[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp: 478] Re: DoS攻撃対策について



On Thu, 15 Jul 2004 14:53:34 +0900
Hiroshi Watanabe <watanabe@xxxxxxxxxx> wrote:

| > | 接続してくるSMTPクライアントがMTAである可能性はありえます。
| > 
| > そう判断した根拠はなんですか?もしMTAと判断できるのであれば、spam/virus
| > をバウンスしている、もしくはopen relayであることが考えられますので、その
| > MTAの管理者に連絡を取るかもしれません。
、
| Jul 14 12:41:05 dns postfix/smtpd[3926]: connect from mail???.nifty.com[202.248.
| 37.???]
| Jul 14 12:41:05 dns postfix/smtpd[3926]: NOQUEUE: reject: RCPT from mail???.nift
| y.com[202.248.37.???]: 450 <brendan@xxxxxxxxxx>: Recipient address rejected: Use
| r unknown in local recipient table; from=<> to=<brendan@xxxxxxxxxx> proto=ESMTP 
| helo=<mail???.nifty.com>
| Jul 14 12:41:25 dns postfix/smtpd[3926]: disconnect from mail???.nifty.com[202.2
| 48.37.???]
| というログがありまして、mail???.nifty.comは実在し、IPアドレスも[202.248.37.???]
| です(???の部分は伏せました)。
| (もちろん、brendan(@zeta.co.jp)なるユーザは存在しません)

これで、他サイトのMTAが(おそらく)spam/virusをbounceしているということが
推測できます。このように、ログをおかしな形で改変せずに引用すれば、よけい
な手間がずいぶん減らせます。

推測ですが、おそらくspammer/virus/wormがenvelope-fromの詐称に問題の
domainを使っているのでしょう。で、何らかの理由でnifty.comなどのMTAが、そ
のmessageを詐称されたdomainにbounceしているのでしょう。

で、このログをもとにnifty.comなどに苦情を申し立てても、意味不明かつ適当
な理由で却下されるおそれがありますので、一時的にluser_relayやaliasを切る
などして、そのmessageをいくつか受け取りましょう。そしてそれを
abuse@xxxxxxxxxなど適切な窓口に送り、詐称されたenvelope-fromにbounceする
のは迷惑だ、ということを伝えましょう。

| # The luser_relay parameter specifies an optional destination address
| # for unknown recipients.  By default, mail for unknown@$mydestination
| # and unknown@[$inet_interfaces] is returned as undeliverable.

実在するユーザが詐称された場合に備えて、次の文書も読んでおきましょう。

Postfix Backscatter Howto
http://www.postfix.org/BACKSCATTER_README.html

| また、以下のようなログもありまして、
| Jul 14 13:21:58 dns postfix/smtpd[4008]: connect from adcinet??.oracle.com[141.1
| 46.165.??]
| Jul 14 13:21:59 dns postfix/smtpd[4008]: NOQUEUE: reject: RCPT from adcinet??.or
| acle.com[141.146.165.??]: 450 <lichen@xxxxxxxxxx>: Recipient address rejected:U
| ser unknown in local recipient table; from=<> to=<lichen@xxxxxxxxxx> proto=ESMTP
|  helo=<adcinet??.oracle.com>
| Jul 14 13:26:59 dns postfix/smtpd[4008]: timeout after RSET from adcinet??.oracl
| e.com[141.146.165.??]
| Jul 14 13:26:59 dns postfix/smtpd[4008]: disconnect from adcinet??.oracle.com[14
| 1.146.165.??]
| おそらく、この場合は、5分間つなぎっぱなしにされているため、それで処理が
| 滞っていると考えているのですが、このtimeoutを短くしたらよいかどうか、思
| 案中です。

smtpd_timeoutを短くするのはログとにらめっこしながら、慎重に行いましょう。
smtpに関してはきめ細かいtimeoutを設定できるのですが、smtpdにはsmtpd_timeout
しかないようです。

なぜRSETのあとで、なんのコマンドも発行しないのかはoracle.comに聞いてみな
ければ不明です。念のために、debug_peer_listでログを取っておくといいかも
しれません。もしかするとtcpdumpも必要かも。

| > | 社内からのメール送信も処理させていて、いま一番困っているのが、その処理が
| > | 滞っていることです。何回か送信しないと、メールサーバに接続できません。
| > 
| > その原因を追及しましょう。maxprocの制限に引っかかっているのか、CPUが追い
| > つかないのか、(普通は起こりにくいですが)メモリが足りないのか、disk I/Oが
| > 追いついていないのか、帯域が足りないのか、もしくは他の原因なのか。
| 
| サーバ資源には余裕があります。top、vmstatで確認しました。

で、原因は突き止めたのでしょうか。smtpdのプロセス数とかは?

| > 例えば、単純にmaxprocの制限に引っかかっているのなら、ローカルユーザには
| > submissionを使ってもらうとか。ただし、サーバのリソースが足りないのが原因
| > なら、さらに問題を悪化させるおそれがありますけど。
| 
| submissionというのは初耳で、いま調べてみるとMTAの代わりのようなものであ
| る(RFC 2476)ようですが、それで正しい理解でしょうか。

RFC 2476 2.1には次のように定義されています。

|    Message Submission Agent (MSA)
| 
|    A process which conforms to this specification, which acts as a
|    submission server to accept messages from MUAs, and either delivers
|    them or acts as an SMTP client to relay them to an MTA.

MSAは、MUAからmessageを受け取り、(local userのmailboxに)配送もしくは外部
へrelayします。

| これも、SMTP AUTHには対応しているのでしょうか。

Postfix distributionに付属するmaster.cfにはコメントとして、submissionの
例があります。

| #submission     inet    n       -       n       -       -       smtpd
| #  -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes

このように、実態はsmtpdです。

もし、smtpdのmaxprocの制限に引っかかっているのなら、おそらく単純に
master.cfでsmtpdのmaxprocを大きくしても、増えたぶんだけ外部からの接続数
が増えるしまい、local userが接続しにくいという状況は変らない(原因がわかっ
ていないので推測ですが)でしょう。

であれば、submissionを使用して、外部のMTAが同時に接続できる数(デフォルト
で100)とlocal userが同時に接続できる数(デフォルトで100)を分離できます。

このほかにもMSAを利用すると管理がとても楽になります。MTAとMSAを同一のホ
ストで運用しなければならないとしても、(外部の)MTAとMUAを別々に扱うことが
できるだけでも、これは大きなメリットです。

--
Tomoyuki Sakurai - Tomi -
mailto:ml-postfix-jp@xxxxxxxxxxxxxxx
local dnsbl files updated daily at
rsync://trombik.mine.nu/spf/output/

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list

Follow-Ups
[postfix-jp: 479] Re: DoS攻撃対策について, Hiroshi Watanabe
References
[postfix-jp: 475] Re: DoS攻撃対策について, Tomoyuki Sakurai
[postfix-jp: 477] Re: DoS攻撃対策について, Hiroshi Watanabe

[検索ページ] [Postfix-JP ML Home]