treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

エラーメール「Undelivered Mail Returned to Sender」を調べてみる

トラブルシューティング セキュリティ

ある日、特定の連絡先から「Undelivered Mail Returned to Sender」というメールが返ってくるようになったので、調査した内容をご報告です。

メールエラーの連絡

ある日、ユーザから
「何度かメールしている連絡先にメールが届かなくなってしまった。調べてもらいたい。」
という連絡があって、状況を調べることになりました。

「向こうから来たメールに返信しただけなんで、アドレス間違いってことはないんですけどねぇ」

という話から、これまで何度かメールでやり取りしていることと、ちょっと前くらいからエラーが出る(今回で二回目くらい)ようになった、という話をチラッと聞き出しました。

エラーメールのメッセージをしっかり確認してみたほうが良さそうです。

エラーメールを確認してみる

実際にエラーメールを入手して、内容を確認してみることにしました。

まず件名には「Subject: Undelivered Mail Returned to Sender」と記載、メッセージ本文には以下のように記載されていました。サーバ名やドメイン名は仮名になっています。

--------------------------------------------------------------
This is the mail system at host %servername%.hoge.com.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

                   The mail system

<hogeuser@hoge.hoge.jp>: host %servername%.hoge.jp [%IPAddress%]
    refused to talk to me: %servername%.hoge.jp ESMTP Postfix 521 5.7.1
    Service unavailable; client [%IPAddress%] blocked using psbl.surriel.com

(以下同じエラーで別ユーザ宛のエラーが続く)
--------------------------------------------------------------

エラーメールには複数の宛先が含まれていたなかで、特定のhoge.hoge.jpドメイン宛てのメールだけがエラーとなっていました。メールの送信がエラーとなったドメインのメールサーバホストは全て<%servername%.hoge.jp>同一だったため、送信元であるこちらのメールサーバには問題なさそうな感じがします。
※同一メールで他のドメインへは送信が成功しているため

エラーメッセージには「problem report(問題レポート)」の存在が示唆されており、「attached returned message(添付の返信メッセージ)」という記載もあって、添付ファイルdetails.txtも確認してみましたが、エラーメッセージと同様の内容が記載されているだけでした。

エラーになってしまったメールのメールヘッダも確認してみましたが、特に問題はなさそう。エラーメッセージに記載の「blocked using psbl.surriel.com」に絞って調べてよさそうに思えます。

ブラックリスト?

「blocked using psbl.surriel.com」とあり、メールの送信先と全く関係しないドメイン<psbl.surriel.com>が記載されていることから、ブラックリスト系のスパムフィルタを先方が使っていることが予想されました。
で、psbl.surriel.comのブロックリストに入ってしまったか、あるいは誤検知されているか、といったところ。

試しにブラウザで「psbl.surriel.com」を入力すると、以下のページにリダイレクトされました。
■Passive Spam Block List
https://psbl.org

ちょっと説明をかいつまんでみると、「Passive Spam Block List(パッシブスパムブロックリスト)」と呼ばれるDNSBL sceneの新しいブラックリストで「pbsl.surriel.com is an IP address based block list,(IPアドレスベースのブロックリスト」を提供しているフィルタのようです。

当該環境では独自ドメイン+レンタルサーバを利用しているのでSMTPサーバのIPアドレスがリストアップされたのかなと思い、チェックサイトを試してみることにしました。

https://check.spamhaus.org

f:id:treedown:20211129031037p:plain
問題なし(no issues)となっている。
別のリスト調査<https://mxtoolbox.com>でも、

f:id:treedown:20211129031108p:plain

このように「OK」が続いて特にNGとされるブラックリストが見当たりませんでした。

IPアドレスで出てこないとしたら、ドメインだとどうだろうと思い、メール送信元のドメイン(メールサーバの独自ドメイン)で検索してみましたが、IPアドレスで検索したときと同様、リストに引っ掛かっているような表記はありませんでした。

このタイミングでは、ブラックリスト化されたフィルタで引っ掛かっているというところまでは分かったものの、いざブラックリストを検索しても登録されている事実が確認できないため、手詰まりとなってしまいました。

幸い、ユーザからは、これだけ調べたこちらの状況とエラーメッセージについて先方に連絡をしておき、メール以外の方法で連絡するようにする、という申し出があったので、問合せを発端とした調査はここで終了となりました。

後日

後日、ふとおもうところがあったので再度確認してみることにしました。
思うところというのは、契約中のレンタルサーバのsmtpサーバでメール送信時にウイルスチェック機能(レンタルサーバ契約の標準機能)があったことを思い出したためです。

PC⇒SMTPサーバ⇒ウイルスチェックサーバ⇒Internet

という経路でメールが送信されていきます。ウイルスチェックサーバではたぶんSMTPリレーをしており、ヘッダもよく見たらその経路が一段階記録されていました。

調べたSMTPサーバはリストアップされていなかったのですが、レンタルサーバ事業者が集中管理しているSMTPリレーサーバであるウイルスチェックサーバがブラックリストに登録されていたら、今回のエラーの原因が判明するんじゃないかと考えて、調べてみました。

とりあえず、<https://mxtoolbox.com>で確認してみると、

f:id:treedown:20211129031209p:plain

あ、出てきました。
…、と、いうことは、送信メールの安全性を保証してくれているウイルスチェックサーバがスパムメール発信元扱いになっているという仮説は合っていたようです。
とりあえず、レンタルサーバ事業者に連絡かなぁ…。