某研究室で「メールサーバが乗っ取られたかもしれない」というので駆り出される．メールサーバの調子が悪い（メールが読めない？）のでログを見てみたら，SMTPであちこち知らないサーバにメールを送っているのだという．すわ踏み台にされたか，あるいはリレーを許可してしまったかと思ったのだが，ファイアウォールでガチガチに固めてあるのでそんなことは起きないはず．

で，実際のログはというとこんな感じ．

Nov 24 2006 12:54:11 SMTP connection attempt for host "pdagamez.com". DNS Cache entry has expired. Retrieving new DNS cache entries.
Nov 24 2006 12:54:11 SMTP connected to server "localhost.fabulous.com:25" using TCP/IP to send data for host "pdagamez.com".
Nov 24 2006 12:54:12 SMTP Sent Message ID: 222528, Size (k): 3, Recipient(s): 1, Message transfer time: 00:01, Total delivery time: 16:41:41.
Nov 24 2006 12:54:12 SMTP Sent Message ID: 96789, Size (k): 3, Recipient(s): 1, Message transfer time: 00:01, Total delivery time: 17:45:19.
Nov 24 2006 12:54:12 SMTP closed connection to TCP/IP server "localhost.fabulous.com".
Total messages transferred: 2
Total data transferred (k): 7
Total recipients transferred: 2
Total connect time: 00:01

確かにどこぞのSMTPサーバにメールを送っているっぽいのだが，FromもToもないし，何が起こっているかよくわからない．おそらくはFrom: Postmasterでエラーメールの類を送っているのではないかと思うのだが，あるいは研究室内にウィルスに感染しているPCがあるのかもしれないし，本当に踏まれているのかも知れないし．いやーAppleMailServerのログってわかりにくいよ．

一応netstatしたりwhoしたりpsしたりchkrootkitかけたりしたけど，踏まれている形跡は確認できず．インシデントじゃないと断言できないものの，設定には問題ないので大丈夫だろうということになった．ただOSが古いので，近々アップグレードするとのこと．西の方でサーバが攻撃を受けてダウンしたという話もあるし，怖いね……