teratail header banner
teratail header banner
質問するログイン新規登録

質問編集履歴

1

状況を整理して情報を追加しました。(情報不足なところもありますので、引き続き状況を確認して更新中です)

2016/07/04 13:27

投稿

pip
pip

スコア19

title CHANGED
@@ -1,1 +1,1 @@
1
- メールサーバー攻撃を受けている場合どうしら良いでか?
1
+ メールサーバー攻撃を受けた後、見直べき対策を教えてください。
body CHANGED
@@ -1,10 +1,17 @@
1
+ お世話になります。
1
- メールサーバーのログ見ていたら、すごい勢いで接続されています。
2
+ 助言をいただきありがとういます。攻撃が止まったので少し落ち着きました。
2
- 知見が無く、サーバーに詳しいエンジニアがいない状況です。
3
3
 
4
+ 先ほど、メールサーバーに攻撃を受けました。
4
- 接続が止まったのですが、どのよう対策すれば良か思いつきません
5
+ 現在は、攻撃は止まっていますが、攻撃備えて出来る事をしたです
5
- 何を対策すれば良いでしょうか?
6
6
 
7
+ メールサーバーの設定と、ファイヤーフォールを見直す必要があると思うのですが、
8
+ smtp接続に対して対策できる事は、smtpauth認証以外に思いつきません。
9
+ 他に設定するべき事は何かありますでしょうか?
7
10
 
11
+ ■発生している問題
12
+ メールサーバーのログを見ていたら、下記のようなログが出ていました。
13
+
14
+ ```
8
15
  connect from unknown[ipアドレス]
9
16
  disconnect from unknown[ipアドレス]
10
17
  lost connection after AUTH from unknown[ipアドレス]
@@ -17,4 +24,15 @@
17
24
  statistics: max connection count 26 for (smtp:ipアドレス)
18
25
  ...
19
26
  以降、攻撃がされなくなる。
20
- ...
27
+ ...
28
+
29
+ ```
30
+
31
+ ■考えられる原因
32
+ メール送信のテストをするために、telnetを使用してsmtpの送信テストをしていた事。
33
+ (ログを見ながら送信テストをしていたため)
34
+
35
+ ■対策している事
36
+ ▼メールサーバーの対策(postfix)
37
+ ・smtpauth(smtpd_sasl_auth_enable)を有効にしている。
38
+ ・tls(smtpd_use_tls)を有効にしている。