複数ドメインでメールサーバを運用しています。
ある日、ログファイルが異常な増え方をしたので、調べてみました。
すると、あるドメイン宛にスパムメールが送られてきていることが判明しました。
(hoge111@example.jp 等の@マークより左の部分がランダムで大量にロギングされている)
で、そのIPアドレスを調べてみると正引き/逆引きが正しくできるのですが、
IPアドレスやドメインはバラバラです。
(帯域圧迫やCPU負荷OKでサービスは停止していないので、これを DDoS攻撃と呼んで良いのでいいのかなー?)
Q1:現状はDisk容量だけ注意を払っていれば良いのですが、このような攻撃(!?)の対策はどうすれば良いのでしょうか?
(S25R とか RBL、SPF、DomainKeys という話は除外して)
Q2:IDS/IPS 等の機器で DDoS攻撃は回避できないとの認識なのですが、実際はどうなのでしょうか?
Q1:現状はDisk容量だけ注意を払っていれば良いのですが、このような攻撃(!?)の対策はどうすれば良いのでしょうか?
「POP/IMAPサーバの構築と不正中継対策」が参考になると思います。
Q2:IDS/IPS 等の機器で DDoS攻撃は回避できないとの認識なのですが、実際はどうなのでしょうか?
特定IPからの攻撃であれば回避できますが、相手がランダムだとすると手の打ちようがありません。DDoS 対策専用装置を導入する必要があります。
DDoS攻撃と呼んで良いのでいいのかなー?
サーバーダウンが目的ではなさそうなので攻撃と呼ぶと語弊がある。
単純にスパムが大量に発信されているだけ(もちろんそれはそれで迷惑だが)な状態。
Q1.このような攻撃(!?)の対策はどうすれば良いのでしょうか?
処理性能上問題ない場合は放置かな。
スパムフィルターのたぐいは使うけど、それはメールの受け手を保護する目的だし。
発信元の特定(特定の地域からが多いとか)が出来ない限り対応不能。
Q2:IDS/IPS 等の機器で DDoS攻撃は回避できない
DDoS になるレベルのものなら回避しようもあるが、現状聞く限りそこまで行っていないので
IDS/IPSの類では防げないだろうね。
どちらかというとプロトコルやアプリケーションレベルのバグをついてくる攻撃を防ぐ物だから
個別の内容まで判断して(スパムであるかどうか)遮断するのはコストが高すぎる。
増えてきて困ってきたらメールサーバーを2段構えにして
前段でスパムフィルター、後段が本来のメールボックスという構成にするとかかな。
あくまでプログラム上は正常な処理だから防ぐこと自体は無理。
回線を契約しているプロバイダーやその上位に相談すれば、ある程度有名なボットネットワークなら
対応してくれるかもだけど、プロバイダーにとっても情報収集が容易な程度で状況は変わらないから
期待は出来ないね。
>(S25R とか RBL、SPF、DomainKeys という話は除外して)
の条件で
>ある日、ログファイルが異常な増え方をしたので、調べてみました。
>すると、あるドメイン宛にスパムメールが送られてきていることが判明しました。
>(hoge111@example.jp 等の@マークより左の部分がランダムで大量にロギングされている)
ログの運用の仕方がよくないと考えられます。
そもそも、スパムメールに対してほとんど対策してないし、対策案のほとんどがNGということですから
その前提で考えるしかないです。この程度をDDoS攻撃とは呼べません。
コメント(1件)
この場合だと、DDoS 攻撃というよりは、ごくごく一般的に spam を大量に受け取っている、という状況だと思います。
海外からの spam だと、ボットによる送信が多く、ボットに感染している様々な PC から送られてくることになるので、「IPアドレスやドメインはバラバラ」ということになります。