2012年2月 4日

[postfix-jp: 4062] Re:送信元IPアドレスが偽装であるか否か

広瀬です。


結城さま、佐藤さま、ご返答ありがとうございます。


> メールサーバが取得した情報自体の真偽をメールシステムが判定するというのは、
> 難しい気がします。


至極もっともな事ですね。確かにconnectIPや付随情報(エンベロープ)を元に判定は
出来ないですね。何もMTAだけで判定可能かとは思ってはおりません。

> TCPスプーフィングはシーケンス番号の予測を行なって通信を横取りする、
> みたいなものですよね?

正確にはBlind TCP Spoofingというらしいのですが、シーケンス番号がランダムでは
ない前提(ある一定の法則で動いていたりとか)だと、可能な場合もあるらしいのです。
やれたとしても、約42億通りのシーケンス番号がランダムに使われるのを推測するのは、
現実的では無いというレベル感だと言われています。

Spoofingなどのパケットレベルの偽装は確かに前段のF/Wで防ぐのが正しいのですが、
現実的に考えてみるとDNS amp攻撃などとは違い、一方的にTCPの接続要求だけでは、
通信は確立しないので、そう考えるならば偽装は困難だろうとも思います。

※まぁ、MACアドレスまで取得できれば話が一番早いんですけどね・・・

−閑話休題−

> (十分怪しい接続元はrejectしちまってもいい、という考えの)僕が言うのもなんですが
> これだとfalse positiveも結構多くてover killしちゃってませんかね…?

偽陽性に関して当該のメールサーバは受付をメインにしていないので、over killはあまり
問題にはならない前提ですので、大丈夫です

※少なくとも国外は相手にしませんし・・・

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list


投稿者 xml-rpc : 2012年2月 4日 21:22
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/108485
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。