SASLの認証

本日は書いていたら長くなりすぎて2分割投稿しました。

コーヒ、玉露、そば茶、紅茶、飲むヨーグルト・・
本日は腹の中がカオス状態です。（笑

送信に時間がかかる

またまたメールの送信に時間がかかるので、
cat /var/log/maillog|grep SASL
でメールログを覗くと、同じセグメントの
IPアドレスがホスト部を変更しながら、
メール配信のサーバーにアクセスしようとして
1秒間に10回以上SASL認証に失敗しています。

対策をしていて分かったことは、1個のIPアドレスでの
不正アタックは、下記のようにSASLの認証を使う
ポートを塞ぐことで対策となりますが、セグメント内で
IPアドレスのホスト部を変更しながら、隙間なく
アタックしてくる輩は、上手にすり抜けてくるようです。

firewall-cmd –permanent –add-rich-rule=”rule family=ipv4 source address=***.***.***.*** service name=smtp drop”
　name=smtp　や　name=submission　でポートを塞ぐ。

そこで一定時間内に設定した回数以上不正アクセスがあった
IPアドレスは、自動的にdrop sourcesのリスト入りする
スクリプトで対応し、サーバー自体にアクセスができないように
してしまったことは以前に書きましたが、一定時間内に
ホスト部のアドレスを変更させてしまうものには効力がなく、
稀にそういった輩が出現するという状況です。

もちろんそんな時は手動でオサラバです。

firewall-cmd –zone=drop –permanent –add-source=***.***.***.***

で、本日めでたく
drop sourcesに
212.70.149.** 　と　45.142.120.**　が仲間入りしました。

SASL認証

まずは事前知識としてSMTPについて
メール配送を依頼されたメールサーバーは、
送信先メールアドレスを管理するメールサーバーに
配送しますが、このときのプロトコルがSMTPであり。
SMTPサーバーと言います。

　メールサーバーに保存されたメールを、受信者が
　読んだり受け取ったりするサのはIMAPサーバーや
　POPサーバーが受け持ちます。

他の人が読めないようにIMAPやPOPサーバにアクセス
する時は、認証（本人確認）が必要ですが、最初の頃の
SMTPサーバーは認証という考えがなく、ちょっとだけ
知識があれば誰にでも接続できるものでした。
メールアドレスの詐称なんて簡単ですから、第3者中継が
可能なSMTPサーバーはスパムメールをばらまく格好な
踏み台になってしまいます。
人はそんな悪いことはしないだろうなどという性善説は
孟子の弟子か、崇高な精神を持つ儒学者ならともかく、
ネットの世界では通用しません。ｗ
そこでいろいろな方法が考えられた中の一つが、SMTP
サーバーへのアクセスにも必要な認証方式のSASLです。

SASLの認証はいろいろあります。

plain login
cram-md5 digest-md5 GSSAPI Kerberos S/Key

セキュリティ的にまともと思われるのはcram-md5以降です。
しかしどこかのOSに同梱されているどうしょうもない
メールソフトでは対応していないため、仕方なく
SMTPの認証方式（mech_list）にはplainとloginも
付け加えておく必要があります。＠ストレス・・・

実際には・・

スパマーもどんどん進化し、現在ではSASL認証だけでなく、
特にフリーメールやプロバイダーメールが設定をタイトにするたびに、
メールが届かないなどといった不具合が発生する場合も。。。
OP25B・SPF ・ DKIM ・ DMARC　　等々
仕掛けた設定にこちらも対応するのに四苦八苦するときも
ありますが、おかげで第3者中継は激減しているようです。
もちろんスパマーも過激になってきて、今度はパソを
マルウェアに感染させて乗っ取り、遠隔操作でスパムメールを
ばらまくのが主流になってきています。
正規ユーザーであれば認証されちゃいますからね。

覚えもないのにいきなりプロバイダから、お前はスパムメールを
ばら撒いていると忠告を受けた場合は、そんなの知らねぇ・・・
ではなく自分のパソがボット（感染させられたPC）になって
いないか疑ってみる必要があります。
スパムメールの70%程度はボットから・・という統計があります。

おっと、SASLからとっ散らかってきたのでこのへんでオシマイ。
明日は週初めですが、ここしばらくデスクワークだったので
現場のリハビリとします。ｗｗ