[postfix-jp: 487] Re: DoS攻撃対策について

[Tomoyuki Sakurai <ml-postfix-jp@xxxxxxxxxxxxxxx>]

On Fri, 16 Jul 2004 10:03:56 +0900
Hiroshi Watanabe <watanabe@xxxxxxxxxx> wrote:

| > 付属のconf/main.cfには次のように書かれていますが、当てはまりませんか。
| 
| 当てはまりません。指定したアカウントは実在しています(言葉を知らないので
| 説明しにくいのですが、要するに/etc/passwdに実在するということです)。

わかりにくいのですが、"accounts not in the UNIX password file"は"unknown
local recipients"を指すものだと思います。local_recipient_mapsを空にする
と配送されませんか。

local_recipient_maps =

| > whitelistがあれば、別のportにsmtpdをlistenさせて、whitelistにあるサイト
| > からのport 25への接続をその別のportへ転送する、という手もありますね。
| 
| この手というのは、Postfixの範疇なのでしょうか。あるいは別のソフトウェア
| との組合せで実現するものなのでしょうか。

いいえ、Postfixにこうした機能はありません。何らかの別の仕組みが必要です。
FreeBSDならipfw(8)などがありますね。忙しくても、特定のサイトからのメッセー
ジを優先的に扱いたいときに使えそうです。

| ところで、今日になって、昨日までが嘘のように、迷惑な接続がさっぱりなくな
| りました！

それはよかったですね。

| ゼロになったわけではありませんが、目で見て数えられるくらいになりました。
| smtpdプロセスも、おおむね１つです。教えていただいたことが、奏功したので
| しょうか。

たぶん違うでしょう。

| 状況が確認でき次第、対応していきたいと思います(私共の責務ですね)。ここ数
| 日のmaillogは確保いたしました。

こうした迷惑なサイトからのbounceは一切受け取らない、というポリシーもあり
かもしれません。policy_serviceはそうした目的に使うこともできます。

もっと問題なのは適切な動作をしないMTAです。(流量にもよりますが)多くのサ
イトで、smtpdのデフォルトのmaxprocに引っかかることは、少ないはずです。な
んのコマンドも発行せずに接続を維持するのは、まともなMTAの動作ではありま
せん。

smtpdのtimeoutを短くすることもできますが、会話に時間のかかるサイトからの
メッセージが届きにくくなるかもしれないので、注意が必要です。

--
Tomoyuki Sakurai - Tomi -
mailto:ml-postfix-jp@xxxxxxxxxxxxxxx
local dnsbl files updated daily at
rsync://trombik.mine.nu/spf/output/

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list