当社はIT技術のオンライン教育を得意としたセミナー専門会社です。

ITエンジニアの技術力UPをお約束します。

postfix メール添付の拡張子から判断しREJECTする。

postfix メール添付の拡張子から判断しREJECTする。


メールの添付でもメールフィルタリングは行なえます。日本の企業もだいぶSNSを使用してファイルを送る習慣が普及し始めているので、メールに添付して送るのはレアケースになりつつある。そうは言ってもゼロではないのでpostfixにおいて拡張子でブロックする方法を案内する。普段から会社内でルールを決めると良いと思う。例えばメールに添付する場合は必ずzip圧縮してから送るとか、取引先にも添付データ形式をお願いする。そうすれば範囲が狭まりより安全にすることができる。

拡張子から判断する設定(Postfix)

以下を参考によく使っている拡張子で修正して設定を行ってください。

タグ: , , ,

postfixの送信メールにはデフォルトで送信パソコンのIPが掲載されるので外す。


postfixの送信メールにはデフォルトで送信パソコンのIPが載っている(メールヘッダ部)のはご存知だろうか?実はこれは攻撃者(クラッカー)にヒントを与えることになる。例えば、ウィルスメールや、感染プログラムのダウンロードでバックドアによりスパイウェアが起動されるようなことがあるのなら、IPがわかれば社内のネットワークを絞り込んでいけるからだ。これを外す方法だが次のようにする。

メールヘッダから送信者の端末IP情報を外す。

社内で使っているプライベートアドレスを送信時に無視(ヘッダ挿入処理をスルー)する。忘れずにmain.cfではヘッダチェック(header_checks = regexp:/etc/postfix/header_checks)を有効にしてください。下記は/etc/postfix/header_checksのファイル編集を行ってpostfixを再起動しています。

タグ: , , ,

よくある詐欺Spamメールの手口


最近メールの乗っ取りや大量スパム配信でメールサーバを窒息させ異常動作させる攻撃が巷にいつも以上に増えてきたように思います。その中で幾つか参考になるポイントをお話したいと思います。

「あなたのサイト乗っ取りました」のようなケース

このケースでは、ついついメールを読んでその中のエビデンス(ハックした証拠)のURLが埋め込まれています。実はリンクを踏ませるための嘘なんですがね。そのURLを訪れると何らかの情報が盗まれたり、埋め込まれると思ってください。あやしいメールはすぐゴミ箱か削除してください。下手にWEB開いてしまうと感染したりランサムウェアを仕込まれたりするかもしれません。またそっくりサイトを踏ませてログインを盗む可能性もあると思います。

第三者中継リレー対策してもDDoS攻撃の前では無力になる可能性も

今では、ほとんどのメールサーバが第三者中継リレー対策していて当たり前なんですが、その過信にご用心。メールのDDoS攻撃が行われると出来ないはずのことも出来てしまいます。メールのセキュリティ対策もWEB同様に総合的に考えて対策が必要です。

メールのDDoS攻撃の対策方法は?

ずばり、メールサーバの受け付けられる量の制限です。例えば同じIPからの単位時間あたりのセッション数や、1セッションあたり一度に送れるメールの通数等がそれに相当します。これらの制御をおこなってください。smtpサーバによってはこの設定がないケースもあるのでiptablesやfail2banを特にカウントを取ってBANする様にコントロールしてください。ちなみにpostfixにはこれらの制限するパラメータが存在します。postfixのmaster.cfに記述するパラメータで制御が行なえます。例えば/etc/postfix/tarnsportに制限対象のドメインを設定し、その内容を/etc/postfix/main.cfと/etc/postfix/master.cfで流用制限をかけると効果的です。

Postfixの場合の流入制限設定のサンプル

/etc/postfix/transportの例

/etc/postfix/master.cfの例

/etc/postfix/main.cfの例

タグ: , , , , , ,