[postfix-jp: 475] Re: DoS攻撃対策について

[Tomoyuki Sakurai <ml-postfix-jp@xxxxxxxxxxxxxxx>]

On Thu, 15 Jul 2004 11:39:31 +0900
Hiroshi Watanabe <watanabe@xxxxxxxxxx> wrote:

| > | これが１秒間に数回繰り返される感じです。
| > | hogehoge.net[xx.xx.xx.xx]は、２００種類以上はあり、
| > 
| > 何か特徴はないのですか？envelope-fromがnull senderになっていますが、接続
| > してくるSMTPクライアントがMTAである可能性はありますか？接続になんの規則
| > 性も見つけられませんか？それぞれのSMTPクライアントにも規則性はないですか？
| 
| 特徴らしい特徴といえば、envelope-fromがnull senderになっていることくらい
| でしょうか。時々、そうでないものもありますが...
| 接続してくるSMTPクライアントがＭＴＡである可能性はありえます。

そう判断した根拠はなんですか？もしMTAと判断できるのであれば、spam/virus
をバウンスしている、もしくはopen relayであることが考えられますので、その
MTAの管理者に連絡を取るかもしれません。

自分なら、今時"accept-and-bounce"するようなサイトは、喜んでlocalのblack
list(FW/Postfix ACL)に入れますが。

| > SMTPクライアントのIPアドレスのいくつかを次のサイトで調べると、どのような
| > 結果が出ますか？
| > 
| > http://openrbl.org/
| 
| Resultsのところを見ればいいのでしょうか？
| Negative=29, Positive=1
| Negative=30, Positive=0
| といった感じです。

それ以外に何も表示されなかったのですか？正確な結果がわからないので推測で
すが、おそらくPositiveなのは国別のリスト(TLD)でしょうね。

| > | 下手にIPアドレスだけで遮断すると、正規のメールを受け取りそこなうことに
| > | もなりかねません。
| > 
| > なので、日頃からwhite listを整備することが重要ですね。
| 
| それが一番の解決策なのかもしれませんね。

いいえ、white listは問題を解決するために役立ちますが、解決策として採用す
ることは多くの場合無理でしょう。

| 社内からのメール送信も処理させていて、いま一番困っているのが、その処理が
| 滞っていることです。何回か送信しないと、メールサーバに接続できません。

その原因を追及しましょう。maxprocの制限に引っかかっているのか、CPUが追い
つかないのか、(普通は起こりにくいですが)メモリが足りないのか、disk I/Oが
追いついていないのか、帯域が足りないのか、もしくは他の原因なのか。

例えば、単純にmaxprocの制限に引っかかっているのなら、ローカルユーザには
submissionを使ってもらうとか。ただし、サーバのリソースが足りないのが原因
なら、さらに問題を悪化させるおそれがありますけど。

--
Tomoyuki Sakurai - Tomi -
mailto:ml-postfix-jp@xxxxxxxxxxxxxxx
local dnsbl files updated daily at
rsync://trombik.mine.nu/spf/output/

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list