今週はめっさ忙しかったデス(´・ω:;.:…

まぁ~忙しかった原因でもあるのですが、仕事でお客さんとこのサーバーから大量のスパムメールが配信されていることが判明したのですが、それがsmtp認証用のパスワードがクラックされたことが原因だったのです。

このお客さんのサーバーも私担当じゃないのに調査、対策を手伝う羽目に(´・ω:;.:…

まぁ~なんというかクラックされたIDはベタなモノだったのですが、よくよく考えてみるとsmtp認証ってちょっと怖いな~と思ったのです。

メールサーバーは25番ポートを特定のIPで絞るわけにもいかないので辞書攻撃の格好の標的なんじゃないかなぁ~と思ったのです。

上位にもう1台メールサーバーを設置してそこからリレーするようにすればIPで絞れると思いますが・・・

で、ウチのサーバーもそういえばsmtp認証にしたんだよなぁ~・・・
25ポート全開だから辞書攻撃し放題だよなぁ~・・・

ということを思い出し早速対策を施しました。

smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated

となっている部分を

smtpd_restriction_classes =
check_smtp_auth

check_smtp_auth =
permit_sasl_authenticated

smtpd_recipient_restrictions =
permit_mynetworks
check_client_access cidr:/etc/postfix/check_smtp_auth

check_smtp_authの中身

—————————————-
192.168.120.0/24 check_smtp_auth
127.0.0.1/32 check_smtp_auth
—————————————-

こうしておけばsmtp認証を特定のIPからのみに限定できるはず!?

もうちょい様子をみてみます・・・