[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp: 4062] Re: 送信元IPアドレスが偽装であるか否か



広瀬です。


結城さま、佐藤さま、ご返答ありがとうございます。


> メールサーバが取得した情報自体の真偽をメールシステムが判定するというのは、
> 難しい気がします。

至極もっともな事ですね。確かにconnectIPや付随情報(エンベロープ)を元に判定は
出来ないですね。何もMTAだけで判定可能かとは思ってはおりません。

> TCPスプーフィングはシーケンス番号の予測を行なって通信を横取りする、
> みたいなものですよね?

正確にはBlind TCP Spoofingというらしいのですが、シーケンス番号がランダムでは
ない前提(ある一定の法則で動いていたりとか)だと、可能な場合もあるらしいのです。
やれたとしても、約42億通りのシーケンス番号がランダムに使われるのを推測するのは、
現実的では無いというレベル感だと言われています。

Spoofingなどのパケットレベルの偽装は確かに前段のF/Wで防ぐのが正しいのですが、
現実的に考えてみるとDNS amp攻撃などとは違い、一方的にTCPの接続要求だけでは、
通信は確立しないので、そう考えるならば偽装は困難だろうとも思います。

※まぁ、MACアドレスまで取得できれば話が一番早いんですけどね・・・

−閑話休題−

> (十分怪しい接続元はrejectしちまってもいい、という考えの)僕が言うのもなんですが
> これだとfalse positiveも結構多くてover killしちゃってませんかね…?

偽陽性に関して当該のメールサーバは受付をメインにしていないので、over killはあまり
問題にはならない前提ですので、大丈夫です

※少なくとも国外は相手にしませんし・・・

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list

References
[postfix-jp: 4059] 送信元IPアドレスが偽装であるか否か, momoko
[postfix-jp: 4061] Re: 送信元IPアドレスが偽装であるか否か, SATOH Kiyoshi

[検索ページ] [Postfix-JP ML Home]