分散型メールアドレスハーベスティングの防御方法

私が管理している会社のサーバーが、
分散型のメールアドレスハーベスティングを喰らって、
息も絶え絶えになってしまっています。
ログを見ながら、怪しいアクセスは片っ端からＩＰアドレスで止めるように
してるのですが、止めても止めても、すぐに別のＩＰアドレスから攻撃を受け、
接続拒否したＩＰアドレスはすでに１万を超えて、それでもなお、止まる様子がありません。
どうにか止める手段ってないのでしょうか？

ハーベスティングを喰らうような＆防ぐことができないシステムを作ったという理由で、
社長がカンカンで、減給されそうな運びで・・・（＞＿＜

No.7 回答者： noname#43129 回答日時： 2007/11/03 12:55

IPがRBLに見当たらない辺り、ボットネットの可能性が濃厚になってきた

ので、ホワイトリストを使う方面でやってみたらいかがでしょうか。
でなければ、ZywallというUTMが割合求めやすい金額で月額レンタルを
行っているのでそちらの方を利用してみてはいかがでしょうか。
http://www.sunnetworks.jp/vpn/plan.html
事業所規模によって異なりますがひと月3,000円～10,000円です。
http://www.sunnetworks.jp/vpn/lineup.html
UTMだとは思うのですが、興味を示されましたら具体的な仕様や用途などが
合致しているか、一応レンタルしている会社様と相談してみてください。

No.6 回答者： gsx_rider 回答日時： 2007/10/29 05:47

最低限　これはやってますか？

設定を行ったsendmail.mcに以下の記述はありますか
FEATURE(`accept_unresolvable_domains')
(DNSで引けないようなドメインなどロクなもんではないので
全て拒否します)

必殺技としてDNSBLを利用してはいかがですか？
spam の送信元或は中継を行うホストの IP アドレスを収集したデータベースです
私はトレンドマイクロが所有しているデータベース(MAPS RBL)を利用してます
FEATURE(dnsbl.*********)
等と書くと利用出来ます　******は設定内容
例：FEATURE(dnsbl,`virus.rbl.jp')dnl　(ウイルスに感染したサーバーからの接続を禁止）

ここでは書ききれませんし　使う為には一定の知識も必要でしょうから
sendmail RBL 等のキーワードで検索してみて下さい

この回答への補足

ありがとうございます。
accept_unresolvable_domains はすでに設定してあります。
DNSBLは利用していたことはあるのですが、
届くべきメールが拒絶されてしまうことがあり、
見送りになってしまいました。
また、今回の攻撃もとＩＰアドレスのほとんどは、
RBLにも登録されていないようで・・・

補足日時：2007/10/29 09:13

No.5 回答者： noname#43129 回答日時： 2007/10/29 02:54

Userunknownを返さない方法参考にどうぞ。

ttp://d.hatena.ne.jp/xnissy/20070214/1171485562

No.4 回答者： noname#43129 回答日時： 2007/10/29 02:50

一応万が一のために公的機関のリンクも載せておきます。

http://www.npa.go.jp/cyber/soudan.htm
今回の件に当てはまるかは微妙ですが、DoS攻撃(的)による
嫌がらせや脅迫にも注意してください。

No.3 回答者： noname#43129 回答日時： 2007/10/29 02:46

ロードバランサー使いますか？。

ラドウェアが有名ですが。
http://www.radware.co.jp/
Userunknownは返さないよう設定できませんか？。
とりあえず、応急的に使えそうなものもあげておきます。
http://dsas.blog.klab.org/archives/51116162.html
恐らくボットネットを使ったものの可能性も否定できないと思います。

この回答への補足

なるほど、負荷分散でしのぐのですね。
ただこれだと、バランサー＋ＭＸサーバ複数＋メールボックスサーバ、
等々、いきなり大規模になってしまいそうですね。
もともと、スパム対策のアプライアンスさえ導入できない予算なので、
ちょっと厳しそうです・・・

補足日時：2007/10/29 09:21

No.2 回答者： noname#43129 回答日時： 2007/10/29 02:08

製品出している会社ありますよ。

客先の資産に合致するか
は分りませんがとりあえず急ぎ参考までに。
http://japan.zdnet.com/release/story/0,380007548 …

とりあえず、エラーは返さずに受け取ったふりをしてスパム
として処理する格好にはできませんか？。
野暮なこと聞きますけれど、攻撃を受けているサーバーは
メールサーバーですよね。小企業でしたら申し訳ありませんが、
普通、スパム対策に専用アプライアンスを入れているとは思う
のですが…。BarracudaとかIronPort、esafe等が代表的です。
Interopやsecuritysolution等のイベントは行っていますか。

この回答への補足

受け取りさえせずに、
SMTP上で直接User unknownを返答している状態なのです。
そもそもスパムを送りつける目的ではないようで、
RCPTコマンドをひたすら繰り返すだけで、本文を送るDATAコマンドは
一切無しです。
この状態で、速すぎてＣＰＵを食いつぶすか、
遅すぎ＆多すぎでリソースを食いつぶす、という状況です。
SORBS等のスパムデータベースは利用しているのですが、
どうも、ほとんどの攻撃元ＩＰアドレスは、スパム発信元として
認識されていないようで・・・

補足日時：2007/10/29 02:16

No.1 回答者： gsx_rider 回答日時： 2007/10/29 01:21

ちと情報不足ですね

まずシステムの構成（OS サーバーソフト等)
どのように利用してるのか　
ポリシー等が判らなければ中々回答出来ません

この回答への補足

システム構成は、RedHat + sendmail です。
とにかく、通常のメールの運用を止めるわけにはいかないので、
なにかこういう場合の対策ってないものかと、悩んでいるのです。
現在は、自作のプログラムでmaillogを自動解析して、
ハーベスティングと見られるアクセス元のＩＰアドレスを、
sendmailの/etc/mail/accessファイルに随時追加しています。
accessファイルはすでに１万行にも達して、
確実に接続拒否はできているのですが、
相手の数が圧倒的に多いようで・・・

補足日時：2007/10/29 02:04