- 締切済み
分散型メールアドレスハーベスティングの防御方法
私が管理している会社のサーバーが、 分散型のメールアドレスハーベスティングを喰らって、 息も絶え絶えになってしまっています。 ログを見ながら、怪しいアクセスは片っ端からIPアドレスで止めるように してるのですが、止めても止めても、すぐに別のIPアドレスから攻撃を受け、 接続拒否したIPアドレスはすでに1万を超えて、それでもなお、止まる様子がありません。 どうにか止める手段ってないのでしょうか? ハーベスティングを喰らうような&防ぐことができないシステムを作ったという理由で、 社長がカンカンで、減給されそうな運びで・・・(>_<
- ネットワーク
- 回答数7
- ありがとう数0
- みんなの回答 (7)
- 専門家の回答
みんなの回答
IPがRBLに見当たらない辺り、ボットネットの可能性が濃厚になってきた ので、ホワイトリストを使う方面でやってみたらいかがでしょうか。 でなければ、ZywallというUTMが割合求めやすい金額で月額レンタルを 行っているのでそちらの方を利用してみてはいかがでしょうか。 http://www.sunnetworks.jp/vpn/plan.html 事業所規模によって異なりますがひと月3,000円~10,000円です。 http://www.sunnetworks.jp/vpn/lineup.html UTMだとは思うのですが、興味を示されましたら具体的な仕様や用途などが 合致しているか、一応レンタルしている会社様と相談してみてください。
- gsx_rider
- ベストアンサー率40% (53/130)
最低限 これはやってますか? 設定を行ったsendmail.mcに以下の記述はありますか FEATURE(`accept_unresolvable_domains') (DNSで引けないようなドメインなどロクなもんではないので 全て拒否します) 必殺技としてDNSBLを利用してはいかがですか? spam の送信元或は中継を行うホストの IP アドレスを収集したデータベースです 私はトレンドマイクロが所有しているデータベース(MAPS RBL)を利用してます FEATURE(dnsbl.*********) 等と書くと利用出来ます ******は設定内容 例:FEATURE(dnsbl,`virus.rbl.jp')dnl (ウイルスに感染したサーバーからの接続を禁止) ここでは書ききれませんし 使う為には一定の知識も必要でしょうから sendmail RBL 等のキーワードで検索してみて下さい
Userunknownを返さない方法参考にどうぞ。 ttp://d.hatena.ne.jp/xnissy/20070214/1171485562
一応万が一のために公的機関のリンクも載せておきます。 http://www.npa.go.jp/cyber/soudan.htm 今回の件に当てはまるかは微妙ですが、DoS攻撃(的)による 嫌がらせや脅迫にも注意してください。
ロードバランサー使いますか?。ラドウェアが有名ですが。 http://www.radware.co.jp/ Userunknownは返さないよう設定できませんか?。 とりあえず、応急的に使えそうなものもあげておきます。 http://dsas.blog.klab.org/archives/51116162.html 恐らくボットネットを使ったものの可能性も否定できないと思います。
補足
なるほど、負荷分散でしのぐのですね。 ただこれだと、バランサー+MXサーバ複数+メールボックスサーバ、 等々、いきなり大規模になってしまいそうですね。 もともと、スパム対策のアプライアンスさえ導入できない予算なので、 ちょっと厳しそうです・・・
製品出している会社ありますよ。客先の資産に合致するか は分りませんがとりあえず急ぎ参考までに。 http://japan.zdnet.com/release/story/0,3800075480,00015652p,00.htm とりあえず、エラーは返さずに受け取ったふりをしてスパム として処理する格好にはできませんか?。 野暮なこと聞きますけれど、攻撃を受けているサーバーは メールサーバーですよね。小企業でしたら申し訳ありませんが、 普通、スパム対策に専用アプライアンスを入れているとは思う のですが…。BarracudaとかIronPort、esafe等が代表的です。 Interopやsecuritysolution等のイベントは行っていますか。
補足
受け取りさえせずに、 SMTP上で直接User unknownを返答している状態なのです。 そもそもスパムを送りつける目的ではないようで、 RCPTコマンドをひたすら繰り返すだけで、本文を送るDATAコマンドは 一切無しです。 この状態で、速すぎてCPUを食いつぶすか、 遅すぎ&多すぎでリソースを食いつぶす、という状況です。 SORBS等のスパムデータベースは利用しているのですが、 どうも、ほとんどの攻撃元IPアドレスは、スパム発信元として 認識されていないようで・・・
- gsx_rider
- ベストアンサー率40% (53/130)
ちと情報不足ですね まずシステムの構成(OS サーバーソフト等) どのように利用してるのか ポリシー等が判らなければ中々回答出来ません
補足
システム構成は、RedHat + sendmail です。 とにかく、通常のメールの運用を止めるわけにはいかないので、 なにかこういう場合の対策ってないものかと、悩んでいるのです。 現在は、自作のプログラムでmaillogを自動解析して、 ハーベスティングと見られるアクセス元のIPアドレスを、 sendmailの/etc/mail/accessファイルに随時追加しています。 accessファイルはすでに1万行にも達して、 確実に接続拒否はできているのですが、 相手の数が圧倒的に多いようで・・・
補足
ありがとうございます。 accept_unresolvable_domains はすでに設定してあります。 DNSBLは利用していたことはあるのですが、 届くべきメールが拒絶されてしまうことがあり、 見送りになってしまいました。 また、今回の攻撃もとIPアドレスのほとんどは、 RBLにも登録されていないようで・・・