実はその後……

前回の記事から4ヶ月経ちますが、実は8月の頭に、相手先から送られたはずの仕事のメールが届いていなかったという案件がありました
Gmailを経由して送っているということだったので、海外のメールサーバー経由してそうだという予想はついたのですが、緊急だったこともあって、慌ててバックアップもとらずにdaily cronに設定していたiptablesのスクリプトを消し、簡易設定に戻していました
その後調査しようと思ったら、引用元のサイトの記事も消えており、ちょっと仕事も忙しかったので、詳しい調査が出来ないままになっていました

最近になって、同じ人なのか、それとも別の人が引き継いでいるのか分からないのですが、当時設置したものがベースになっていると思われるサイトを発見したので、それを元に、当時の原因が何だったのかを調査しました

falsandtruのメモ帳
iptablesの設定でサーバー攻撃対策と海外からのアクセスを制限
http://falsandtru.hatenablog.com/entry/iptables-firewall

原因は単純

というわけで、当時の該当のメールのヘッダを見たところ、gmailサーバを経由して送信されたメールだった模様

Received: from mail-yh0-f54.google.com (mail-yh0-f54.google.com [209.85.213.54])
 by mail.hogehoge.com (Postfix)
 with ESMTP id 8B8DB16018A for <hogehoge@hogehoge.com>;
 Mon,  4 Aug 2014 15:51:57 +0900 (JST)

このIPを調べたところ、予想通りUS管理です

スクリプトの内容を確認したところ、内容は変わってる可能性もありますが、SMTPは日本だけが有効で、他は拒否になっています
というわけで、送信されたメールが私の管理するサーバに届く過程で、mail-yh0-f54.google.comのサーバから私の管理するメールサーバに送り届けようとしたところで、日本国内のサーバじゃないという理由で接続を拒否され、メールが不着になってしまっていたのではないかと思います
※当時公開されていたものでは違っていた可能性もありますので……

というわけで、SMTP自体も、大量のアドレスでの送信チェックみたいなログが出ていて、かなり攻撃は受けているのですが、仕事のメールを受け取れないのは困りますので、国内限定のフィルター

$IPTABLES -A INPUT -p tcp --dport 25 -j COUNTRY_FILTER && echo "OPEN:		SMTP[TCP:25]"

だったものを、特定の国からを拒否のフィルターに置き換え、

$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT_FILTER && echo "OPEN:		SMTP[TCP:25]"

としました

当時、事前にもっとしっかりフィルタの内容を確認しておけばよかったのですが、今回問題になったメールサーバも国内の方としかやり取りしていなかったし、問題になった相手も国内の企業の方だったので、まさか海外フィルターが当初問題になるとは思っていませんでした

とはいえ、届いてない？といわれて、すぐぴんと来たのも確かなので、もう少し慎重にやるべきでしたかね

この問題、相手から別手段でメールが届かない旨の報告を受けないと気づかなかったので、メールサーバーを設置しているサーバに適用する場合には気をつけてください

■ AD ■