自分の利用しているサーバの状況を確認する方法 不正中継確認 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

自分の利用しているサーバの状況を確認する方法 不正中継確認

製品・サービス・業界動向 業界動向

 自分の使用しているサーバ(自分自身が管理しているサーバ、社内のシステム担当が管理しているサーバ、借りているレンタルサーバなど)が、不正中継をしないようちゃんと設定されているかを確認する方法について紹介します。

 インターネット上に公開しているメールサーバ(ここでは送信用SMTPサーバ)は、原則として定められた利用者以外の利用を禁じるべきとなっています。そうでないと、スパム業者など外部の悪意ある事業者が勝手に悪用することが可能になってしまいます。こうした外部の第三者から利用することを不正中継(あるいは Open Relay)と呼んでいます。


>> 不正中継している時の問題点

 不正中継が可能な状態になっていると外部のスパム業者から勝手に利用されてしまいます。すると、SMTPサーバの負荷がたかまって本来の自分たちのメールを送ることができなくなったり、クレームが殺到したりします。もっとも問題なのは、意図しないとはいえ、SMTPサーバを利用させることで、無関係な人々に対する悪質なスパム行為の手助けをしてしまうことです。また、発信元を偽装してあたかも自分あるいは自分の会社から発信したメールのようになりすまされてしまう可能性もあります。自社のメールアドレスで悪質なスパムを送信されてしまうと会社の信用問題になる可能性もあります。

 さらに、不正中継データベースに登録されることもあります。不正中継データベースは、不正中継を許しているメールサーバのデータベースで、海外の企業などでは、スパム防止目的でメールを受信する際に、このデータベースに登録されているメールサーバからのメールを受け取らないようにしているところも少なくありません。不正中継データベースに登録されてしまうと、海外の企業などにメールを送ることができなくなってしまう可能性があります。


>> 不正中継のチェックはいたって簡単

 不正中継を行わない設定になっているかどうかを確認するのは、比較的簡単です。

・最初に不正中継データベースに登録されていないかチェック
 不正中継を許していると不正中継データベースに登録されてしまうことがあると説明しました。まず最初に、データベースに登録されていないかをチェックしましょう。不正中継データベースは複数存在しますが、今回は日本語のページからチェックすることのできる "ordb.org" と "rbl.jp" を紹介します。

ordb
http://www.ordb.org/lookup/
rbl.jp
http://www.rbl.jp/ckdb/

 上記のページで使用しているSMTPサーバ名あるいはIPアドレスを指定します。すると、登録の有無が表示されます。
 不幸にして登録されいる場合は、管理者に連絡してちゃんと設定を行い、登録を削除してもらう手続きをとるように申し入れる必要があります。

・不正中継のチェック WEBサイトでのチェック
 幸運にも不正中継データベースに登録されていなかったとしても不正中継を行わないようになっているとは限りません。
 不正中継を行わないように設定されているかどうかを確認する方法はいくつかあります。
 もっとも簡単な方法は、下記のサイトにアクセスして、使用しているSMTPサーバ名あるいはIPアドレスを指定することです。

rbl.jp
http://www.rbl.jp/svcheck.php

 同様のチェック機能を提供しているサイトは複数ありますが、ここでは日本語で表示してくれるサイトを紹介しました。

 こうしたWEBサイトでのチェックは有効ですが、多くの場合、下記の2つの問題が残ります。

その1
 もっとも古典的な不正中継利用方法である「内部利用者なりすまし」のチェックは行えません。この不正利用方法は、実際に存在するアドレスを発信元(FROM)として不正中継を行う方法です。

その2
 これらのサイトで仮に不正中継の危険性なしあるいはありと表示されても最終的には、実際にメールを送信してみなければ最終的な確認はできません。

 そのため、あくまでもひとつの目安ということになります。


・セキュリティプロファイラ PrisonMEMO でのチェック
 PrisonMEMO というセキュリティチェックツールのソフト(Windows 版)のある不正中継チェック機能を用いることで、より厳密なチェックを行うことができます。

PrisonMEMO
http://vagabond.co.jp/top/pressr/press/200206271.html

 チェック内容はデフォルトで20前後あり、利用者がチェック方法をふやすこともできます。
 また、実際に不正中継してメールを送ることも可能となっています。ただし、実際にメールを送信するのは、不正な行為であり、事前に調査対象の管理者の許諾なくおこなうことはできませんので注意が必要です。
 送信元のアドレスも変更することが可能なので、送信元のアドレスを実際に存在するアドレスにした場合、より厳密なチェックを行うことができます。


>> 対処方法

 メールサーバに対して所定の設定を行うことで不正中継を防げます。設定方法については、広く知られており、WEB上でも説明しているページが多く存在します。今回の主たる目的は問題の発見ですので、解決方法については、詳細はとりあげません。
 レンタルサーバなどを借りている場合は、業者を変えることになります。

 なお、多くのレンタルサーバ業者の場合、実際に存在するアドレスを用いた不正中継は可能となっています。”POP BEFORE SMTP”などの機構を盛り込んでいないレンタルサーバの場合は、不正中継の可能性はかなり高いといえます。

 また、外部に公開するのは受信用サーバのみにし、送信用サーバは、外部からアクセスできない社内LAN上におくことも可能です。

 今後、スパムメールの規制をはじめとして今後さまざまな規制がかけられるようになってゆくと思います。自分のサーバが外部の第三者に悪用されてしまった場合、悪用されてしまったサーバの管理者の責任も問われるようになってくると予想されます。じゅうぶんな注意が不可欠といえるでしょう。

《ScanNetSecurity》

PageTop

アクセスランキング

  1. OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

    OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

  2. Microsoft Office の数式エディタにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

    Microsoft Office の数式エディタにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

  3. 送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

    送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

  4. C&Cサーバへの攻撃デモ、サイバーセキュリティに報復攻撃は認められるべきか

    C&Cサーバへの攻撃デモ、サイバーセキュリティに報復攻撃は認められるべきか

  5. Scan勉強会「サイバー空間における日本企業及団体の情報漏えい実態」開催(イード)

    Scan勉強会「サイバー空間における日本企業及団体の情報漏えい実態」開催(イード)

  6. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

    2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  7. 公共の場所の監視カメラ調達などに活用、ネットワークカメラのセキュリティ対策基準公開(IPA)

    公共の場所の監視カメラ調達などに活用、ネットワークカメラのセキュリティ対策基準公開(IPA)

  8. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

    捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  9. 「ネタバレ」サイトの運営者を逮捕、アフィリエイトで3年間で3億円の収入(ACCS)

    「ネタバレ」サイトの運営者を逮捕、アフィリエイトで3年間で3億円の収入(ACCS)

  10. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

ランキングをもっと見る
PageTop