メールサーバーに対する侵入攻撃には、バッファオーバーフローの脆弱性を利用した攻撃、サービス妨害攻撃、ディレクトリコレクション攻撃など、さまざまな形態があります。メール サーバーの強化、メール フィルタリング ツールの使用、マネージド サービスの使用、統合ソフトウェアのインストールなどの対策はすべて、さまざまな側面からのメール サーバーへの攻撃を阻止できます。この記事では、これらの対策について詳しく説明します。
メール サーバーを強化し、まずその前にメール フィルタリング ネットワーク ツールをインストールするか、マネージド メール フィルタリング サービスを使用すると、スパマーやその他のソースからの攻撃を軽減できます。
エンド ユーザーとそのデスクトップに対する攻撃が増加するにつれて、メール サーバーに対する直接攻撃は減少しました (ただし、この減少は相対的なものです)。ただし、攻撃者は Microsoft の EXChange サーバー、さらには Sendmail の脆弱性を引き続き発見しており、サーバーは依然として脆弱です。ここでは、2 つの一般的な攻撃と、メール サーバーがこれらの攻撃にさらされるのを軽減または排除する方法について説明します。
根本原因の 1 つ: バッファ オーバーフローの脆弱性
バッファ オーバーフローは、メール サーバー ソフトウェアなどのソフトウェア プログラムが、当初許可されていたよりも多くのデータをデータ バッファに保存し、予期しない入力を防ぐことができなかった場合に発生します。攻撃者はこの欠陥を悪用して、メール サーバーに意図した以外の手順を実行させる可能性があります。メール サーバーが特権で実行されている場合、システム全体のセキュリティが危険にさらされます。メール サーバーに特権がない場合でも、攻撃者はそのセキュリティを侵害し、そのリソースを完全に制御できる可能性があります。
バッファ オーバーフローは偶発的なプログラミング エラーによって発生しますが、データの整合性の観点からは非常に一般的なセキュリティ上の脆弱性です。バッファ オーバーフローが発生すると、過剰なデータには特定のアクションをトリガーするように設計されたコードが含まれる可能性があります。たとえば、ユーザー ファイルの破損、データの変更、または極秘情報の漏洩を引き起こす可能性のある新しい命令を侵害されたサーバーに送信するなどです。
攻撃者はこれまで、バッファ オーバーフローの脆弱性を悪用して、ワームがインターネット上の異なるサーバー間を移動できるようにすることで、その手腕を証明してきました。しかし最近では、バッファ オーバーフローの脆弱性がより具体的な標的となっています。これらにより、攻撃者はメール サーバーを侵害し、スパムの送信に使用できるようになります。
この攻撃は 2 つの重大な結果をもたらします。まず、電子メール サーバーが侵害されると、攻撃者が会社の送受信電子メールを読み取ることができることになります。結果は壊滅的なものになる可能性があります。 2 番目に、攻撃者は企業のサーバー リソースを使用してスパムを送信する可能性があります。このような状況は会社に悪名をもたらし、ISP 契約に違反し、多くの場合サービスの終了を意味する可能性があります。
メール サーバー (およびその他のパブリック サーバー) をバッファ オーバーフローの脆弱性やその他の形態の攻撃に対して強化することが重要です。他にも講じられる保護措置はあります。
1 つの応答: サーバーの強化
メール サーバーのセキュリティが侵害される可能性を減らす最善の方法は、メール サーバー自体を強化することです。いずれにせよ、強化には努力の価値があります。強化されたサーバー、特にインターネット上のサーバーでは、脆弱性に対して脆弱なサービスはほとんどなく、それらのサービスは通常「別の方法で」扱われます。補強には通常、次の措置が必要です。
• 物理的に安全なコンピュータ。
• オペレーティング システムとアプリケーション ソフトウェアを更新します。
• リソースへのアクセスおよび使用に関する管理者の操作を記録するロギングを有効にします。
• 不要なアプリケーション、サービス、ツールを削除します。
• ローカル ファイアウォール サービスを有効にします。
• 特権アカウントの使用を制限します。
サーバーを強化することで、弱点を大幅に軽減できます。しかし、多くの場合、メール サーバーを強化するだけでは十分ではありません。より良い解決策は、電子メールが実際にサーバーに到達する前に電子メール トラフィックの追加のフィルタリングを提供しながら、サーバーを強化することです。
電子メール トラフィックは、ネットワーク ツール、管理サービス、既存の電子メール システムに統合されたソフトウェア (Microsoft の EXChange など) を使用して事前にフィルタリングできます。さまざまな防御層を用意することを忘れないでください。たとえば、内部電子メール サーバーを強化し、ベンダーが強化したネットワーク ツールを導入して周囲の環境を保護します。
回答 2: ネットワーク ツール
メール フィルタリング ネットワーク ツールは、内部メール サーバーの前に展開されます。これらのツールは通常、パケット フィルタリング ファイアウォールとアプリケーション レベルのファイアウォールの 2 種類のファイアウォールを提供します。パケット フィルタリング ファイアウォールとして機能するネットワーク ツールは、メール サービス (SMTP、通常は POP3 や IMAP など) で使用されるポートへの有効な TCP/IP トラフィックのみを許可します。アプリケーション レベルのファイアウォールとしてのこのツールは、送信サーバーが SMTP を正しく使用し、関連する IEEE コメント要求 (RFCS) および規則に従っていることを保証します (逆引き DNS 設定のサポートなど)。
ネットワーク ツールはいくつかの理由から攻撃に対して脆弱ではありません。まず、ツールの大部分は、高度にカスタマイズされたオペレーティング システム上で実行されます。これらのオペレーティング システムは、攻撃者が足掛かりを得ることができる追加サービスのほとんどを無効にしています (または、使用するツールに合わせて最初からカスタマイズされていました)。
次に、エンジニアはツールを強化する際のベスト プラクティスを厳密に遵守します。
最後に、ツールはメール サーバーとの間で限られた種類の通信 (つまり、メール トランスポートに関連する通信) のみを許可しており、この種類の通信であっても慎重な検査の対象となります。
応答 3: マネージド サービス
マネージド サービスでは、すべての電子メールが最初に電子メールをフィルタリングするオフサイト サービスに送信され、その後有効な電子メールが会社のメール サーバーに転送されます。
この戦略を使用してダイレクト メール プロトコルを使用した攻撃を効果的に防止するには、内部メール サーバーはマネージド サービスによって開始された接続のみを受け入れ、他の接続は受け入れない必要があります。ただし、これらのサービスは受信電子メール通信に対してのみ利用できます。アウトバウンド電子メール トラフィックは引き続きインターネット上の他のサーバーに直接送信されるため、電子メール プロトコルの使用時に潜在的な脆弱性が発生します (たとえば、受信電子メール サーバーが SMTP 送信中に送信電子メール サーバー ソフトウェアのバッファ オーバーフローの脆弱性を悪用する可能性があります)。
回答 4: 統合ソフトウェア
最後に、メール サーバーの保護に役立つ統合ソフトウェアをインストールできます。このローカルにインストールされたソフトウェアはネットワーク攻撃から保護し、サーバーをより堅牢にします。統合ソフトウェアは通常、アプリケーション層 (つまり SMTP) で実行され、サーバーを悪用から保護します。一部の統合ソフトウェアは、サーバーのネイティブ TCP/IP スタックをカスタム強化バージョンに置き換えます。
ただし、電子メール ソフトウェアと外部システムの間に壁を構築するよりも、ローカル フィルタリング ソフトウェアが電子メール ソフトウェアと連携して動作する方が一般的です。このアプローチを使用した統合ソフトウェアは、攻撃者がメール サーバーに直接アクセスできる場合 (たとえば、信頼できる内部ユーザーが攻撃を開始した場合) に役立ちます。
対応 5: サービス拒否攻撃とディレクトリ収集攻撃
Denia1 of Service (DoS) 攻撃は、ターゲット システムの機能を低下させます。たとえば、メール サーバーがあり、攻撃者がそのサーバーの速度を低下させたり、無効にしようとしているとします。攻撃者は、ネットワーク リソースの消費やディレクトリ ハーベスト攻撃など、さまざまな方法でサービス拒否攻撃を仕掛けます。
攻撃者がネットワーク リソースの消費を通じてサービス拒否攻撃を実行する場合、多くの場合、攻撃はターゲット マシンへの利用可能なすべての受信接続を消費することに焦点を当てます。 SMTP は TCP プロトコルであるため、攻撃者が利用可能な以上の TCP 接続を要求するだけで悪用が成功します。つまり、攻撃者は、メール サーバーが処理できる以上の接続をメール サーバーに対して作成します。これにより、メール サーバーは正規のメール サーバーからの有効な受信接続を受け入れることができなくなります。
サービス妨害攻撃を防ぐサーバーベースのソリューションはほとんどありません。ほとんどのメール サーバーは、サービス拒否攻撃から保護するように調整されていない汎用オペレーティング システムで実行されます。強化された UNIX システムであっても、多数のサービス拒否攻撃に耐えるサーバーの能力を高めるには、異なるネットワーク設定が必要です。その結果、企業は、サービス妨害攻撃を検出して防止するために特別に作成されたシステムや、汎用のメール サーバーよりも多くの同時接続を受け入れることができる強化されたフィルタリング ツールを購入することがよくあります。このようなフィルタリング デバイスは、多くの場合、サービス妨害攻撃をより適切に検出し、防御措置を講じることができます。
ディレクトリ ハーベスト攻撃は、将来のスパムに使用できる有効なアドレスを特定するために、スパマーによって開始されるリソースを大量に消費する攻撃です。ディレクトリコレクション攻撃が発生すると、メールサーバーの負荷が大幅に増大し、効率的なメールの送信に影響を与えます。さらに、ローカル メール サーバーは、スパマーが使用した From アドレスに送信しようとした無効なアドレスに関する不達レポートを返します。
配信不能レポートを返すと、追加の送信電子メール トラフィックが生成され、高価な帯域幅が消費されるため、メール サーバーの負荷が増加します。スパマーが使用するほとんどの From アドレスは偽であるため、送信不達レポートは常にタイムアウトになり、メール サーバーは後で送信を再試行する必要があります。要約すると、ディレクトリ ハーベスト攻撃は、メール サーバーに対する高コストの攻撃形式です。
残念ながら、ディレクトリ コレクション攻撃の危険性を軽減する方法はほとんどありません。解決策の 1 つは、マネージド サービスを使用することです。通常、マネージド サービスは企業が提供できるよりもはるかに多くのメール サーバーを維持するため、ディレクトリ ハーベスト攻撃がメール配信に大きな影響を与えることはありません。
もう 1 つの解決策は、このタイプの攻撃に最適化されたフロントエンド フィルタリング ツールをインストールすることです。フィルタが無効なユーザーに電子メールを送信しないように、ツール内で正当な電子メール ユーザーのリストを維持します (静的リストまたは内部ディレクトリへのライト ディレクトリ アクセス プロトコル アクセスを介して)。