[postfix-jp: 479] Re: DoS攻撃対策について

[Hiroshi Watanabe <watanabe@xxxxxxxxxx>]

Tomoyuki Sakuraiさま：

渡辺＠ゼータです。

> これで、他サイトのMTAが(おそらく)spam/virusをbounceしているということが
> 推測できます。このように、ログをおかしな形で改変せずに引用すれば、よけい
> な手間がずいぶん減らせます。

最初のメールでも、この構造は維持したつもりだったんですが、ピンと来るよう
な情報が落ちてしまったんですね。

> 推測ですが、おそらくspammer/virus/wormがenvelope-fromの詐称に問題の
> domainを使っているのでしょう。で、何らかの理由でnifty.comなどのMTAが、そ
> のmessageを詐称されたdomainにbounceしているのでしょう。

luser_relayを一時的に設定したのですが、何もメールが来ませんでした。もち
ろん、その間もmaillogは増大していました。何か設定が足らなかったのでしょ
うか？
luser_relay = (実在するアカウント)@zeta.co.jp
としただけですが...

> 実在するユーザが詐称された場合に備えて、次の文書も読んでおきましょう。

参考になりました。ありがとうございました。

> なぜRSETのあとで、なんのコマンドも発行しないのかはoracle.comに聞いてみな
> ければ不明です。念のために、debug_peer_listでログを取っておくといいかも
> しれません。もしかするとtcpdumpも必要かも。

このために、無駄なコネクションが維持され、それが社内からメールが送りづら
くなっている原因だと考えています。なお、smptdのプロセス数は１００でした。

> | #submission     inet    n       -       n       -       -       smtpd
> | #  -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes

submission行のコメントを取り、postfixを再起動し、MUAのsmtpポートを変更し
てみたところ、社内からもあっさりとメールが送れるようになりました。

> であれば、submissionを使用して、外部のMTAが同時に接続できる数(デフォルト
> で100)とlocal userが同時に接続できる数(デフォルトで100)を分離できます。

ということですね。

> このほかにもMSAを利用すると管理がとても楽になります。MTAとMSAを同一のホ
> ストで運用しなければならないとしても、(外部の)MTAとMUAを別々に扱うことが
> できるだけでも、これは大きなメリットです。

これについて、あまり情報が内容に思いますが、こんな便利な機能が、どうして
あまり知られていないのでしょうか(日本語の情報で、という話ですが)。

// -----

　渡辺　央＠ゼータ

----- //

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list