はじめての自宅サーバ構築 - Fedora/CentOS - Last Update 2008/08/06
It opened to 2004/09/19. Visitors
Pageviews
Today(IP/PV)		 3,407,753
12,990,501
1,289/7,898
このページは表示専用です。新規投稿・レスや最新情報はこちらです。

このスレッドはクローズされています。記事の閲覧のみとなります。
Dovecot不正アクセス
日時: 2008/07/12 22:09
名前: てんまる
参照: http://hibiki.servebbs.com

@不明点・障害内容:Dovecot不正アクセス
Aログの有無   :
  (有:その内容):有
BDistribution  :
      Version:
CService Name  :Fedora8
      Version:
Dネットワーク構成:

以下の点で質問させてください。一応、自分なりに設定したのですが設定が良いのか分からず、以下の設定で不正IPが私の自宅サーバー拒否されているかの実感がわきません。

(質問)メールサーバーに不正ログインでアクセスした形跡があり、そのアクセス元IPを遮断したいと考えます。どのように設定したらよいでしょうか?

(ログ)
  dovecot: pop3-login: Aborted login (1 authentication attempts): method=PLAIN, rip=::ffff:81.230.128.9, lip=::ffff:192.168.1.5: 1005 Time(s)
  dovecot: pop3-login: Aborted login (1 authentication attempts): user=<account>, method=PLAIN, rip=::ffff:81.230.128.9, lip=::ffff:192.168.*.*: 571 Time(s)
  dovecot: pop3-login: Aborted login (1 authentication attempts): user=<admin>, method=PLAIN, rip=::ffff:81.230.128.9, lip=::ffff:192.168.*.*: 888 Time(s)
  dovecot: pop3-login: Aborted login (1 authentication attempts): user=<administrator>, method=PLAIN, rip=::ffff:81.230.128.9, lip=::ffff:192.168.*.*: 860 Time(s)

(対策)
hosts.deny ファイルに以下を記述
pop3 : 81.230.128.9

よろしくお願いいたします。
Re: Dovecot不正アクセス ( No.1 )
日時: 2008/07/12 11:03
名前: ken@CentOS

てんまるさん

今後の為にもファイアウォールできっちり対処した方が良いかと思います。
メールサーバーにアクセスできるのを日本だけに限定するとか・・・
でないと、そのIPだけ遮断しても他にやられる可能性もありますから。
Re: Dovecot不正アクセス ( No.2 )
日時: 2008/07/12 22:07
名前: てんまる
参照: http://hibiki.servebbs.com

ken@CentOS様 ありがとうございます。

モグラ叩き的手法は、やはり限界がありますね。
日本のメールサーバーのみのアクセスの手法、インターネットで探したのですが有益な情報がありませんでした。もし私のような初心者でも出来る方法でしたら、教えていただければ幸いです。

まずはお礼まで…。ありがとうございます。
Re: Dovecot不正アクセス ( No.3 )
日時: 2008/07/13 12:09
名前: DON


 逆にアクセス出来るIPを限定してしまったらどうですか?
 どう運営しているかわからないので・・・一概には言えませんが・・・
 大きな事をやっているのではないのであれば こちらの方が有効
 かと思います

 ちなみに 私なんかは自分で使用するIP プライベートIP以外
 は拒否してます
Re: Dovecot不正アクセス ( No.4 )
日時: 2008/07/13 18:56
名前: てんまる
参照: http://hibiki.servebbs.com

DON様 ありがとうございます。

 すばらしい方法ですね。Linux初心者の私には考えも見なかった事です。メールは家族に個別にあるだけで、一般の人に開放していません。それにメールソフトは家庭内(192.168.*.*)のみのアクセスですから、オープンにしないで良い訳ですよね。

 家庭外ではWebmail(SquirrelMail)のみ使うので、クローズしたほうが安心ですね。

 ちなみに、hosts.allowに

pop3 : 192.168.

 で良いのでしょうか?
Re: Dovecot不正アクセス ( No.5 )
日時: 2008/07/13 21:32
名前: ken@CentOS

サーバーがルーター経由ならポートを開放しなければOK
Re: Dovecot不正アクセス ( No.6 )
日時: 2008/07/14 04:01
名前: DON

てんまる様

hosts.allow 192.168. 又は 192.168.1. と127.0.0.1あたりでしょうか?
それとdenyには ALL を記述しないとだめみたいです(笑)

私も初めてまもない初心者ですので偉そうな事は言えませんが
内部運用だけで事たりるのではれば FTPやSSH TELNETもこの方法で拒否
しておくのが賢明かと思います

私のような素人の意見お役に立てて嬉しく思います


>サーバーがルーター経由ならポートを開放しなければOK

との事ですが Dovecotのポートを閉じてしまうと 外部から送られてくる
メールが届かなくなる(受信出来なくなる)のではないですか?
イントラであれば内部だけでなので良いと思いますが・・・
どうなんでしょ?

   
Re: Dovecot不正アクセス ( No.7 )
日時: 2008/07/14 08:03
名前: 管理者

>> サーバーがルーター経由ならポートを開放しなければOK
>
> との事ですが Dovecotのポートを閉じてしまうと 外部から送られてくる
> メールが届かなくなる(受信出来なくなる)のではないですか?

外部からのメール配送はポート25を使用していますので、Dovecotのポート(110)は関係ないです。
Dovecotはメールボックスに届いたメールをメーラーソフトなどで受信(取得)する為のサービスです。

さて本題ですが、当方も不正アクセスはかなり行われています。
根本的に排除するのは難しいでしょうね・・・相手が動的IPであった場合はIPなどでは防げませんし・・。
外部からメールをメーラソフトなどで取得しないのであれば、DONさんが先にお書きになった様にポートを閉じるのも良いですね。
セキュアにするにはポート関係もそうですがパスワードを定期的に変えたり長めのパスワード等々・・行ってくださいね。
Re: Dovecot不正アクセス ( No.8 )
日時: 2008/07/14 12:26
名前: DON

管理者様

>外部からのメール配送はポート25を使用していますので、Dovecotのポート(110)は関係ないです。
>Dovecotはメールボックスに届いたメールをメーラーソフトなどで受信(取得)する為のサービスです。

と言う事は 外部からメールを取得しないのであれば 110も不必要と言う解釈でよろしいのでしょうか?

なるべく 不要ポートは閉じたいもので・・・
Re: Dovecot不正アクセス ( No.9 )
日時: 2008/07/15 03:56
名前: てんまる
参照: http://hibiki.servebbs.com

ken@CentOS様、管理者様、DON様たくさんの有益な情報ありがとうございます。

私のようなローカルネットワーク外でWebメールのみを使うサーバー利用&運営者は、(確認ですが)

1)ルーターの110番ポートを閉じてしまう。
2)hosts.allow pop3 : 192.168.1. , 127.0.0.1 を書き込んで
3)hosts.deny pop3 : All
4)パスワードを定期的に変えたり長めのパスワードで運営する

という事で良いですよね。

で、迷惑なDovecotの不正アクセスはかなりの確率で防止できますね。
ここのサイトのおかげで、初心者から初級者にグレードアップしているような感じがします。
ありがとうございます。
Re: Dovecot不正アクセス ( No.10 )
日時: 2008/07/17 18:57
名前: てんまる
参照: http://hibiki.servebbs.com

書き込みをしてくださいました皆様 ありがとうございます。

クローズしたいと思います。

てんまる
Copyright(©)2004-2008 First home server construction. All Right Reserved.