セキュリティを高める(3)不審なメールを調査する
セキュリティを高める(2)reCAPTCHAを有効化するの続き。
サイトで利用しているメールの受信ボックスに、下記、不審なメールが届いていた。CAPTCHA v3を設定したので対策は済んでいる。
しかし、今後のこともあるので調査を継続する。どこから来たのか、調査方法を理解しておきたい。
| The original message was received at Mon, 7 Apr 2025 12:11:24 +0900 (JST) from localhost [127.0.0.1] —– The following addresses had permanent fatal errors —– <***@xxx.com> (reason: 554 5.7.1 [BS01] Message rejected due to local policy. Please visit *** —– Transcript of session follows —– … while talking to mx02.mail.xxx.com.: >>> DATA <<< 554 5.7.1 [BS01] Message rejected due to local policy. Please visit *** 554 5.0.0 Service unavailable |
調査した結果、メールボックスに入っているメールの生データをテキストエディタで開くことで、メールソフトで表示されるよりも多くの情報を得ることが出来るということに気づいた。
私の場合は、下記、フォルダにメールファイルが置かれていることを知った。
/home/ユーザー名/MailBox/メールアカウント/maildir/cur
メールファイルのファイル名は何だかわからないものが多いので判別が出来ない。よって、ファイルのタイムスタンプをメールの受信時刻と比較して当たりをつける。
それらしきファイルを見つけたら、ダウンロードしてテキストエディタで開く。
下記がテキストファイルの抜粋。攻撃者は RCjZgXsHcY hgarrettrz@gmail.com といういかにもランダムなメールアドレスを使って攻撃してきたみたい。
これ以上追うことは難しそうだが、少なくともこの情報までは即時にたどり着けるようにしておきたい。
| Content-Type: message/rfc822 Content-Transfer-Encoding: 8bit Return-Path: <***@***.com> Received: from ***.***.com (localhost [127.0.0.1]) by ***.***.com (8.16.1/8.16.1) with ESMTP id 5373BNIi036760 for <***@***.com>; Mon, 7 Apr 2025 12:11:24 +0900 (JST) (envelope-from ***@***.***.com) Received: (from ***@localhost) by ***.***.com (8.16.1/8.16.1/Submit) id 5373BNpv036759; Mon, 7 Apr 2025 12:11:23 +0900 (JST) (envelope-from ***) To: ***@***.com Subject: Article “swBBsKMx” X-PHP-Originating-Script: 1346:PHPMailer.php Date: Mon, 7 Apr 2025 03:11:23 +0000 From: Article <***@***.***.com> Reply-To: hgarrettrz@gmail.com Message-ID: <P5kCkCltycKFdPp5rOpavH60hqrUGvawvIoo7XVQw@***.***.com> X-Mailer: PHPMailer 6.9.1 (https://github.com/PHPMailer/PHPMailer) MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit 差出人: RCjZgXsHcY hgarrettrz@gmail.com 題名: swBBsKMx メッセージ本文: — 本メールはあなたのウェブサイト (Article https://***.com/article) のコンタクトフォームに送信があったことをお知らせするものです。 –5373BWIi036768.1743995492/***.***.com– |
