---

acceptlog / receivelogで大量に特定IPアドレス群からSMTP認証の総当たりを受けていることを見つけた場合

---

acceptlog / receivelogを確認している中で、特定IPアドレス群からSMTP認証の総当たり攻撃を大量に受けていることが判明した場合、メールサーバの負荷が高まってしまう結果、通常のメール受領時の応答に非常に時間がかかる原因となるおそれがあります。
以下の事例は、特定のIPアドレス群のマシンから、SMTP認証の総当たり攻撃を受けているケースです。acceptlog・receivelog両方のログを確認してみると、相当な頻度で繰り返し総当たり攻撃をかけてきて、その都度認証失敗した後、一方的に回線切断しているような記録が見つかった例です。

（acceptlogの一部から）　　　　　　　　　　　　　　　　↓IPアドレス
[12/Dec/2017:00:01:49], (domain.jp), 101.202.xx.xx[101.202.xx.xx],
AUTH-LOGIN:admin [failed],,abort

（receivelogの一部から）　　　　　　　　　　　　　　　　　　　↓デコード内容
[12/Dec/2017:00:01:47], 347c89c8, AUTH LOGIN
[12/Dec/2017:00:01:48], 347c89c8, 334 dXNlcm5hbWU6　（username:）
[12/Dec/2017:00:01:48], 347c89c8, YWRtaW4=　　　　　　（admin）
[12/Dec/2017:00:01:49], 347c89c8, 535 5.7.0 Authentication failed.
[12/Dec/2017:00:01:49], 347c89c8, get_reply() SOCKET_ERROR OTHER CODE=54

acceptlogに記録された攻撃元のIPアドレス群が判明したら、まず「中継の制限」タブにある「マシン毎の中継」【effect.dat】に次の設定を加えてください。行末の改行を忘れないようにしてください。これにより、SMTP認証をさせないで、接続時に切断させることができるようになり負荷は下がるものと考えます。

（「マシン毎の中継」【effect.dat】の記述例）
101.202.xx.xx false

ただし、攻撃元のIPアドレス群を今後変えてくる可能性はありますから、ときおりacceptlogはチェックするようにようすを見る必要があります。
また、receivelogに記録されているSMTP認証のログインIDはBase64でエンコードされていますから、ログからはそのままではわかりません。デコードして判読したいときは下記記事をご参照ください。

なお、SMTP認証／POP3認証／IMAP4認証時の認証接続ロックアウト機能を利用することができます。下記記事をご参照の上、導入すればメールサーバ・SMTPサーバのセキュリティをより高めることが可能になります。

（関連FAQ）
●SMTP AUTH有効時のログ記録からログインID（Username）などを知るには
●SMTP認証時の「認証接続ロックアウト機能」について
●POP3認証時の「認証接続ロックアウト機能」について
●IMAP4認証時の「認証接続ロックアウト機能」について