質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.46%
Server+

Server+は、IT業界団体CompTIAが認定しているサーバー業務に関する資格です。サーバーのHW/SW構築・メンテナンス・仮想化など、サーバー運営上の運用・管理において幅広く対応できるスキルを評価します。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Postfix

Postfixは、電子メールサーバソフトウェアで、 メールを配送するシステムMTAの一種です。

Q&A

解決済

2回答

11959閲覧

メールサーバーの攻撃を受けた後、見直すべき対策を教えてください。

pip

総合スコア19

Server+

Server+は、IT業界団体CompTIAが認定しているサーバー業務に関する資格です。サーバーのHW/SW構築・メンテナンス・仮想化など、サーバー運営上の運用・管理において幅広く対応できるスキルを評価します。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Postfix

Postfixは、電子メールサーバソフトウェアで、 メールを配送するシステムMTAの一種です。

0グッド

4クリップ

投稿2016/07/04 12:07

編集2016/07/04 13:27

お世話になります。
助言をいただきありがとうございます。攻撃が止まったので少し落ち着きました。

先ほど、メールサーバーに攻撃を受けました。
現在は、攻撃は止まっていますが、攻撃に備えて出来る事をしたいです。

メールサーバーの設定と、ファイヤーフォールを見直す必要があると思うのですが、
smtp接続に対して対策できる事は、smtpauth認証以外に思いつきません。
他に設定するべき事は何かありますでしょうか?

■発生している問題
メールサーバーのログを見ていたら、下記のようなログが出ていました。

connect from unknown[ipアドレス] disconnect from unknown[ipアドレス] lost connection after AUTH from unknown[ipアドレス] ... しばらく続く ... statistics: max connection rate 33/60s for (smtp:ipアドレス) statistics: max connection count 26 for (smtp:ipアドレス) ... 以降、攻撃がされなくなる。 ...

■考えられる原因
メール送信のテストをするために、telnetを使用してsmtpの送信テストをしていた事。
(ログを見ながら送信テストをしていたため)

■対策している事
▼メールサーバーの対策(postfix)
・smtpauth(smtpd_sasl_auth_enable)を有効にしている。
・tls(smtpd_use_tls)を有効にしている。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Mr_Roboto

2016/07/04 12:14

こんばんは、初めての質問ですね。 一度「質問するときのヒント」 https://teratail.com/help/question-tips を読むことをお勧めします。 丸投げ(っぽい)質問は、好まれませんのでもう少し自分で調べて質問を編集したほうが、みんなで幸せになると思いますよ^^
pi-chan

2016/07/04 12:58

BJCRobotさんのご指摘の通りなのですが、きっと何から調べたら良いか、取っ掛かりが掴めないのでしょうね… メールサーバ自体の設定でセキュリティを高めるべき部分と、ファイアウォールで防ぐべき部分があります。 しかし、どんなサーバを使用しているかやネットワーク的な要件によって、具体的な対策法方も違って来ます。 ですから、まずは「メールサーバ、セキュリティ」とか「ファイアウォール、メールサーバ」などの一般的キーワードで検索して雰囲気を掴んでから、問題を細分化して具体的かつ段階的に質問すると、回答が得られやすいと思います。
Mr_Roboto

2016/07/04 13:23

> pi-chan さん ありがとうございます^^ 初回の質問で、いきなり丸投げフラグを付けられてしまうのを見るのが忍びなくてねぇ・・・^_^: 見つけると取り急ぎ書いてるわけですw
pip

2016/07/04 13:41

BJCRobotさん、pi-chanさん 修正依頼ありがとうございます。エラーが起こっている様を目の当たりにしてしまい、丸投げの質問をしてしまいました。失礼しました。 状況を分析しながら、質問内容を追記して行きます。
Mr_Roboto

2016/07/04 13:46

でも私は、鯖缶じゃないので、まともな回答はできないのですけどね ^_^;
guest

回答2

0

ベストアンサー

外部に公開しているサーバは多かれ少なかれ必ず攻撃を受けます。攻撃されたからどうしようではなく、攻撃されても大丈夫なように作っておくのが正しいサーバの運用です。それができなければ、サーバを公開すべきではありません。サーバが悪用された場合に迷惑を被るのは周りの人であることに注意を払うべきです。もし問題が起きた場合は、社会的責任を問われ、多くの信頼と仕事を失います。

さて、ログから見るとブルートフォースアタックのように思えます。外部からPostfixへ認証してメールを送れるようにしている場合と、外部からは自ドメイン宛のメール以外は全て拒否している場合で対応が異なります。

もし、外部からPostfixへ認証してメールを送れるようにしている場合は、それなりに対策が必要です。

  1. 外部から自ドメイン宛を受け付けるサーバ(つまりMXの指定先)にもなっている場合は、サーバを二つに分けて役割を切り離してください。この二つはかけるべき制限が異なるため、同居すべきではありません。
  2. Postfixの設定項目でセキュリティに関わる部分について値に問題が無いか全て確認して下さい。特にlimitとつくものについては注意を払って下さい。各項目の意味がわからなければ、インフラ専門の業者に依頼してください。
  3. IPS機能付きファイアーウォールやUTM、メールサーバ用セキュリティ製品の導入を検討してください。どのような製品が良いかはインフラ専門の業者に相談してください。
  4. 25番ポートでのメール送信は禁止して下さい。サブミッションポート(587)を使い、STARTTLS以外は受け付けないようにしてください。
  5. 一人のユーザが大量のメールを外部へ送信しないように制限をかけてください。少なくとも、大量メール送信時はアラートを送るなどの対策を取ってください。

次に、外部からは自ドメイン宛のメール以外は全て拒否している場合は、今回のような攻撃は無意味ですので、無視してかまいません。ただ、今回の攻撃が無意味なだけであり、他の攻撃に対しても安全であると言うことではありません。最新パッチの適用、オープンリレーになっていないかの確認などの当たり前のことは当たり前のように実施しておいてください。

基本的にはセキュリティに詳しいインフラ専門の業者に委託することをお勧めします。インフラ専門の業者に委託できない場合は、インフラ専門の技術者を雇って下さい。雇うこともできないのであれば、誰かが学んで下さい。問題が起きたとき、詳しい人がいないは言い訳にはなりません。

何を言っているのかよくわからない、かといって業者に頼むほどのお金も無いというのであれば、Google AppsやOffice 365等のSaaS型メールサービスへ移行を検討することをお勧めします。自前でメールサーバを運用するよりも低コストかつ安全であり、付随するサービスの有効活用とあわせればかなりお得です。

投稿2016/07/04 13:44

raccy

総合スコア21735

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

pip

2016/07/04 18:30

詳細なご指摘ありがとうございます。仰る通りで、攻撃されても問題が無いサーバーを作れる知見があれば攻撃されても焦る事はありませんでした。頂いた対策を理解して、サーバーの設定を見直してみます。
guest

0

基本的にtelnetは暗号化されていないためsshをお使いになられたほうがいいと思います。
また、telnetの標準で使う23番ポートはかなり攻撃者に狙われやすいポートですので、開けない方がいいです。半年くらいまえに23番ポートへの攻撃が急増中とかいう情報を警察庁が出しています。

投稿2016/07/04 13:48

oskbt

総合スコア1895

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

pip

2016/07/04 18:19

情報ありがとうございます。telnetについて、23番ポートが狙われている事は知りませんでした。気をつけます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.46%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問