[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[postfix-jp: 4060] Re: 送信元IPアドレスが偽装であるか否か
- Subject: [postfix-jp: 4060] Re: 送信元IPアドレスが偽装であるか否か
- From: <mo-yuuki@xxxxxxxxxxxxxxxx>
- Date: Thu, 2 Feb 2012 23:07:22 +0900
- Importance: normal
- Message-type: Multiple Part
- Priority: normal
- X400-content-identifier: X4F2A989800000M
- X400-mts-identifier: [/C=JP/ADMD=HITNET/PRMD=HITACHI/;gmml35120202230720THW]
結城と申します。
IP偽装とかとか、まったく詳しくないのですが、
connectIPが偽装かどうかの判定をメールシステム側で
するのは、難しいと思います。
メールサーバ側では、
1.connectIP
2.connectIPを逆引きして解決したホスト名
3.heloで名乗られたホスト名
などなど、メールサーバが取得した情報を使って、
1.逆引き出来なかったら拒否する
2.逆引きしたホスト名を正引きしconnectIPと比較し違ったら拒否する
等々…いろいろできると思うのですが、
メールサーバに接続されたconnectIP自体が偽装されているかどうかや、
connectIPを自身のresolvで逆引きした結果自体が偽装されているかといった、
メールサーバが取得した情報自体の真偽をメールシステムが判定するというのは、
難しい気がします。
・IP偽装は前段のFWなどの役割。
・(Connect IPは偽装されていないという前提のもとで、)
送信元のメールサーバが正当なドメインのメールサーバかどうかについては、
メールサーバ側で判断(connectIPや逆引きやその他もろもろを使って判断)
とするしかないように思います。
>広瀬と申します。
>
>
>少しPostfix自体のネタからはズレてしまうご質問なのですが、
>以下のログはS25Rで弾かれた接続元(connect)のIPとその際に
>投げて来たfrom/to/heloの一部になります。
>
>
>Jan 27 03:32:12 228.179.108.93.rev.vodafone.pt [93.108.179.228] from=<transfers@xxxxxxxxx> to=<k-nagami@ドメイン名> helo=<228.179.108.93.rev.vodafone.pt>
>Jan 27 03:34:19 228.179.108.93.rev.vodafone.pt [93.108.179.228] from=<transfers@xxxxxxxxx> to=<k-nagami@ドメイン名> helo=<228.179.108.93.rev.vodafone.pt>
>Jan 27 04:49:32 customer-189-217-164-62.cablevision.net.mx [189.217.164.62] from=<MarlonShuptrine@xxxxxxxxxx> to=<katsuyoshi@ドメイン名> helo=<customer-189-217-164-62.cablevision.net.mx>
>Jan 27 05:28:01 unknown [190.167.165.28] from=<GerdKretzschmar@xxxxxxxxxxx> to=<koichi@ドメイン名> helo=<28.165.167.190.d.dyn.codetel.net.do>
>Jan 27 05:30:49 unknown [190.167.165.28] from=<HarmonyQuashnock@xxxxxxxxxxxx> to=<koichi@ドメイン名> helo=<28.165.167.190.d.dyn.codetel.net.do>
>Jan 27 05:32:27 unknown [190.167.165.28] from=<QuentinMccullah@xxxxxxxxxx> to=<koichi@ドメイン名> helo=<28.165.167.190.d.dyn.codetel.net.do>
>Jan 27 05:35:01 unknown [190.167.165.28] from=<KaelynRotramel@xxxxxxxxxxxxx> to=<koichi@ドメイン名> helo=<28.165.167.190.d.dyn.codetel.net.do>
>
>
>上記自体はIPを検索すれば国外だと言うことは分かるので、これ
>自体はあくまでサンプル的なものです。
>
>
>逆引きが無いものはunknownとなりIPだけの表記になりますが、
>逆引きを持っているものも含めて、送信元のIPアドレスが偽装
>されている可能性という事はPostfix限らず、メールシステムの
>世界では可能な事なのでしょうか?
>
>所謂、TCP Spoofingなどを利用した場合であれば、事実上は可能
>だとは言われてはいるかと思います。
>
>#あとはルータでsource IP routingなどを切っていないとか
>
>
>あまりネットワークの詳しい事に関しては知識が薄いので調べ切れて
>いないのですが、Postfixの設定として以下のような制御を入れてあり、
>且つF/W配下にメールサーバはあり、可能な限りの防御はしている
>状態を想定してとお考えください。
>
>
>・VRFYコマンド無効
>・RFC821形式に合わないアドレスの拒否
>・S25R+RBLデータベースによる制御
>・HELO/EHLOコマンドの要求
>・ETRNコマンドの制御
>・smtpd_sender_restrictionsによるあり得ないドメインからの受信拒否
>・SMTP-AUTH有効
>・DATAコマンド時の認証
>・Version表示無効化
>
>上記に加え、ClamAVのチェックです(詳しいconf内容を出せないので)。
>
>
>何か良い情報をお持ちでしたり、ここにあるとかご存じであれば
>共有頂ければ幸いです。
>
>よろしくお願いいたします。
>
>_______________________________________________
>Postfix-jp-list mailing list
>Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
>http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list
>
_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list
- References
-
- [postfix-jp: 4059] 送信元IPアドレスが偽装であるか否か, momoko
[検索ページ]
[Postfix-JP ML Home]