Q&A
DovecotってIMAP/POP3のサーバですが、メールサーバも兼用されているんですか?
お名前VPS(CentOS7)を使い始めましが、logwatchのレポートを見ると、以下のような不正アクセスらしき記録がありました。
--------------------- pam_unix Begin ------------------------ dovecot: Authentication Failures: support@mydomain.com: 11 Time(s) admin@mydomain.com: 7 Time(s) info@mydomain.com: 7 Time(s) sales@mydomain.com: 7 Time(s) (中略) traces@mydomain.com: 1 Time(s) usuario@mydomain.com: 1 Time(s) website@mydomain.com: 1 Time(s) william@mydomain.com: 1 Time(s) Invalid Users: Unknown Account: 1788 Time(s) ---------------------- pam_unix End ------------------------- (ドメイン名は変更しています)
軽くネットで調べたところ、pam_unix Beginは、スーパーユーザにログインしようと試みた記録のようです。
ありそうなユーザー名でログインを試みているようです。
firewallは、一応ネットを見ながら基本的(一般的)な設定はしたつもりですが、十分かどうかは分かりません。
アクセス件数が、最初の頃は十数件程度だったのが、どんどん増加しています。
このドメインは、さくらサーバー上でWordpressのサイトとして使用していたものでしたが、
1週間ほど前にお名前VPSに切り替えて、独自でWordpressをインストールしてドメインを変えずに移転しました。
ドメインを変えるなどしたほうが良いでしょうか?
(それほどアクセスのあるサイトではないので、ドメインを変えるのは特に問題ありません。)
対策などがありましたらご教授いただけると助かります。
よろしくお願いします。
追記(補足)
・同じドメインで、メールサーバーも設定しております。
postfix+dovecot
・同じドメインにサブドメインを設定して、Wordpressではない一般サイト(Python:Django)も運営しています。
・同じIPアドレスで、別のドメインのサイト(Python:Django)も運営しています。
(これらについては今の所、異常は報告されていません)
回答2件
0
ドメインを変えるなどしたほうが良いでしょうか?
おそらく、ドメインを変えても意味はないと思われます。こういった手合はIPアドレスで探してきますので、ドメイン名は見すらしていません。
アクセスパターンが「少数の攻撃者×1接続あたり多数の試行」であれば、fail2banなどを使って、「3回アカウントを間違えばそのIPアドレスを1日ブロック」のようにすることで、試行回数を大幅軽減できるかもしれません。
投稿2019/02/26 23:45
総合スコア145183
0
ベストアンサー
ドメイン名を変えるのは無意味です。
メールクライアント利用者側で設定変更ができるかどうかにもよりますが、標準でないポート番号に変えるという手もあります。
sshだと、標準の22以外に設定変更していると思いますが、それと同じ考え。
メールクライアント利用者がごく少数なら、それらを別のメールアドレスに転送して、そのサーバーでは dovecotは起動しないというのが簡単かと思います。
投稿2019/02/27 01:54
総合スコア84499
ご回答有り難うございます。
実際のところ、ほとんどメールの受信はありません。
いずれもGmailへ転送するように設定にしています。
見よう見まねで設定したので、dovecotがどこまで必要なのか、十分理解しておりません。
.forwardファイルを用いて転送する場合は、dovecotの起動は不要でしょうか?
なお、同じIPアドレスで別のドメインのメールアドレスを、Virtual MailBoxを使って設定して、かつ転送設定しております。
ポート番号は変えてみるつもりです。
.forwardだけならdovecotは不要です
dovecotの機能は、PC上のメールクライアント(メールソフト)POPやIMAPでこのサーバーからメールを取り込む際に必要です。メールの配送・転送には関係ありません。
PCのメールソフトの設定画面で、受信サーバーの所に、このサーバー名を書かないのであれば、dovecotは不要です。アンインストールしましょう。
110,143,993,995portも閉じましょう
scsi 様、otn様
ご回答ありがとうございました。
dovecotを停止してみたのですが、
その場合、なぜかメールの転送がされなくなりました。
そのアドレス(同じドメインのsmtp)から送信もできません(PCのメールクライアントから)。
また、取り急ぎ使っていないサービス・ポートを停止しようと思い、
# firewall-cmd --remove-service=pop3 --zone=public --permanent
# firewall-cmd --reload
# firewall-cmd --remove-port=110/tcp --zone=public --permanent
# firewall-cmd --reload
とやってみました。
サービスの停止はできましたが、ポートが閉じていないようでした。
(dovecotが起動中は、いずれのポートもLISTENしています。)
何か間違えているでしょうか。
重ねての質問で恐縮ですが、よろしくお願いします。
> なぜかメールの転送がされなくなりました。
smtpサーバー(Postfixなど)は起動していますか?
起動しているとすると、転送がされるはずの時刻のあたりのログを見てください。
追加・訂正
portを閉じる方は、
10-master.conf
の中で、
service pop3-login {
inet_listener pop3 {
port = 0
}
}
としたら変更できました。
また、設定が切り替わるのに時間がかかっていたようで、メールの自動転送はされるようになりました。
otn様
postfixは起動しています。
ログを確認して見ます。
ありがとうございます。
当面の解決策として、
110, 143, 993, 995 のすべてのポートを閉じた状態で、dovecotは起動させておくことにしました。
これで、メールの送信(送信結果を保存できませんが、必要に応じて一時開放)と自動転送が可能です。
ありがとうございました。
あなたの回答
tips
プレビュー
