HOME  /Synology(法人)
 / ­MailPlus Serverを外部の攻撃から守る
2019年08月20日

 ­MailPlus Serverを外部の攻撃から守る

WebサーバをオープンしてもSynologyサーバへの外部からの攻撃(アタック)はそれほど多くはありませんでした。

しかしMailPlus Serverを立ち上げると、さすがメールサーバと思う程に外部からのアタックが増加しました。

そこでMailPlus Serverより安全に運用する方法をここで解説します。

1.どの様なアタックがあるか?

メールサーバを立ち上げ、他のメールサーバとメールを交換する為にはSMTP(25番ポート)をオープンする必要があります。

この25番ポートはどの様なメールアドレスから来たメールでも他のメールサーバに送れるのがデフォルトです。

しかし設定で「SMTP認証を有効にする」に✔を付けると、SMTP認証にPassできないメールは送信拒否されます。

すなわち、単純にはMailPlus Serverが大量メール送信の踏み台にされることは防止できますが問題はそれだけではありません。

 

外部からのアタックは下記の2つがあります。

①SMTPサーバにログインを試みるアタック

一般的にはブルートフォースアタック(総当たり攻撃)と呼ばれています。

MailPlus Serverを踏み台にする為にログインできるアカウントを探しています。

②SMTPサーバに勝手にメールを送り付けるアタック

一般的にはディレクトリハーベストアタック(メアド攻撃)と呼ばれ、有効なメールアドレスを取得するために色々なアドレスのメールを送り付ける攻撃です。

SMTPの性格上これらのアクセスは受け入れなければなりませんが、不審なメールは如何に拒否するか?の戦いになります。

上記の2つの攻撃からMailPlus Serverを如何に守るか?を下記に解説していきます。

 

2.SMTPサーバにログインを試みるアタックと対処方法

2-1.どの様なアタックがあるか?調べる方法

アプリケーションセンタから下記アプリケーションをインストールしてください。

上記アプリケーションを起動します。

ログメニュを開いて▼のプルダウンから「接続」を選択して下さい。

下記が「接続」ログで「警告」が主にMailPlus Severとの接続を試みたログになります。

 

2-2.どの様なアタックをしてきているのか?

①ランダム間隔アタックする

このアタックは短時間の連続攻撃でなく、ランダム間隔(最長は7時間)でアタックしてきているサンプルです。

­ ­ランダム間隔アタックの例

 

②日本人の名前でアタックする

大半は海外からのアタックです。

しかし海外にもかかわらず日本人名でアタックしてきているサンプルです。

­ ­日本人の名前でアタックが来る例

 

③IPを偽装してアタックする

下記の例はIPアドレスを偽装しながらアタックしてきているサンプルです。

­ ­IP偽装の例

上記の様なアタック方法を認識して下記の対策を打ちます。

 

2-3.SMTPサーバにログインを試みるアタックへの対策

①メールのアクセスポートを制限する

MailPlus Serverは企業が使うメールシステムなのでメールに関する総てのポートをオープンにする必要はありません。

私が使っているポート番号は下記だけにしました。

プロトコル SMTP SMTP-TSL IMAPS
ポート番号 25 587 993

ルータの設定で他のポート番号は削除して下さい。

上記のアクセスポートに制限するだけでこの種のアタックは激減します。

尚、MailPlus側の設定は変更しなくても問題ありません。

­ ­メールクライアントからの接続

Thunderbird等のメールクライアントからMailPlusに接続する場合は下記設定で行ってください。

受信サーバ:IMAPでポート番号993(SSL/TSL)

送信サーバ:SMTPでポート番号587(STARTTSL)

で接続して下さい。

 

②悪質なIPはブロックします

下記の方法で悪質なアタックを行うIPアドレスをブロックします。

­ ­IPアドレスのブロック方法

 

③ログイン名とメールID名を変更する

よりセキュリティを向上させる為にはログイン名とメールID名は別の物にする必要があります。

MailPlusでこれを行う方法を解説しています。

­ ­メールアドレス名の考察

以上の対策で、このアタックは完全に?防げると思っています。

 

3.SMTPサーバに勝手にメールを送り付けるアタックと対処方法

3-1.どの様なアタックがあるか?を調べる方法

MailPlus Serverの「監査」の「ログ」タブを開き▼から「セキュリティログ」を開きます。

この中に「拒否」や「DNSBL」及び「悪意あるコンテンツ」等がセキュリティ面で引っかかったメールになります。

・「拒否」や「DNSBL」はメール配信されません。

・「悪意あるコンテンツ」はメール配信されます。

 

3-2.どの様なアタックが発生するのか?

①IPを偽装してアタックしてくる

IPアドレスを次々に変更させて攻撃するタイプです。

当然、IPアドレスとドメイン名が一致しないのでブロックされますがあまりにも目障りなので「拒否」ではなく「廃棄」する事が望ましいです。

­ ­IP偽装の例

 

②実在メールアドレスへの攻撃

これが一番危険なメールです。

ドメイン認証でこれらのメールを拒否するのが原則です。

ドメイン認証を通過した場合は「スパムフィルタ」や「ウィルス対策エンジン」で対処する事になります。

­ ­実在メールアドレスに対する攻撃例

 

③悪意あるコンテンツ

これは外部からのアタックではありません。メールの本文をみて判断するものです。

2019年6月時点でMailPlus Serverをデフォルト設定で運用すると、総てのメールが「悪意あるコンテンツ」扱いになります。

そのうち改善されると思いますが、当面の対策を下記で解説します。

 

3-3.SMTPサーバに勝手にメールを送り付けるアタックへの対策

①メール送信ドメイン認証

自分が送信したメールは「スパムでありません」と主張する方法にドメイン認証があります。

その仕掛けがSPF、DKIM、DMARCになります。

セキュリティ→認証タブに下記を設定します。

※1.SPF認証を有効にする。

SPFは受信したメールのIPアドレスが、DNSに登録されているIPアドレスと一致するか?を調べる認証方式です。
「SPFソフトフェイルを拒否する」はこの認証を通らないメールは受けつけないという設定です。
普通のメールサーバでこれを設定してないサイトは考えられないので廃棄で良いと思います。

※2.DKIM認証を有効にする

DKIMのキーの長さは1024bit以上はGmailと同様な基準になります。
DMIMの認証に失敗した時にメールをどうするか?は相手のメールサーバが指定したDMARC設定によります。

※3.DMARCを有効にする

相手のメールサーバがSPFやDKIMの認証に失敗した時にどの様に処理してほしいか?が記載されています。

 

②スパムエンジンとブラックリストの設定

受信したメールがスパムメールか否かを判定させるエンジンとブラックリストを設定する事により、SMTPに送られてくるメールを判定します。

­ ­スパムエンジンとブラックリストを設定する

 

③監査ログは重要な物だけにします

監査ログには①や②で設定したスパムメールの「拒否」リストが表示されます。

しかし、明らかにスパムメールは「拒否」ではなく「廃棄」にして監査ログを見易くする事が望まれます。

また監査ログを見づらくするものに、無意味な「悪意あるコンテンツ」があります。

そこでこれらを整理して、監査ログに重要な物だけを表示させる様にします。

­ ­監査ログを見易くする方法

 

以上の対策で、メールサーバを安心して運用できる対策が完了しました。