セキュリティーに関する誤解

この節では、配備のセキュリティーニーズに対して逆効果になる、典型的な誤解について説明します。

• 製品名とバージョンを隠す:

  製品名とバージョン名を隠したとしても、せいぜい通常のアタッカーの邪魔をする程度です。最悪の場合は、管理者にセキュリティーに関する誤った感覚を与えることになり、本当のセキュリティー問題の追跡を怠るという結果になりかねません。

  事実、製品情報とバージョン番号が削除されると、ソフトウェアの識別ができなくなるため、ベンダーのサポート部門がソフトウェアの問題を検証するのが困難となります。

  特に、SMTP サーバーに既知の脆弱性がある場合は、ハッカーが選り分けを行うことはほとんど考えられず、どのような SMTP サーバーにもアクセスを試みる可能性があります。

• 内部マシン名を隠す:

  内部 IP アドレスとマシン名を隠すことで、次のことが困難になります。

  • 悪用またはスパムの追跡

  • メールシステムの設定エラーの診断

  • DNS 設定エラーの診断

  知識のあるアタッカーであれば、一度ネットワークに侵入する方法を見つければ、マシンのマシン名と IP アドレスを簡単に見つけ出します。

• SMTP サーバーの EHLO をオフにする:

  EHLO がない場合、次のことができなくなります。

  • NOTARY

  • TLS ネゴシエーション

  • メッセージサイズのプリエンプティブ制御

  EHLO を使用すると、SMTP クライアントは、制限の有無と、この応答を受けるとすぐに制限を超えたメッセージの送信を停止するかどうかを判断します。ただし、EHLO がオフになっているため HELO を使用しなければならない場合は、送信側の SMTP サーバーはメッセージデータ全体を送信し、その後メッセージサイズが制限を超えているため拒否されたことを通知されます。その結果、処理サイクルとディスク容量の無駄が発生します。

• Network Address Translation (NAT)

  NAT を一種のファイアウォールとして使用する場合は、システム間でエンドツーエンドの接続を行うことはできません。その代わり、中間に第三のノードを置くことになります。この NAT システムは仲介役として機能し、潜在的なセキュリティーホールの原因になります。