Q&A
こんばんは、初めての質問ですね。
一度「質問するときのヒント」 https://teratail.com/help/question-tips を読むことをお勧めします。 丸投げ(っぽい)質問は、好まれませんのでもう少し自分で調べて質問を編集したほうが、みんなで幸せになると思いますよ^^
お世話になります。
助言をいただきありがとうございます。攻撃が止まったので少し落ち着きました。
先ほど、メールサーバーに攻撃を受けました。
現在は、攻撃は止まっていますが、攻撃に備えて出来る事をしたいです。
メールサーバーの設定と、ファイヤーフォールを見直す必要があると思うのですが、
smtp接続に対して対策できる事は、smtpauth認証以外に思いつきません。
他に設定するべき事は何かありますでしょうか?
■発生している問題
メールサーバーのログを見ていたら、下記のようなログが出ていました。
connect from unknown[ipアドレス] disconnect from unknown[ipアドレス] lost connection after AUTH from unknown[ipアドレス] ... しばらく続く ... statistics: max connection rate 33/60s for (smtp:ipアドレス) statistics: max connection count 26 for (smtp:ipアドレス) ... 以降、攻撃がされなくなる。 ...
■考えられる原因
メール送信のテストをするために、telnetを使用してsmtpの送信テストをしていた事。
(ログを見ながら送信テストをしていたため)
■対策している事
▼メールサーバーの対策(postfix)
・smtpauth(smtpd_sasl_auth_enable)を有効にしている。
・tls(smtpd_use_tls)を有効にしている。
BJCRobotさんのご指摘の通りなのですが、きっと何から調べたら良いか、取っ掛かりが掴めないのでしょうね…
メールサーバ自体の設定でセキュリティを高めるべき部分と、ファイアウォールで防ぐべき部分があります。
しかし、どんなサーバを使用しているかやネットワーク的な要件によって、具体的な対策法方も違って来ます。
ですから、まずは「メールサーバ、セキュリティ」とか「ファイアウォール、メールサーバ」などの一般的キーワードで検索して雰囲気を掴んでから、問題を細分化して具体的かつ段階的に質問すると、回答が得られやすいと思います。
> pi-chan さん
ありがとうございます^^
初回の質問で、いきなり丸投げフラグを付けられてしまうのを見るのが忍びなくてねぇ・・・^_^:
見つけると取り急ぎ書いてるわけですw
BJCRobotさん、pi-chanさん
修正依頼ありがとうございます。エラーが起こっている様を目の当たりにしてしまい、丸投げの質問をしてしまいました。失礼しました。
状況を分析しながら、質問内容を追記して行きます。
でも私は、鯖缶じゃないので、まともな回答はできないのですけどね ^_^;
回答2件
0
ベストアンサー
外部に公開しているサーバは多かれ少なかれ必ず攻撃を受けます。攻撃されたからどうしようではなく、攻撃されても大丈夫なように作っておくのが正しいサーバの運用です。それができなければ、サーバを公開すべきではありません。サーバが悪用された場合に迷惑を被るのは周りの人であることに注意を払うべきです。もし問題が起きた場合は、社会的責任を問われ、多くの信頼と仕事を失います。
さて、ログから見るとブルートフォースアタックのように思えます。外部からPostfixへ認証してメールを送れるようにしている場合と、外部からは自ドメイン宛のメール以外は全て拒否している場合で対応が異なります。
もし、外部からPostfixへ認証してメールを送れるようにしている場合は、それなりに対策が必要です。
- 外部から自ドメイン宛を受け付けるサーバ(つまりMXの指定先)にもなっている場合は、サーバを二つに分けて役割を切り離してください。この二つはかけるべき制限が異なるため、同居すべきではありません。
- Postfixの設定項目でセキュリティに関わる部分について値に問題が無いか全て確認して下さい。特に
limitとつくものについては注意を払って下さい。各項目の意味がわからなければ、インフラ専門の業者に依頼してください。 - IPS機能付きファイアーウォールやUTM、メールサーバ用セキュリティ製品の導入を検討してください。どのような製品が良いかはインフラ専門の業者に相談してください。
- 25番ポートでのメール送信は禁止して下さい。サブミッションポート(587)を使い、STARTTLS以外は受け付けないようにしてください。
- 一人のユーザが大量のメールを外部へ送信しないように制限をかけてください。少なくとも、大量メール送信時はアラートを送るなどの対策を取ってください。
次に、外部からは自ドメイン宛のメール以外は全て拒否している場合は、今回のような攻撃は無意味ですので、無視してかまいません。ただ、今回の攻撃が無意味なだけであり、他の攻撃に対しても安全であると言うことではありません。最新パッチの適用、オープンリレーになっていないかの確認などの当たり前のことは当たり前のように実施しておいてください。
基本的にはセキュリティに詳しいインフラ専門の業者に委託することをお勧めします。インフラ専門の業者に委託できない場合は、インフラ専門の技術者を雇って下さい。雇うこともできないのであれば、誰かが学んで下さい。問題が起きたとき、詳しい人がいないは言い訳にはなりません。
何を言っているのかよくわからない、かといって業者に頼むほどのお金も無いというのであれば、Google AppsやOffice 365等のSaaS型メールサービスへ移行を検討することをお勧めします。自前でメールサーバを運用するよりも低コストかつ安全であり、付随するサービスの有効活用とあわせればかなりお得です。
投稿2016/07/04 13:44
総合スコア21737
詳細なご指摘ありがとうございます。仰る通りで、攻撃されても問題が無いサーバーを作れる知見があれば攻撃されても焦る事はありませんでした。頂いた対策を理解して、サーバーの設定を見直してみます。
あなたの回答
tips
プレビュー
