Postfix基本機能でSpam対策

Postfixの基本設定を少し追加したらメールサーバへの不正アクセスチャレンジが激減しました。まさに灯台もと暗しで今更ながらですが情報を念のため共有します。

1.検知

きっかけは、こちらの投稿で追加したPostFixのログとさらにこちらでLogwatchのログに出力するようにしたfail2Banの情報。日々届くメールでPostfixの不正アクセス状況をチェックしていたのですがいつもなぜだかFail2banが検知するより短時間に不正アクセスが続いていました。fail2banではこんなログがでていました。

1秒間に4回も不正アクセスができているようでFail2ban でBanしていますがアクセス自体はBanする前にできているようですがalready bannedのエラーが出ています。エラーが続いたらブロックできないかとちょっと調査してみました。

2.エラーリミット設定

調査したところ「postfix スパムに踏み台にされて防いだ後2」の記事がまさに求めていた情報でした。これを参考に設定してみます。Postfixの設定ファイル「/etc/postfix/main.cf」に設定を追加します。

元々追加していた設定がこれです。

意味はsmtpd_soft_error_limitの設定回数(3)だけエラーを一定時間内(?)にだしたら60sアカウントを停止します。どうもこれでは動作していないようでした。

追加したのが次の設定。

意味はsmtpd_client_connection_rate_limit の数だけ一定時間内(anvil_rate_time_unit=60s)に接続して来たら接続MAXでブロックするです。このanvil_rate_time_unitの設定が観測する一定時間内のことでした。これがなかったので3回のエラーでアカウント停止していませんでした。やってしまいました。

2017/3/17 smtpd_client_connection_count_limit = 10を追加しました。1サーバあたりの同時接続数を10に制限します。

設定が終わったら、Postfixをリロードして設定を反映させます。

3.効果

その後、Logwatchのログにはalready bannedのエラーは出てきません。不正アクセスも単発しかなくなりました。こんなのです。

基本の設定をきちんと行うことは大切ですね。今後もまずは基本機能で出来る設定を忘れずに実施しようと思います。

4.続編

その後、状況観察を続けたところsmtpポートに対するDDOS攻撃では対処できませんでした。こちらの記事で更なる追加対策を公開しています。

スポンサーリンク
レクタングル大広告




レクタングル大広告




シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
レクタングル大広告