2012年2月 2日

[postfix-jp: 4059]送信元IPアドレスが偽装であるか否か

広瀬と申します。


少しPostfix自体のネタからはズレてしまうご質問なのですが、
以下のログはS25Rで弾かれた接続元(connect)のIPとその際に
投げて来たfrom/to/heloの一部になります。


Jan 27 03:32:12 228.179.108.93.rev.vodafone.pt [93.108.179.228] from=<transfers@xxxxx> to=<k-nagami@ドメイン名> helo=<228.179.108.93.rev.vodafone.pt>
Jan 27 03:34:19 228.179.108.93.rev.vodafone.pt [93.108.179.228] from=<transfers@xxxxx> to=<k-nagami@ドメイン名> helo=<228.179.108.93.rev.vodafone.pt>
Jan 27 04:49:32 customer-189-217-164-62.cablevision.net.mx [189.217.164.62] from=<MarlonShuptrine@xxxxx> to=<katsuyoshi@ドメイン名> helo=<customer-189-217-164-62.cablevision.net.mx>
Jan 27 05:28:01 unknown [190.167.165.28] from=<GerdKretzschmar@xxxxx> to=<koichi@ドメイン名> helo=<28.165.167.190.d.dyn.codetel.net.do>
Jan 27 05:30:49 unknown [190.167.165.28] from=<HarmonyQuashnock@xxxxx> to=<koichi@ドメイン名> helo=<28.165.167.190.d.dyn.codetel.net.do>
Jan 27 05:32:27 unknown [190.167.165.28] from=<QuentinMccullah@xxxxx> to=<koichi@ドメイン名> helo=<28.165.167.190.d.dyn.codetel.net.do>
Jan 27 05:35:01 unknown [190.167.165.28] from=<KaelynRotramel@xxxxx> to=<koichi@ドメイン名> helo=<28.165.167.190.d.dyn.codetel.net.do>


上記自体はIPを検索すれば国外だと言うことは分かるので、これ
自体はあくまでサンプル的なものです。


逆引きが無いものはunknownとなりIPだけの表記になりますが、
逆引きを持っているものも含めて、送信元のIPアドレスが偽装
されている可能性という事はPostfix限らず、メールシステムの
世界では可能な事なのでしょうか?

所謂、TCP Spoofingなどを利用した場合であれば、事実上は可能
だとは言われてはいるかと思います。

#あとはルータでsource IP routingなどを切っていないとか


あまりネットワークの詳しい事に関しては知識が薄いので調べ切れて
いないのですが、Postfixの設定として以下のような制御を入れてあり、
且つF/W配下にメールサーバはあり、可能な限りの防御はしている
状態を想定してとお考えください。


・VRFYコマンド無効
・RFC821形式に合わないアドレスの拒否
・S25R+RBLデータベースによる制御
・HELO/EHLOコマンドの要求
・ETRNコマンドの制御
・smtpd_sender_restrictionsによるあり得ないドメインからの受信拒否
・SMTP-AUTH有効
・DATAコマンド時の認証
・Version表示無効化

上記に加え、ClamAVのチェックです(詳しいconf内容を出せないので)。


何か良い情報をお持ちでしたり、ここにあるとかご存じであれば
共有頂ければ幸いです。

よろしくお願いいたします。

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list


投稿者 xml-rpc : 2012年2月 2日 00:58
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/108482
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。