[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp: 465] DoS攻撃対策について



PostfixML会員の皆様、こんばんは。
渡辺@ゼータと申します。

一昨日あたりから、DoS攻撃のようなものが来るようになりました。
具体的には、maillogで、
Jul 14 hh:mm:ss dns postfix/smtpd[xxxx]: connect from hogehoge.net[xx.xx.xx.xx]
Jul 14 hh:mm:ss dns postfix/smtpd[xxxx]: NOQUEUE: reject: RCPT from hogehoge.net[xx.xx.xx.xx]: 450 <foo@xxxxxxxxxx>:
Recipient address rejected: User unknown in local recipient table; from=<> to=<foo@xxxxxxxxxx> proto=ESMTP helo=<hogehoge.net>
Jul 14 hh:mm:ss dns postfix/smtpd[xxxx]: disconnect from hogehoge.net[xx.xx.xx.xx]
これが1秒間に数回繰り返される感じです。
hogehoge.net[xx.xx.xx.xx]は、200種類以上はあり、ルータでつぶしてもつ
ぶしてもきりがない状態です。foo@xxxxxxxxxxというアドレスはもちろん存在し
ませんし、fooのところも、毎回変わっています。
おかげでmaillogのサイズが(攻撃を受ける前と比べて)100倍以上になりまし
た。

ルータでメールサーバ宛のsmtpを閉じてしまうと、このような接続はすべてなく
なることは確認しました。が、これでは通常のメールも届かなくなります(当た
り前ですね)。

昨日は、maillogを解析して、多いものから順にルータでつぶすようにしていま
したが、結局、敵の数が多すぎて、何の解決にもなりませんでした。

こういうときは、どのような対策があるのでしょうか。

OS:FreeBSD 4.9

bash# postconf -n (関連のありそうなもの)
allow_mail_to_commands = alias,forward,include
debug_peer_level = 2
disable_vrfy_command = yes
smtpd_client_restrictions = reject_rbl_client relays.ordb.org
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, rej
ect_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous, noplaintext
unknown_local_recipient_reject_code = 450

-- 
Hiroshi Watanabe <watanabe@xxxxxxxxxx>

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list

Follow-Ups
[postfix-jp: 466] Re: DoS攻撃対策について, Tomoyuki Sakurai
[postfix-jp: 467] Re: DoS攻撃対策について, Akihiro KAYAMA

[検索ページ] [Postfix-JP ML Home]