- - PR -
Exchange ServerでSMTPでの攻撃
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2006-11-21 05:40
お世話になっております。
現在、当社exchange serverにhelo,ehloコマンドを使って大量のアクセスがあり、特に夕方から朝、または週末にExchangeでE-mailが受信できない状態が起こります。 SMTPのPortを変更しよと考えましたが、それではすべての外からのMailが受信できなくなるとことをこの掲示板で読み、結局Firewallで手当たり次第にブロックする方向にしました。 しばらく落ち着いてきたと思ったのですが、最近また特にhelo,ehloコマンドが多発し、E-mailに障害が出るようになりました。 現在 SonicwallのFirewallで、One to One NATでPublicのIPをExchangeに転送しています。Excahageは2003です。 この場合、One to One NAT でExchageに転送しているPubicのIPだけを POP.SMTP.HTTPなどでExchageに転送してあげて、ほかのものは転送しないようにすれば、そのPulicのIPに送信したE-mailは届いて、それ以外はFirewallでブロックされるのでしょうか? 現在はSMTP、POPなどはすべて開いています。 どのように不特定多数からくるhelo,ehloをブロックすればいいかの知恵を教えてください。 | ||||
|
投稿日時: 2006-11-21 08:15
SMTPサーバーは、その機能上不特定多数からの接続を受け付ける必要があります。したがって不特定多数からの接続を禁止するわけには行きません。もし接続制限を行うなら、ステートフルなFirewallを用いて同一IPアドレスから短時間に繰り返し接続が行われた場合にブロックすると言った設定を行う事になるでしょう。 | ||||
|
投稿日時: 2006-11-21 08:45
おはようございます.
その「大量のアクセス」は本当に「不特定多数」なんでしょうか? であれば甕星様の指摘にあるように statefull な firewall 機能を用いるしかないと思います. ですが,log をつぶさに参照すればある程度絞り込めませんか? 絞り込んで特定の IP address を割り出せたらそのほうが幸せですので, とりあえず調べてみては? | ||||
|
投稿日時: 2006-11-22 19:58
「大量」というのは1秒間に数百コネクションとか、そういう次元でしょうか?
そういう次元であれば犯罪行為(業務妨害)ですから、関係機関や専門家と相談された方が良いと思われます。 ちなみに送信元(国とか回線業者とかそういう単位)で把握されてますか? | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。