こんにちはHITS代表の原田です。
先日のBlueMailの件を調査しているときに見つけたIPで、メールサーバに何度もアクセスしてきては失敗を繰り返しているものがあったので、調べていました。(下記ログ)

Jun  5 13:25:23 mail postfix/postscreen[19587]: CONNECT from [61.115.33.38]:40238 to [192.168.48.2]:25
Jun  5 13:25:23 mail postfix/dnsblog[19592]: addr 61.115.33.38 listed by domain list.dnswl.org as 127.0.10.0
Jun  5 13:25:23 mail postfix/postscreen[19587]: PASS OLD [61.115.33.38]:40238
Jun  5 13:25:23 mail postfix/smtpd[19596]: initializing the server-side TLS engine
Jun  5 13:25:23 mail postfix/smtpd[19596]: connect from vscan2.ntt-east.net[61.115.33.38]
Jun  5 13:25:23 mail postfix/smtpd[19596]: setting up TLS connection from vscan2.ntt-east.net[61.115.33.38]
Jun  5 13:25:23 mail postfix/smtpd[19596]: vscan2.ntt-east.net[61.115.33.38]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH:!aNULL:!LOW:!EXP:!MEDIUM:!ADH:!AECDH:!MD5:!DSS:!ECDSA:!CAMELLIA128:!3DES:!CAMELLIA256:!RSA+AES:!eNULL"
Jun  5 13:25:23 mail postfix/smtpd[19596]: SSL_accept:before SSL initialization
Jun  5 13:25:23 mail postfix/smtpd[19596]: SSL_accept:before SSL initialization
Jun  5 13:25:23 mail postfix/smtpd[19596]: SSL3 alert write:fatal:protocol version
Jun  5 13:25:23 mail postfix/smtpd[19596]: SSL_accept:error in error
Jun  5 13:25:23 mail postfix/smtpd[19596]: SSL_accept error from vscan2.ntt-east.net[61.115.33.38]: -1
Jun  5 13:25:23 mail postfix/smtpd[19596]: warning: TLS library problem: error:1417D102:SSL routines:tls_process_client_hello:unsupported protocol:../ssl/statem/statem_srvr.c:989:
Jun  5 13:25:23 mail postfix/smtpd[19596]: lost connection after STARTTLS from vscan2.ntt-east.net[61.115.33.38]
Jun  5 13:25:23 mail postfix/smtpd[19596]: disconnect from vscan2.ntt-east.net[61.115.33.38] ehlo=1 starttls=0/1 commands=1/2

IPは
　vscan1.ntt-east.net(61.115.33.37)
　vscan2.ntt-east.net(61.115.33.38)
で、whois情報で調べるとNTT東日本でした。

NTT東日本からメールが来るのなんて、ひかり電話の『着信お知らせメール』しかないので、たぶんその関係だろうと思って、着信お知らせメールを切っておいたのですが、依然アクセスしてくるので、なんだろうと思いつつもひとまずwhoisで調べた管理者にメールして、iptablesで該当IPをブロックして今まで忘れていました。

# ブロック(-Aを-Dにすると解除)
$ iptables -A INPUT -s 61.115.33.37 -j DROP
$ iptables -A INPUT -s 61.115.33.38 -j DROP

で、本日NTT東日本の管理者さんから回答があったので思い出してこうして書いている次第です。

回答で、
〇 NTT東日本のメールサーバ(MTA)からのアクセスで間違いない。
〇 着信お知らせメールのメールを配信しようとしている。
〇メールキューにメールが存在する限りアクセスし続ける。
〇 NTT東日本のメールサーバはSTARTTLSに対応していないため、errorになっている。
〇 errorを解消するためには、着信お知らせメールの対象アドレスを変更するか、こちら(HITS)のメールサーバの設定を変更してもらう必要がある。
という内容をいただきました。

とりあえず、着信お知らせメール以外では問題なく運用できているので、今のところはブロックも解除せず放置で行こうと思います。

IPとかでググっても何で使用しているというような情報が出てこなかったので、私と同じようにこのアクセスはなんなんだと悶々としている管理者さんの一助になればよいと思います。
お客様の猫の手になりたいハラダITサポート代表の原田でした。

Follow me!