[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp:18] client の制限方法



山口@ソフィアワークスと申します。
始めまして。

最近 sendmail から postfix に乗り換えました。
ちいさな ML も運営していますが、sendmail + smtpfeed より管理が簡単で
とても便利になりました。


実は最近、とある PPP ユーザーから謎のアクセスを頻繁に受けるようになり、
対策に悩んでおります。直接ドメインを公開することは避けます。

・hinode.sophiaworks.com が当社のサーバ。postfix で運用中。

・外部から送信用のメールサーバとして公開はしていないが、当社ドメイン宛
  メールはどこからでも受けるように、通常の設定は行っている。

・いわゆる SMTP ホストでない (MTA) でないと思われる某プロバイダ
  (仮称:hoge.ne.jp) のダイヤルアップドメイン (PPP4.kawasaki-ap6.hoge.ne.jp 等)
  から、日夜を問わず、10数回単位の SMTP 接続が行われる。ログに記録あり。

Jul  9 12:54:57 hinode postfix/smtpd[13843]: connect from PPP14.kawasaki-ap6.hogehoge.ne.jp[xxx.xxx.xxx.xxx]
Jul  9 12:55:03 hinode postfix/smtpd[13843]: disconnect from PPP14.kawasaki-ap6.hogehoge.ne.jp[xxx.xxx.xxx.xxx]

・上記のように、connect と disconnect しか記録に無いため、たぶんメールの
  送信(踏台等) は行われていないようだが、他に何を行っているか不明。

・PPP による接続のため、ホスト名は PPPnn の nn が常に異なっている。

■政治的対応

としては、とりあえず当然のことながら hogehoge.ne.jp の技術担当者に連絡済で、
接続ログから該当ユーザーは割り出されているらしい。現在、意図的なのかミスなのか
どうしてそういう設定を行ったのか、もしくはアカウントを不正使用されたのか等
調査中だそうです。

…ということはプロバイダに任せておいて、そうして何日も経っている間にもこの
変なアクセスが繰り返されています。


■やりたいこと。

今後のためにも、アヤシゲなアクセスのサイトからは、SMTP 接続そのものを
reject したいのですが、上のような状況でうまくやる方法があるでしょうか?

[/etc/postfix/main.cf]

smtpd_client_restrictions = permit_mynetworks, reject_maps_rbl, hash:/etc/postfix/clients, permit

[/etc/postfix/clients]

kawasaki-ap6.hoge.ne.jp	REJECT

とし、postmap clients, postfix reload しています。

[root@hinode postfix]# postmap -q kawasaki-ap6.hoge.ne.jp clients
REJECT

と出ているので、データベースの作成はうまくいっているようなのですが…。

期待した動作をしてくれないようです。つまり、通常通り connect されてしまいます。
reject といった出力はされていないようです。


なにか設定が間違っているのでしょうか? それとも他に手法があるのでしょうか?
アドバイス頂けると幸いです。

---
ソフィアワークス
山口健史 (YAMAGUCHI Kenji)
E-Mail: yamk@xxxxxxxxxxxxxxx

Follow-Ups
[postfix-jp:19] Re: client の制限方法, Ikeda Nozomu
[postfix-jp:20] Re: client の制限方法, Akira KUBO

[検索ページ] [Postfix-JP ML Home]