- 締切済み
分散型メールアドレスハーベスティングの防御方法
私が管理している会社のサーバーが、 分散型のメールアドレスハーベスティングを喰らって、 息も絶え絶えになってしまっています。 ログを見ながら、怪しいアクセスは片っ端からIPアドレスで止めるように してるのですが、止めても止めても、すぐに別のIPアドレスから攻撃を受け、 接続拒否したIPアドレスはすでに1万を超えて、それでもなお、止まる様子がありません。 どうにか止める手段ってないのでしょうか? ハーベスティングを喰らうような&防ぐことができないシステムを作ったという理由で、 社長がカンカンで、減給されそうな運びで・・・(>_<
- ネットワーク
- 回答数7
- ありがとう数0
- みんなの回答 (7)
- 専門家の回答
みんなの回答
- gsx_rider
- ベストアンサー率40% (53/130)
ロードバランサー使いますか?。ラドウェアが有名ですが。 http://www.radware.co.jp/ Userunknownは返さないよう設定できませんか?。 とりあえず、応急的に使えそうなものもあげておきます。 http://dsas.blog.klab.org/archives/51116162.html 恐らくボットネットを使ったものの可能性も否定できないと思います。
補足
なるほど、負荷分散でしのぐのですね。 ただこれだと、バランサー+MXサーバ複数+メールボックスサーバ、 等々、いきなり大規模になってしまいそうですね。 もともと、スパム対策のアプライアンスさえ導入できない予算なので、 ちょっと厳しそうです・・・
製品出している会社ありますよ。客先の資産に合致するか は分りませんがとりあえず急ぎ参考までに。 http://japan.zdnet.com/release/story/0,3800075480,00015652p,00.htm とりあえず、エラーは返さずに受け取ったふりをしてスパム として処理する格好にはできませんか?。 野暮なこと聞きますけれど、攻撃を受けているサーバーは メールサーバーですよね。小企業でしたら申し訳ありませんが、 普通、スパム対策に専用アプライアンスを入れているとは思う のですが…。BarracudaとかIronPort、esafe等が代表的です。 Interopやsecuritysolution等のイベントは行っていますか。
補足
受け取りさえせずに、 SMTP上で直接User unknownを返答している状態なのです。 そもそもスパムを送りつける目的ではないようで、 RCPTコマンドをひたすら繰り返すだけで、本文を送るDATAコマンドは 一切無しです。 この状態で、速すぎてCPUを食いつぶすか、 遅すぎ&多すぎでリソースを食いつぶす、という状況です。 SORBS等のスパムデータベースは利用しているのですが、 どうも、ほとんどの攻撃元IPアドレスは、スパム発信元として 認識されていないようで・・・
- gsx_rider
- ベストアンサー率40% (53/130)
ちと情報不足ですね まずシステムの構成(OS サーバーソフト等) どのように利用してるのか ポリシー等が判らなければ中々回答出来ません
補足
システム構成は、RedHat + sendmail です。 とにかく、通常のメールの運用を止めるわけにはいかないので、 なにかこういう場合の対策ってないものかと、悩んでいるのです。 現在は、自作のプログラムでmaillogを自動解析して、 ハーベスティングと見られるアクセス元のIPアドレスを、 sendmailの/etc/mail/accessファイルに随時追加しています。 accessファイルはすでに1万行にも達して、 確実に接続拒否はできているのですが、 相手の数が圧倒的に多いようで・・・
補足
ありがとうございます。 accept_unresolvable_domains はすでに設定してあります。 DNSBLは利用していたことはあるのですが、 届くべきメールが拒絶されてしまうことがあり、 見送りになってしまいました。 また、今回の攻撃もとIPアドレスのほとんどは、 RBLにも登録されていないようで・・・