よくある詐欺Spamメールの手口
2019年12月9日セキュリティ日記
最近メールの乗っ取りや大量スパム配信でメールサーバを窒息させ異常動作させる攻撃が巷にいつも以上に増えてきたように思います。その中で幾つか参考になるポイントをお話したいと思います。
「あなたのサイト乗っ取りました」のようなケース
このケースでは、ついついメールを読んでその中のエビデンス(ハックした証拠)のURLが埋め込まれています。実はリンクを踏ませるための嘘なんですがね。そのURLを訪れると何らかの情報が盗まれたり、埋め込まれると思ってください。あやしいメールはすぐゴミ箱か削除してください。下手にWEB開いてしまうと感染したりランサムウェアを仕込まれたりするかもしれません。またそっくりサイトを踏ませてログインを盗む可能性もあると思います。
第三者中継リレー対策してもDDoS攻撃の前では無力になる可能性も
今では、ほとんどのメールサーバが第三者中継リレー対策していて当たり前なんですが、その過信にご用心。メールのDDoS攻撃が行われると出来ないはずのことも出来てしまいます。メールのセキュリティ対策もWEB同様に総合的に考えて対策が必要です。
メールのDDoS攻撃の対策方法は?
ずばり、メールサーバの受け付けられる量の制限です。例えば同じIPからの単位時間あたりのセッション数や、1セッションあたり一度に送れるメールの通数等がそれに相当します。これらの制御をおこなってください。smtpサーバによってはこの設定がないケースもあるのでiptablesやfail2banを特にカウントを取ってBANする様にコントロールしてください。ちなみにpostfixにはこれらの制限するパラメータが存在します。postfixのmaster.cfに記述するパラメータで制御が行なえます。例えば/etc/postfix/tarnsportに制限対象のドメインを設定し、その内容を/etc/postfix/main.cfと/etc/postfix/master.cfで流用制限をかけると効果的です。
Postfixの場合の流入制限設定のサンプル
/etc/postfix/transportの例
1 2 3 4 |
gmail.com gmail-ctl: yahoo.co.jp yahoo-ctl: rakuten.co.jp rakuten-ctl: amazon.co.jp amazon-ctl: |
/etc/postfix/master.cfの例
1 2 3 4 5 6 7 8 9 10 11 |
gmail-ctl unix - - n - 1 smtp -o smtp_destination_concurrency_limit=1 -o smtp_destination_recipient_limit=1 -o anvil_rate_time_unit=60s -o smtpd_client_message_rate_limit=100 yahoo-ctl unix - - n - 1 smtp -o smtp_destination_concurrency_limit=1 -o smtp_destination_recipient_limit=1 -o anvil_rate_time_unit=60s -o smtpd_client_message_rate_limit=80 |
/etc/postfix/main.cfの例
1 2 3 4 |
transport_maps = hash:/etc/postfix/transport default_process_limit = 3000 anvil_rate_time_unit=60s smtpd_client_message_rate_limit=100 |