メールサーバのSMTPとPOPの通信(TCP port 25番と110番)の通信全てを一日一ファイルで残してある
受信箱に届くSPAMメールならメールサーバと直接通信したIPアドレスはメールヘッダに記録されているが、メールサーバに受信箱があるかも、と任意のアカウント名らしき文字列を利用したログオン試行は、ログオンに失敗してメール送信が出来ないので「メールヘッダからIPアドレスを探す」方法が出来ない。
2019-02-24 14:32:10しかしメールサーバが動いているコンピュータのログには「ログオンの失敗」が記録される。 この「ログオンの失敗」ログに通信相手(SPAMをメールサーバに送ってきたコンピュータ)のホスト名、もしくは、IPアドレスが載っている。 pic.twitter.com/jYVCYofoFm
2019-02-24 14:32:10IPアドレスならばそのアドレスからの通信を拒否する設定をローターに設定して済ますが、ホスト名の場合はホスト名に対応するIPアドレスを探すのが先になる。 そして、往々にして、ホスト名は偽装されていたり、ICMP応答をしない設定になっていたり、ですぐに判明することは無い。
2019-02-24 14:32:11Googleの検索ボックスにホスト名を放り込むと、常習者の場合なら大抵Abuseデータベースに登録されている。 しかし全てが判明するとは限らない。 確実なのは、メールサーバのパケットキャプチャ。
2019-02-24 14:32:11インターネット上のコンピュータはIPアドレスで相手を認識し通信しているので、メールサーバのパケットキャブチャを見れば直接の通信相手のIPアドレスは判明する。 メールサーバのSMTPとPOPの通信(TCP port 25番と110番)の通信全てを一日一ファイルで残してある。 pic.twitter.com/u2L3ppC0ZR
2019-02-24 14:32:11このキャプチャファイルから当該ホスト名の文字列を検索するとメールサーバにログオンしようとしたコンピュータのIPアドレスが判る。 pic.twitter.com/9NIHdiGuTR
2019-02-24 14:32:12