迷惑メール/スパム対策セキュリティ
mailer-daemon

MAILER-DAEMONのメールが急増したら要注意!単なる迷惑メールではなくメールサーバのPWが漏洩してメールアカウントを乗っ取られているかもしれません

2015.12.17
この記事は約14分で読めます。

mailer-daemon@自分のドメイン名迷惑メールが急増した場合、その迷惑メールの送信元が「MAILER-DAEMON」になっていたら注意が必要です。単なる迷惑メール増加ではないかもしれません。
「MAILER-DAEMON」というのは、あなたが送信したメールが相手に届かなかったということを相手のメールサーバから自動的に返信されるメールです。
つまりこの「MAILER-DAEMON」が大量に送られてくる原因は、あなたのメールアドレスからそれ以上に大量にメールを送信している…という可能性が高いです。
身に覚えがないのにメールを大量に送信するということは…あやしいことが起きているかもしれません。

  1. MAILER-DAEMONについて
    1. MAILER-DAEMONとはなにか
      1. ドコモのMAILER-DAEMON
    2. メーラーデーモンの種類
      1. なぜ多くの種類が存在するのか?
      2. Gmailの迷惑メール対応強化でMAILER-DAEMON増加の懸念
    3. エラーメールの具体例
      1. MAILER-DAEMONなどエラーメールの事例
        1. その1 本文(英文)の中に、User unknown という文がある場合。
        2. その2 本文(英文)の中に、Host unknown または host not found という文がある場合。
        3. その3 本文(英文)の中に、The file **** has been infected with the virus ###### という文がある場合。
        4. その4 本文(英文)の中に、Message size exceeds remaining quota という文がある場合。
        5. その5 本文(英文)の中に、Message exceeds maximum fixed size という文がある場合。
        6. その6 本文(英文)の中に、Message could not be delivered for 5 days という文がある場合。
        7. その7 本文(英文)の中に、Fragmented emails are not permit という文がある場合。
  2. MAILER-DAEMONの原因を探り対策を打つ
    1. メールサーバを見る
    2. メールパスワードが漏洩した可能性があるなら変更しましょう
      1. MAILER-DAEMONのメールが急増したら、そのメールアドレスのパスワードは変更しましょう
      2. パスワード生成サービスを利用する方法もあります
    3. メルマガシステムが乗っ取られていたら深刻です
      1. なぜメルマガが乗っ取られるとMAILER-DAEMONメールが届くのか
      2. 今すぐ確認・対応すべきこと
    4. MAILER-DAEMONはメーラーデーモンと読む

MAILER-DAEMONについて

MAILER-DAEMONとはなにか

MAILER-DAEMONとは、送信先が存在しないメールアドレスだったり受信拒否されたりして送信したメールが正しく送信できなかったことを知らせるエラーメッセージです。

1.「第三者があなたのメールアドレスになりすまし送信元を偽装した送信」か、
2.「メールサーバのPWが漏洩して悪意を持った何者かがメールアカウントを乗っ取り大量に迷惑メールを発信しているか」か、
のどちらかが疑われます。いずれにしても問題ですが、もしもメールアカウントが乗っ取られていたら大問題です。

ドコモのMAILER-DAEMON

質問です
質問です

そもそもMAILER-DAEMONってなんて読むんですか?

どもども遠田
どもども遠田
MAILER-DAEMONは「メーラーデーモン」と読みます。
Googleでは「メーラーダエモン」という検索のされ方のほうが多いらしいですけどね。(笑)
質問です
質問です

MAILER-DAEMON@wdy.docomo.ne.jp
というへんなメールが届きました。どうすればいいですか?

どもども遠田
どもども遠田

ドコモのメールアドレスに送信したあとなんらかのエラーで届かなかったときにそのような返信が届きます。

上記の「MAILER-DAEMON@wdy.docomo.ne.jp」という例では、ドコモのメールでの送信エラーです。

また、ドコモの回線契約がないユーザーについて、ドコモからは「spmodemsgr@wdy.docomo.ne.jp」というメールアドレスから返信されるようです。

この原因はドコモの仕様だけでなく、利用者の環境変化もあります。

例えば、ドコモの携帯料金を節約するためにキャリアの契約を解約し「ocnモバイルone」などの格安SIMに変更した場合などだと、電話番号は同じままですがこれまで使えていたキャリアメールが使えなくなっています。

そのため以前のキャリアメールに送信するとメーラーデーモンとなり、このようなメールが返信されるようです。

さらに、ドコモを名乗った迷惑メールやMAILER-DAEMONは多いので慎重に判断してください。

ドコモを装ったメールにご注意ください!
https://www.docomo.ne.jp/info/spam_mail/column/20170509/

などのドコモの公式サイトで確認してください。

なお、当社は株式会社ドモドモコーポレーションという名前の会社です。ドコモさんとは一切関係ありませんのでご注意ください。
※当社はドコモのインチキ会社ではありません。(笑)

メーラーデーモンの種類

主なメールサービス・プロバイダーの例で紹介します。日本の主要なプロバイダーや携帯キャリア、フリーメールサービスのアドレスがメーラーデーモンになりえます。

検索エンジンのドメイン関連
mailer-daemon@yahoo.co.jp
mailer-daemon@gmail.com
mailer-daemon@googlemail.com

Microsoft系 (Outlook, Hotmail, Live.comなど)
mailer-daemon@hotmail.com
mailer-daemon@outlook.com
mailer-daemon@live.jp

Apple系 (iCloud)
mailer-daemon@icloud.com

携帯キャリア
mailer-daemon@softbank.ne.jp
mailer-daemon@ezweb.ne.jp (au)
mailer-daemon@au.com (au)
mailer-daemon@wdy.docomo.ne.jp

国内プロバイダー
mailer-daemon@nifty.com
mailer-daemon@so-net.ne.jp
mailer-daemon@biglobe.ne.jp
mailer-daemon@plala.or.jp
mailer-daemon@ocn.ne.jp

レンタルサーバー・ホスティングサービスの例
ご自身でウェブサイトなどを運営している場合、利用しているレンタルサーバーからエラーメールが返ってくることもあります。
mailer-daemon@sakura.ne.jp (さくらインターネット)
mailer-daemon@xserver.jp (エックスサーバー)
mailer-daemon@lolipop.jp (ロリポップ)
mailer-daemon@heteml.jp (ヘテムル)

大学などの教育機関の例
大学のメールシステムからも、独自のメーラーデーモンアドレスが使用されます。
mailer-daemon@u-tokyo.ac.jp (東京大学の例)
mailer-daemon@waseda.jp (早稲田大学の例)
大学の場合はac.jp で終わるドメインがよく使われます。

なぜ多くの種類が存在するのか?

メーラーデーモンは、メール配送システム(Mail Transfer Agent, MTA)の標準的な機能の一部です。メールが宛先に届けられない場合、そのメールを預かったサーバーが「届けられませんでした」という通知を送信者に送り返します。この通知を送る主体が「MAILER-DAEMON」であり、そのアドレスは通知を発行したサーバーのドメイン名(@以降の部分)に依存します。

mailer-daemon@自分のドメイン名

つまり、理論上はメールサーバーが存在する数だけ、メーラーデーモンのアドレスの種類が存在することになります。

Gmailの迷惑メール対応強化でMAILER-DAEMON増加の懸念

2024年に入りGmailの迷惑メール対応が強化されています。とくに2024年2月からはDMARCに対応していないメールを受信しないという措置がとられるため、MAILER-DAEMONの増加が懸念されます。

Gmailあてに送信するメールにはメール認証のSPFとDKIMが必須、さらにDMARCまでの設定を推奨します
神奈川県の高校受験に関して、県側からの送信メールがGmailだと届かないという問題が発生しています。高校入試の出願システム、Gmailにメール届かず……神奈川県、受験生に「@gmail.com以外のアドレス使って」とりあえずの回避策としてGmail以外を使ってほしいという県側が訴えていますが、本来この問題は県の情報システム側にあります。県側のメール送信システムが送信メール認証に必須と言われているS...
www.dm2.co.jp
2024.01.16

Gmail対応(DMARC、DKIM、SPFなどのメールの信頼性向上)に関しては上記のページをご覧になってください。

エラーメールの具体例

MAILER-DAEMONなどを含むエラーメールの具体例として東京経済大学のエラーメールの説明がわかりやすいので引用紹介します。
(出典元http://www.tku.ac.jp/iss/guide/mail/tipsmail/mailerdaemon.html)

MAILER-DAEMONなどエラーメールの事例

その1 本文(英文)の中に、User unknown という文がある場合。
意味 あなたが送信したメールのユーザ名(@より前の部分)が存在しなかった。
送信先メールアドレスの入力ミスか、既にメールアドレスが存在していないことが原因と思われます
対応 相手のメールアドレスを確認の上、再送信しましょう。
その2 本文(英文)の中に、Host unknown または host not found という文がある場合。
意味 あなたが送信したメールのホスト名(@より後ろの部分)が存在しなかった。
送信先メールアドレスの入力ミスか、既にメールアドレスが存在していないことが原因と思われます。
対応 相手のメールアドレスを確認の上、再送信しましょう。
その3 本文(英文)の中に、The file **** has been infected with the virus ###### という文がある場合。
意味 あなたが送信したメールがウィルスに感染している。
****部には添付ファイル名、#####部にはウィルス名が表示されます。)
添付ファイルがウィルスに感染していることが原因と思われます。
対応 ウィルス対策ソフトを入れウィルスチェックをした上で、再送信しましょう。
参考 このメッセージのメールは、「ウィルス対策ゲートウェイ装置」にて、ウィルスの検知により”送信が拒否された“ことを意味します。
その4 本文(英文)の中に、Message size exceeds remaining quota という文がある場合。
意味 あなたが送信したメールの相手の「メールボックスの容量」が一杯になっている。
送信先の相手の「メールボックス(メールスプール)」が容量超過になっており、受信ができないことが原因と思われます。
対応 相手にサーバ上のメールを削除してもらった上で、再送信しましょう。
その5 本文(英文)の中に、Message exceeds maximum fixed size という文がある場合。
意味 あなたが送信したメールのサイズ(添付ファイルのサイズ)が大きすぎる。
メールで送信できる一通あたりのサイズを超えていることが原因と思われます。
対応 添付ファイルを圧縮するなどしてサイズを小さくした上で、再送信しましょう。
(容量の大きい添付ファイルの送信は、本学のみならず相手側の負荷も大きくなります。)
その6 本文(英文)の中に、Message could not be delivered for 5 days という文がある場合。
意味 あなたが送信したメールが、”5日間”たっても相手先に送ることが出来なかった。
(メールサーバにて、この”5日間”に何度も再送を試みたが送信できなかった)
相手先のネットワーク(メールサーバ)等が停止していることが原因と思われます。
対応 相手にネットワーク(メールサーバ)の状態を確認してもらった上で、再送信しましょう。
その7 本文(英文)の中に、Fragmented emails are not permit という文がある場合。
意味 あなたが送信したメールが、分割されているので送信できない。
あなたのメールソフトの設定で「分割設定」がされていることが原因と思われます。
対応 メールソフトの「分割設定」を解除した上で、再送信しましょう。

MAILER-DAEMONの原因を探り対策を打つ

このエラー発生原因を探りましょう。上記の具体例で、単発的なものだったり、理由が明確なものだったりなら、そのまま様子を見ればいいです。

しかし、大量に送信されている場合は、メールサーバから発信されたものなのか、送信元偽装送信なのかを確かめてください。

もしも、自分が使っているメールサーバから発信されたとしたら、PWが漏洩して乗っ取られている可能性が高いからです。この場合は早急に対策をしてください。

メールサーバを見る

さくらインターネットならサーバコントロールパネルに「メール送信数グラフ」があります。そのグラフをみて、あきらかに過剰な送信があれば、サーバのっとりが疑わしいです。すぐにメールのPWを変更し、プロバイダに連絡をしよう。

さらに、PW漏洩したということになると、使用しているPCがウイルス感染などにより、重要なデータが漏洩したことも考えられます。すぐにもでPCのウイルススキャンを行い、もしもウイルス感染していたら駆除してください。

▼サーバからのメール送信状況グラフ
サーバからのメール送信状況グラフ

さくらインターネット以外でも同様のチェックができるはずです。

メール送信数が想定の範囲内なのにMAILER-DAEMONのメールが急増したということであれば、第三者の送信元なりすましによる大量のメール送信が原因でしょう。この場合は、送信元として自分のメールアドレスが使われてしまったなんらかの理由があるはずです。

たまたま、といよりも、自分がメールをやりとりしている誰かがウイルス感染したことにより、メールアドレスが漏洩した可能性があります。この場合はPWまでは漏洩していないのですが、知人のだれかがウイルス感染したPCを使用し続けていていることが想定できます。

その知人に連絡が可能ならば状況を伝えて改善策を取ってもらうことも有効です。

メールパスワードが漏洩した可能性があるなら変更しましょう

MAILER-DAEMONのメールが急増したら、そのメールアドレスのパスワードは変更しましょう

パスワードを再設定する場合は使い回しのパスワードを使わず強力なパスワードに変更しましょう。

強力なパスワードの条件は
・半角英数と記号の組み合わせ
・英数は大文字と小文字が混在
・文字数は長くする(最低でも12文字以上)
などです。

強力なパスワードの例:h4KnG(4kQ&ampB&~v9$eUdm~KYdu1bg8

メールパスワードは自分で記憶する必要がありませんのでなるべく強力なパスワードにしましょう。

パスワード生成サービスを利用する方法もあります

パスワード生成サービスもあるので、そこで生成したパスワードを2つ組み合わせて使うなどする手もあります。

▼強固なパスワード生成する方法

パスワード生成して強固な自分だけのパスワードを作り出す、しかもそのパスワードは1回しか使わないようにする
強固なパスワードを求められる場面が増えてきた。自動的にパスワードを生成してくれるサービスもでている。しかし自分はAIら乱数で自動的に作成したパスワードをそのまま使うことに抵抗を感じている。そのため手間はかかるが、自動生成したパスワードを2つ以上組み合わせてオリジナルのパスワードを生成している。しかもそのパスワードは記録せず1回きりとして、毎回パスワードを生成する、ということを意識している。
www.dm2.co.jp
2019.12.23

いずれにしてもPCのセキュリティをきちっとしておかなければなりません。

単なる迷惑メール処理なら、メールサーバの迷惑メールフィルタを使うなり、メールソフトの迷惑メール自動削除機能を使うなどの対策を実施すればよいです。

メルマガシステムが乗っ取られていたら深刻です

独自ドメインを利用しているレンタルサーバーに、cgiタイプのメルマガシステムを使い利用している場合では不正侵入されて不正なメールを送られているというケースがあります。この状況はMAILER-DAEMONから大量のメールが届く原因として、非常によくある典型的なケースです。

ACmailerというメルマガCGIに脆弱性が発見!ver4.1以降の最新版にアップデートしましょう
ACmailerというメルマガCGIに脆弱性が発見されたそうです。なんとサイバー県警から当社にも電話連絡があり、「ACmailerに脆弱性が発見されたのですみやかに最新版にアップデートしてください」という内容でした。私は電話には出ていないのですが2回めの電話のさいには留守電に録音されていました。よほど緊急なんでしょうね。このACmailer、実は当社も利用しているメルマガCGIです。幸い、当社の利...
www.dm2.co.jp
2023.09.13

この状況は、MAILER-DAEMONからの通知が急増する原因として十分に対象となります。

なぜメルマガが乗っ取られるとMAILER-DAEMONメールが届くのか

仕組みは以下の通りです。

  1. 不正侵入と不正メール送信: 攻撃者がお客様のサーバーやCGIメルマガシステムの脆弱性を突いて侵入し、そこを「踏み台」として、迷惑メール(スパムメール)を大量に送信します。
  2. 無効な宛先の存在: 攻撃者が使う宛先メールアドレスのリストには、現在使われていないアドレス、ランダムに生成された無効なアドレスなどが大量に含まれていることがほとんどです。
  3. エラーメールの返送:
    • 存在しないメールアドレス宛に送られたメールは、相手先のメールサーバーに届けられません。
    • 相手先のサーバーは「宛先不明(User Unknown)」などのエラーメッセージを、送信元のサーバーに返します。
  4. MAILER-DAEMONからの通知:
    • エラーメッセージを受け取ったお客様のサーバーのメールシステム(MAILER-DAEMON)は、「このメールは届けられませんでした」という通知を、本来の送信者に送り返します。
    • 不正送信されたメールの「送信元(From)」には、お客様のドメインのメールアドレスが設定されているため、結果的にお客様のもとに大量のMAILER-DAEMONからの通知が届くことになります。

この現象は「バックscatter(後方散乱)」とも呼ばれます。自分が送信した覚えのないメールのエラー通知が大量に届く、という特徴があります。

今すぐ確認・対応すべきこと

この状況は放置すると、お客様のサーバーやドメインの信頼性が著しく低下し、ご自身が送信する正規のメールも相手に届かなくなる(ブラックリストに登録されるなど)危険性があります。

以下の対応を至急行うことを強くお勧めします。

  1. 不正なプロセスの停止: サーバー上で不審なプロセスが動いていないか確認し、CGIメルマガシステムの稼働を一時的に停止してください。
  2. パスワードの変更: サーバーのFTP/SSHパスワード、データベースのパスワード、メルマガシステムの管理画面パスワードなど、関連するすべてのパスワードをより強固なものに変更してください。
  3. 侵入経路の特定と対策:
    • CGIメルマガシステムが最新のバージョンか確認し、古い場合はアップデートまたは使用を中止してください。
    • サーバーのアクセスログを調査し、不審なIPアドレスからのアクセスがないか確認してください。
    • アップロードした覚えのないファイルが設置されていないか確認してください。
  4. レンタルサーバー会社への連絡: 状況を説明し、調査を依頼してください。サーバー会社側でより詳細なログを保持している場合があります。
  5. ブラックリスト登録の確認: ご自身のドメインやサーバーのIPアドレスが、迷惑メールの送信元としてブラックリストに登録されていないか確認してください。MXToolBoxなどのサイトで確認できます。

結論として、メルマガのcgiシステムを利用しているなら、MAILER-DAEMONからのメールが届く原因として直結しており、緊急のセキュリティ対応が必要な状況である可能性が非常に高いです。もしご自身での解決が難しいなら専門家に急いで相談してください。

MAILER-DAEMONはメーラーデーモンと読む

なお、MAILER-DAEMONをなんと読むかについては諸説あります。

「メーラーデーモン」と読むのが一般的。

しかし、Googleでは「メーラーダエモン」と検索される回数のほうが多いようです。メーラーダエモンのほうが一般化されているのかもしれません。

とにかく、MAILER-DAEMONが増えたらメールサーバーの状況を確認するなど、自分の環境を徹底的に調査してみましょう。