メールが繋がりにくい

メイルが繋がりにくいとの連絡がありました。
他の回線のメールサーバーとやり取りして調べると
送受ともできますが確かに時間がかかっています。

ログを見るとこんな感じ。

Oct 2 14:46:07 ns1 postfix/smtpd[30428]: warning: unknown[212.70.149.83]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30503]: warning: unknown[212.70.149.83]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[31062]: warning: unknown[212.70.149.36]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30470]: warning: unknown[212.70.149.52]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[29544]: warning: unknown[212.70.149.36]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[29239]: warning: unknown[212.70.149.36]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30413]: warning: unknown[212.70.149.20]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30534]: warning: unknown[212.70.149.5]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30443]: warning: unknown[212.70.149.83]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30352]: warning: unknown[212.70.149.5]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30529]: warning: unknown[212.70.149.20]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30410]: warning: unknown[212.70.149.20]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30493]: warning: unknown[212.70.149.83]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[29320]: warning: unknown[212.70.149.36]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30405]: warning: unknown[212.70.149.52]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[29438]: warning: unknown[212.70.149.36]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30514]: warning: unknown[212.70.149.83]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30241]: warning: unknown[212.70.149.5]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30481]: warning: unknown[212.70.149.52]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[30525]: warning: unknown[212.70.149.5]: SASL LOGIN authentication failed: authentication failure
Oct 2 14:46:07 ns1 postfix/smtpd[28768]: warning: unknown[212.70.149.36]: SASL LOGIN authentication failed: authentication failure

全てのトラップをくぐり抜けた同一攻撃者が、メールの
送信機能を勝手に使おうとして、1秒間に24回以上
SASL認証に失敗しています。
これを延々とやっていました。
流石に正規ユーザーへの認証が遅くなり、
ユーザー側ではいつものようにササッと送信できず
考え込むので、送信できないというご連絡も
いただきました。
このように失敗を繰り返すと自動的にSMTPとSUBMISSIONへ
アクセスできないようになっているのですが。。。
うまくすり抜けてきたと褒めてあげたいところですが、
このIPアドレスのセグメントからは、サーバー全ての
サービスにアクセス出来ないようにすることで、
認証の遅れは解決しました。

攻撃者の中には普通のプロバイダからDHCPで供給される
IPアドレスで行う場合もあり、時間が経つと違うユーザーが
使用する場合もあるので、失敗を重ねるとメールに関連した
ポートへのアクセス禁止リストに加える設定でした。
深く追求する前に、応急処置で全てのポートのアクセス
禁止にしてしまいましたが、ポート25や587の他にも
非推奨となった456や正式ではない2525なども
設定に加えると良いのかもしれませんが、どんどん
面倒になってきます。

とりあえずは巧妙な攻撃者にアクセスをご遠慮願ったので、
現状1分間に10回ほどの認証フェイリャァに収まる程度の
攻撃となっておりこれくらいは全く許容範囲であります。

ロボットは認証で蹴られたからって決して諦めないので
困りものです。

84円切手

最近〒局へ行くと、シール式の切手で気に入ったものがあれば
つい買ってしまうという習慣が出来てしまったようです。w

DSC_0289


           写り悪かったですね。。。

HOME

おすすめ