質問編集履歴
1
状況を整理して情報を追加しました。(情報不足なところもありますので、引き続き状況を確認して更新中です)
title
CHANGED
|
@@ -1,1 +1,1 @@
|
|
|
1
|
-
メールサーバー
|
|
1
|
+
メールサーバーの攻撃を受けた後、見直すべき対策を教えてください。
|
body
CHANGED
|
@@ -1,10 +1,17 @@
|
|
|
1
|
+
お世話になります。
|
|
1
|
-
|
|
2
|
+
助言をいただきありがとうございます。攻撃が止まったので少し落ち着きました。
|
|
2
|
-
知見が無く、サーバーに詳しいエンジニアがいない状況です。
|
|
3
3
|
|
|
4
|
+
先ほど、メールサーバーに攻撃を受けました。
|
|
4
|
-
|
|
5
|
+
現在は、攻撃は止まっていますが、攻撃に備えて出来る事をしたいです。
|
|
5
|
-
何を対策すれば良いでしょうか?
|
|
6
6
|
|
|
7
|
+
メールサーバーの設定と、ファイヤーフォールを見直す必要があると思うのですが、
|
|
8
|
+
smtp接続に対して対策できる事は、smtpauth認証以外に思いつきません。
|
|
9
|
+
他に設定するべき事は何かありますでしょうか?
|
|
7
10
|
|
|
11
|
+
■発生している問題
|
|
12
|
+
メールサーバーのログを見ていたら、下記のようなログが出ていました。
|
|
13
|
+
|
|
14
|
+
```
|
|
8
15
|
connect from unknown[ipアドレス]
|
|
9
16
|
disconnect from unknown[ipアドレス]
|
|
10
17
|
lost connection after AUTH from unknown[ipアドレス]
|
|
@@ -17,4 +24,15 @@
|
|
|
17
24
|
statistics: max connection count 26 for (smtp:ipアドレス)
|
|
18
25
|
...
|
|
19
26
|
以降、攻撃がされなくなる。
|
|
20
|
-
...
|
|
27
|
+
...
|
|
28
|
+
|
|
29
|
+
```
|
|
30
|
+
|
|
31
|
+
■考えられる原因
|
|
32
|
+
メール送信のテストをするために、telnetを使用してsmtpの送信テストをしていた事。
|
|
33
|
+
(ログを見ながら送信テストをしていたため)
|
|
34
|
+
|
|
35
|
+
■対策している事
|
|
36
|
+
▼メールサーバーの対策(postfix)
|
|
37
|
+
・smtpauth(smtpd_sasl_auth_enable)を有効にしている。
|
|
38
|
+
・tls(smtpd_use_tls)を有効にしている。
|