受信 SMTP 接続を監視する

指定した IP アドレスからの受信用 SMTP 接続の数が異常に増加した場合は、以下の状況を示しています。

• 外部ユーザーがメールをリレーしようとしている。

• 外部ユーザーがサービス拒否攻撃を行おうとしている。

認証されていない SMTP 接続の兆候

• 外部ユーザーによるメールのリレー: 表面的には問題発生の兆候はありません。

• サービス拒否攻撃: 外部のメッセージ要求により SMTP サーバーを過負荷にしようとする試みです。

受信用 SMTP 接続を監視するには

• 外部ユーザーによるメールのリレー: ログエントリレコード J (拒否されたリレー) を含むレコードの msg_svr_base/log/mail.log_current を確認します。リモート IP アドレスのログを有効にするには、option.dat ファイルに次の行を追加します。

  log_connection=1

  この機能を有効にすると、わずかながらパフォーマンスが低下します。

• サービス拒否攻撃: SMTP サーバーに接続しているユーザーとその人数を調べるには、netstat コマンドを実行し、SMTP ポートの接続数 (デフォルトは 25) を確認します。次に例を示します。

Local address       Remote address                                 State
192.18.79.44.25     192.18.78.44.56035    32768   0  32768   0   CLOSE_WAIT
192.18.79.44.25     192.18.136.54.57390    8760   0  24820   0   ESTABLISHED
192.18.79.44.25     192.18.26.165.48508   33580   0  24820   0   TIME_WAIT

最初に、システムで特定の読み取りが異常かどうかを判断するために、SMTP 接続の適切な数とその状態 (ESTABLISHED、CLOSE_WAIT など) を決定する必要があります。

多数の接続が SYN_RECEIVED 状態にある場合は、ネットワークがうまく稼働していなかったり、サービス拒否攻撃が行われていたりすることがあります。さらに、SMTP サーバープロセスの有効期間は制限されています。これは、dispatcher.cnf ファイルの MTA 設定変数 MAX_LIFE_TIME によって制御されます。デフォルトは 86,400 秒 (1 日) です。同様に、MAX_LIFE_CONNS は、サーバープロセスがその有効期間中に処理できる接続の最大数を指定します。特定の SMTP サーバーが長時間稼働している場合は、調査することもできます。