共用サーバー定期パトロールレポート

実施日：2026年6月17日

概要
実施結果サマリー
フリート全体共通対応
1. 1. メールフィルター設定ファイルのオーナー不正（全cPanelサーバー）
2. 2. logwatch の二重実行による不要メール（全サーバー）
個別対応
スパム受信状況
継続監視項目
所感

概要

本日は管理下の全サーバーを対象にlogwatchを用いた定期パトロールを実施した。新規稼働サーバーを含む全台の確認を行い、フリート全体に共通する設定不備を2件発見・修正した。個別対応を含め、全件クローズ。

実施結果サマリー

項目	内容
対象サーバー数	7台（うち1台は当日稼働開始の新サーバー）
発見した問題	7件
当日中に解決	7件
持ち越し（監視継続）	3件
ブロックしたIP	2件

フリート全体共通対応

1. メールフィルター設定ファイルのオーナー不正（全cPanelサーバー）

発見の経緯：ユーザーからcPanelのグローバルメールフィルターが編集できないという問い合わせが届いた。調査の結果、フィルター設定ファイルのオーナーが正規のcPanelユーザーではなくrootになっていることが判明。該当サーバーだけでなく全cPanelサーバーを横断調査したところ、全台で同様の状態が確認された。

対応：各サーバーの /etc/userdomains を参照して、設定ファイルのオーナーを正規ユーザーに一括修正した。ファイルのパーミッション自体は正常だったため、オーナーの変更のみで対応完了。

教訓：1件のサポート問い合わせがフリート全体の問題発見につながった好例。個別対応で終わらせず横断確認を習慣化することの重要性を再確認した。

2. logwatch の二重実行による不要メール（全サーバー）

症状：「logwatchの一時ディレクトリに古いファイルが残っている」という通知メールが毎日全サーバーから届いていた。

原因：logwatchがcronとAnacronの両方から起動される設定になっており、二重実行が発生していた。cron側が正常に完了した後、Anacron側が改めて起動して途中で止まり、一時ファイルの残骸を残す動作を毎日繰り返していた。

対応：Anacron経由での実行ファイルの実行権限を無効化し、残骸ファイルを削除。cron側の定期実行はそのまま維持しており、logwatch本来の機能に影響なし。翌日以降、不要な通知メールは止まる見込み。

個別対応

新規稼働サーバーの初期設定不備

昨日稼働を開始した新サーバーについて、OSレベルのホスト名が初期値のまま（IPアドレスを元にした文字列）になっており、logwatchのメール件名・送信元アドレスに誤った値が表示されていた。あわせて、送信元ドメイン名にタイポがあることも確認した。

正しいホスト名を設定し、logwatchの設定ファイルに送信元情報を明示的に指定することで修正。テスト送信で正しい表示になることを確認した。

また、Ubuntu 24.04で廃止されたPAMモジュールへの参照がログイン設定ファイルに残っていたため、該当行をコメントアウトした。

ユーザーメールアカウントの認証ファイル消失

あるユーザーのメールアカウントで、Dovecotが参照する認証用ファイルが存在しないことによるエラーが複数回記録されていた。調査の結果、認証ファイルの一種が何らかの理由で消失していたことが判明。パスワードファイルからコピーして再作成し、認証が正常に機能することを確認した。

不審なIPアドレスのブロック

本日のパトロールで以下2件のIPアドレスを遮断した。いずれも認証突破には至っていない。

TLSハンドシェイクを短時間に繰り返した中国系IPアドレス（25回）
特定メールアカウントへのIMAPブルートフォースを行った国内IPアドレス（18回）

スパム受信状況

各サーバーでSpamAssassinによるスパム判定が正常に動作していることを確認した。一部サーバーでスパム受信率が高いアカウントが見られる。

現在の方針として、フィルター設定の変更はユーザーからの依頼を受けてから実施する運用に変更した。必要なメールの誤検知リスクを避けるため、まずホワイトリスト登録を案内し、ユーザーと相談しながら調整を進める。

継続監視項目

内容	状況
新規サーバーのメール送信エラー（Bounce 2件）	次回パトロールで再発確認
特定アカウントの異常に多いIMAP接続	次回パトロールで件数推移を確認
SMTPブルートフォース攻撃の継続	認証失敗で遮断中・引き続き監視