- PR -

POP BEFORE SMTP のセキュリティについて

1
投稿者投稿内容
はにうえ
会議室デビュー日: 2005/10/18
投稿数: 6
投稿日時: 2005-10-18 09:51
現在、自宅サーバの構築を行っています。
そのサーバには DNS, Web, Mail のサービスを
稼動させる予定で、DMZ に配置しています。
ネットワーク構成は次のような感じです。

INTERNET
|
ROUTER
|
FW----自宅サーバ
|
自宅LAN

FW(ファイアウォール)にはLANボードが3つ刺さっており
自宅LAN側 eth0
ROUTER側 eth1
自宅サーバ側 eth2

となっています。
で、本題ですが、この環境で自宅サーバをメールサーバとして
利用したときに POP BEFORE SMTP の機能が正しく働いて
IPアドレスのファイルが作成されるのですが、そのファイルは
FW の eth2 のIPアドレスのファイルなのです。

ということは、誰かがメールを利用した場合、
悪意のある第3者がこのメールサーバを踏み台にして
SPAMの大量発行等を行われてしまうのではないかと
心配しております。

このような状況を回避するいい方法はなにかないでしょうか?
コブラ
ぬし
会議室デビュー日: 2003/07/18
投稿数: 1038
お住まい・勤務地: 神奈川
投稿日時: 2005-10-18 10:15
ルーターでフィルタリングしたら?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-10-18 10:19
おはようございます.
引用:

はにうえさんの書き込み (2005-10-18 09:51) より:

で、本題ですが、この環境で自宅サーバをメールサーバとして
利用したときに POP BEFORE SMTP の機能が正しく働いて
IPアドレスのファイルが作成されるのですが、そのファイルは
FW の eth2 のIPアドレスのファイルなのです。

それは firewall で NAT されているからでは?
3rd party relay は POP before SMTP で
user 認証することで抑制できますよね?
というか,そのための仕組みだと思いますが?

「どこでどのように NAT しているか?」といった情報が載せられていたほうが
有益な情報が集まると思います.

以上,ご参考までに.
はにうえ
会議室デビュー日: 2005/10/18
投稿数: 6
投稿日時: 2005-10-18 11:09
kazさま、回答ありがとうございます。

>「どこでどのように NAT しているか?」といった情報が載せられていたほうが

まず、ROUTER->FW 間で NAT しています。
また、FW -> 自宅サーバ の間でも NAT しています。

具体例を書くと

INTERNET
|
ROUTER
|192.168.1.1
|
|192.168.1.2
FW-----------192.168.2.1---------192.168.2.2-自宅サーバ
|192.168.3.1
|
|192.168.3.0/24
自宅LAN

という感じです。

あと、POP before SMTP についてですが
この仕組み自体が IP アドレスでしかセキュリティチェックできない?
と認識しています。
つまり、

1.誰かがPOPログインしたら、そのログインした人のIPアドレスを
認識して、ファイルを作成する。

2.メール送信時、自分のIPアドレスのファイルがあれば、送信をOKとする。

という手順だと本に書いてありました。
ここで、問題なのが NAT によって 送信元のIPがなくなってしまっていることです。
正規のユーザが POP before SMTP でログインしたら、192.168.2.1 のアドレスで
ファイルが作成されます。
その後、不正な第3者がこのサーバから送信しようとすると、その第3者のアドレスも
192.168.2.1のアドレスになってしまうので、認証している意味がないのではということです。

コブラさんのいう「ルータでフィルタリングしたら?」というのは、
外部からメールの送信ができなくなってしまうので、モバイル時に
困ってしまうのではないかと思いますが、はずしてますか?

はにうえ
会議室デビュー日: 2005/10/18
投稿数: 6
投稿日時: 2005-10-18 11:20
すみません。
情報を追記しておきます。
自宅サーバにインストールしているものは以下のとおりです。

bind-8.61
checkpassword-0.90
qmail-1.03
qmail-date-localtime.patch
relay-ctrl-2.5
ucspi-tcp-0.88
jakarta-tomcat-4.1.31

kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-10-18 11:25
引用:

はにうえさんの書き込み (2005-10-18 11:09) より:

まず、ROUTER->FW 間で NAT しています。
また、FW -> 自宅サーバ の間でも NAT しています。

どちらか一方で良いでしょう.
できれば firewall でやったほうが良いように思われますが,
おそらく仕組み的に router でやるしかないんですよね?
その場合,router で内部の network を routing してやる必要はありますが.
引用:

その後、不正な第3者がこのサーバから送信しようとすると、その第3者のアドレスも
192.168.2.1のアドレスになってしまうので、認証している意味がないのではということです。

引用:

あと、POP before SMTP についてですが
この仕組み自体が IP アドレスでしかセキュリティチェックできない?
と認識しています。

「POP login した人は一定時間無条件で SMTP relay を許可する」
ための仕組みかと.
なので,通常は「一定時間だけ relay できる」ので,
時間が空いたらまた POP login が必要になるはずでは?
その意味で「IP address での許可」の前に
「POP server への login」が必要で,
だから POP before SMTP なのではないかと.
引用:

その後、不正な第3者がこのサーバから送信しようとすると、その第3者のアドレスも
192.168.2.1のアドレスになってしまうので、認証している意味がないのではということです。

ここはやはり「NAT の仕方」に問題があるように思われます.
外部からの通信を firewall で source NAT していませんか?
普通は firewall の eth1 宛てにきた通信を distination NAT して
「自宅サーバ」へ導くのではないかと思います.
yamasa
ベテラン
会議室デビュー日: 2003/02/15
投稿数: 80
投稿日時: 2005-10-18 11:36
引用:

はにうえさんの書き込み (2005-10-18 09:51) より:
で、本題ですが、この環境で自宅サーバをメールサーバとして
利用したときに POP BEFORE SMTP の機能が正しく働いて
IPアドレスのファイルが作成されるのですが、そのファイルは
FW の eth2 のIPアドレスのファイルなのです。

ということは、誰かがメールを利用した場合、
悪意のある第3者がこのメールサーバを踏み台にして
SPAMの大量発行等を行われてしまうのではないかと
心配しております。

まあ、そのとおりですね。
POP before SMTPを使う限り避けられない問題です。

素直に、SMTP-AUTH on Submission Portでやるのがよろしいかと。
# 対応メーラーも増えてきてることですし。
はにうえ
会議室デビュー日: 2005/10/18
投稿数: 6
投稿日時: 2005-10-19 15:46
返事が遅れてしまいすみません。

Pop before Smtp の件については、
やはり、yamasa の言うように避けられない状態があるようですね。
SMTP-AUTH on Submission Port を検討してみます。

あと、今回の調査でkazさまの言う「NAT の仕方」は
おっしゃるとおり、問題があるように思います。
考え直してみます。

大変勉強になりました。
ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)