qmail+vpopmailの障害調査コマンド

2021年12月5日

qmail+vpopmailの障害調査コマンド

今回は、qmail(電子メールを相手方に送信するためのメールサーバ機能)とvpopmmail(バーチャルホストなどを実現するためのユーティリティとして、vpopmailがある。)でのサイバー攻撃時に原因を追究するコマンドを紹介していきます。(不定期更新で内容追記していきます。)

メールログから調べるとき。(/var/log/maillog)

  • vpopmail user not found(メールアカウントが存在しない。)

    • less /var/log/maillog | grep "vpopmail user not found" | awk '{ print $11 }' | sed "s/:/ /" | awk '{ print $2 }' | sort -rn | uniq -c | sort -rn ----------------------------------- カウント数 xxx.xxxx.xxx.xxx ----------------------------------- grep "上記コマンドで出力されたIPアドレスを指定" /var/log/maillog | awk '{ print $11 }' | sed "s/:/ /" | awk '{ print $1 }' | sort -rn | uniq -c | sort -rn ----------------------------------- カウント数 メールアドレス -----------------------------------

      メールアカウントが存在しないメッセージから攻撃してきているIPアドレスを割り出して、どこから攻撃されているか知ることができる。(iptablesで遮断して障害をおさめることができる。)
      割りだしたIPアドレスを指定してどのアカウントに集中して攻撃されているか知ることが出来る。

qmailqmail