuse.net/relay.html 、
http://www.rbl.jp/svcheck.php　等）
では、不正中継可能と判断されない。
このことから、ひととおりの不正中継防止措置を
実施していることと推定される。 
　しかし、実際に存在するアドレスを用いた不正中継は
可能な状態となっていた。これは、送信するメールの
"From"を偽装する古典的な方法で、この方法を用いるこ
とで外部の第三者が自由にメールサーバを利用すること
が可能であった。 
＜／引用＞

この不幸な事故を少しでも軽減できる方法について
考えてみたいと思います。

いま、mydomain.comを調査したいとして、
http://www.rbl.jp/svcheck.php

を使うと、例えば、
中継テスト その3あたりでは、

>>> MAIL FROM: <spamtest@xxxxxxxxxxxx>

というおしゃべりをしてくれます。

rbl.jpが、fromのサーバを詐称してくるわけです。

【あらかじめ、spamtestなるアカウントを自サーバに追加】
しておくことで、
上にあげた記事中の
「実際に存在するアドレスを用いた不正中継は可能」かどうかの
簡単なＴＥＳＴを追加できます。全てのパターンを網羅できない
かもしれませんが、ＴＥＳＴ項目を追加できることは良いことで
しょう。

次に、spamtestのアカウントを抹消して、もう一度時間をあけて
ＴＥＳＴします。

-- 

以前、自社のメールサーバが、不正中継のブラックリストＤＢに
載った事がありまして、そのときに上にあげたようなＴＥＳＴを
しました。結果として、そのメールサーバは、どのようにあがい
ても「実際に存在するアドレスを用いた不正中継は可能な状態」で
あることがわかりましたので、捨てることにしました。
（通り一遍のＴＥＳＴではダメだった事例です）

-- 

以上です。



--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　 ★『日経ネットナビ』共同企画“理想のティッカー作りに参加しよう！”
　　　　　　　　 http://ap.infoseek.co.jp/ticker4.html