メールサーバーのログ(/var/log/maillog)に次のようなログが大量に記録されていました。
Apr 8 00:01:21 ns postfix/smtp[29299]: 5190365CFEBV: host mail1.example.com[ZZZ.ZZZ.ZZZ.ZZZ] refused to talk to me: 554 mail2.example.com 5T1L1v0312CrJxE01 IP: <自分のメールサーバーIP>, You are not allowed to send mail. Please see http://www.spamhaus.org/query/ip/<自分のメールサーバーIP> You are listed in Spamhaus ZEN とか Apr 8 00:06:05 ns postfix/error[29317]: 46B0E60E5FFB: to=<宛先メールアドレス>, relay=none, delay=85149, delays=85149/0.06/0/0.02, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mail1.example.com refused to talk to me: 550 mail2.example.com IP blacklisted by Spamhaus, https://www.spamhaus.org/query/ip/<自分のメールサーバーIP> [mail2.example.com; LIB_101])
maillogに出力されたURLをクリックしたところ、このメールサーバーが The Spamhaus Block List(SBL)に登録されていることが分かりました。
Spamhausという組織はわりと大きいようで、ここのサービスを利用しているメールサービスが相当数あるようです。Microsoftのhotmailなども、ヘルプページにこのサービスを使っているという記述がありました。
そんな訳で、一部の宛先にはメールが送信できない事態になってしまいました。
登録を解除する場合、通常Webから解除の操作できるようですが、度合が酷かったのかドメイン管理者がメールを送れと書いてあります。しかも英語...
それはさておき、原因を調査しました。
/var/log/maillogを調査したところ、このメールサーバーはpostfixでSMTP認証しているものの、あるアカウントから大量に送信されていることが分かりました。調べたところこのアカウントのパスワードが簡単すぎたため、ブルートフォース攻撃などで漏れてしまったものと思われます。
原因が分かったので、とりあえず当該アカウントのパスワードを変更しました。が、後に不要なアカウントであることが判明し、アカウント自体を削除しました。
対処できたので、翻訳サイトの例文を参考に英文メールを作り、Spamhausに送ってみました。
※ メールの件名にはWeb画面に示されたように、事案番号と当該メールサーバーIPアドレスを入れましょう。
Dear SBL Team I am the administrator of the next server. AAA.AAA.AAA.AAA<メールサーバーIPアドレス>/32 (mail.example.com<メールサーバーFQDN>) Please exclude this IP address from the black list. Faithfully yours ----- 訳) 私は当該サーバーの管理者です。 サーバーのIPアドレスがブラックリストに登録されているので、解除してください。
すると即座に自動返信で受け付けましたよメールが返ってきました。
その日の夜、次のメールが届きました。
Hello, as indicated on the SBL listing page, to remove a listing we need to know in detail the corrective actions taken to resolve the problem. Thank you, SBL Removals Team The Spamhaus Project Geneva, Switzerland https://www.spamhaus.org/ ----- 訳) SBLから削除するためには問題解決の詳細な情報が必要だ。
何やらブラックリストから除外するためには、この問題に対する詳細な情報が必要らしいです...。
翌日、もしかして、まだスパムメールが送信されているのではないかと思い、メールサーバーのメールキューを確認したところ、16,000件ほど溜まっていました。アカウントは削除したものの、キューに残ったものは再送信を待っていることに気付きました。しばらくサーバーから遠ざかっていたので気付くのが遅れてしまいました。
キューは選別して削除するのが面倒なので、コマンド一発ですべて削除しました。
そして再度Spamhausへメールしました。
Hello, I deleted the mail that was stored in the server's mail queue. And I changed my mail account password. So again please exclude from the block list. Thanks, ----- 訳) メールキューを削除したよ。 さらにアカウントのパスワードも変更したよ。 だからブロックリストから除外してちょ。
この夜、返信が届きました。
Hello, thanks for the clarification, this SBL listing has been removed. Sincerely, SBL Removals Team The Spamhaus Project Geneva, Switzerland https://www.spamhaus.org/ ----- 訳) 情報ありがとう。SBLリストから消したよ。
やっと解除されました。一件落着です。
