-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-ED-2001-0001 JPCERT/CC 技術メモ - 電子メール配送プログラムの不正利用 (予期しない中継) - 初 版: 1997/05/28 (Ver.01) 発 行 日: 2001/12/27 (Ver.05) 最新情報: http://www.jpcert.or.jp/ed/2001/ed010001.txt ====================================================================== 本文書では、電子メール配送プログラム sendmail のメール中継機能を悪用 した攻撃について解説します。多くの場合、この攻撃を受けたホストは、大量 の偽造電子メールの中継地点として不正に計算機資源が利用されます。本文書 では、この攻撃への対策も紹介します。 I. 解説 サイトのローカルネットワークをインターネットに接続しているとき、通常 はインターネットと直接に通信可能なホストのうち少なくとも 1 つのホスト 上でメールサーバを運用します。メールサーバを実現するための電子メール配 送プログラムとしては、sendmail が古くから用いられています。最近では、 よりセキュリティ問題に配慮された電子メール配送プログラムとして Postfix や qmail なども使用されるようになってきてます。 Sendmail http://www.sendmail.org/ Postfix http://www.postfix.org/ qmail http://www.jp.qmail.org/ メールサーバの典型的な運用形態には、(1) 自サイト内でのユーザ間のメー ル配送、(2) 自サイトから他サイトへのメール送信、(3) 他サイトから自サイ トへのメール受信、(4) 他サイトから受信したメールのさらに他サイトへの中 継という 4 つの形態があります。この 4 つをどのように組み合わせて運用す るかはサイトの方針によります。 この中で (4) の中継を制限していない場合には、予期しない中継を行わせ ようとする電子メールが、メールサーバへ故意に送られてくる恐れがあります。 多くの場合、この予期しない中継とは、サイト外から送られてきたメールを再 び他のサイトに送り出そうとする中継です。このような電子メールの配送 (中 継) 要求は、メールサーバが提供する配送 (中継) サービスの不正な利用を意 図している可能性があります。 また、sendmail の設定ファイル (sendmail.cf) の内容によっては、電子メー ルの配送 (中継) サービスが、発信元の偽造を意図した電子メールの中継に悪 用される可能性が高くなります。 II. 想定される影響 この攻撃を受けたホストは、大量の偽造電子メールの中継地点として不正に 計算機資源が利用されます。また、中継後の障害に起因するエラーメールを大 量に受取り、メールスプールがあふれる可能性があります。 III. 電子メール受信と中継の制限 sendmail の設定ファイルを変更し、設定を追加することにより、受信する メールや中継するメールを制限することができます。sendmail に関連したそ の他の対策も含め、あわせて実施されることを推奨します。 A. sendmail のバージョンアップ sendmail を最新の版 (2001年11月30日現在 8.12.1) にバージョンアッ プします。sendmail の最新版の入手方法は、参考情報 (A) をご参照く ださい。 B. 設定ファイルの変更 sendmail 8.8 以降の機能を利用して、メールの受信 / 中継を制限する ことができます。 sendmail.cf に設定を追加することにより、「特定のホストからの SMTP 接続を拒否する」「他サイトから送信された、自サイト宛てでないメー ルの受信を拒否する」などの運用方針を実現できます。詳細は、参考情 報 (B) をご参照ください。 特に、後者の運用方針は、電子メールの「予期しない中継」に対して一 般的に有効です。参考情報 (C)(D) も併せてご参照ください。 JPCERT/CC は、必要のない中継は一切行わないように sendmail.cf を設 定することを推奨します。 C. ヘッダの記録項目の調整 配送中のメールがメール配送プログラムにより中継されると、中継記録 として Received: ヘッダが追加されます。このヘッダは、中継が行われ るごとにメールのヘッダ部の先頭に追加され、電子メールの中継履歴と して残ります。 電子メールの中継経路を特定するための情報として、Received: ヘッダ に、次のような情報を追加することができます。ヘッダに記録する項目 は、sendmail.cf を書き換えることで設定できます。 ・配送元ホストのホスト名 ・配送元ホストの IP アドレス ・配送元ホストからの SMTP に関する IDENT (RFC1413) 情報 ・配送先のメールアドレス 特にさしつかえない限り、sendmail の配布パッケージに付属の cf ファ イルを参考にして、なるべく多くの情報が記録できるように HReceived を設定することを推奨します。 IV. 参考情報 A. 最新版の sendmail について sendmail の最新版は、以下の Anonymous ftp server 等から取得可能で す。 ftp://ftp.sendmail.org/pub/sendmail/ B. sendmail 全般について sendmail 全般の仕組みについては、次の文献に詳細な解説が書かれてい ます。 「sendmail システム管理」 Bryan Costales, Eric Allman 著 中村 素典 監訳、鈴木 克彦 訳、オライリー・ジャパン、1997/9 ISBN4-900900-40-0 "sendmail, 2nd Edition" Bryan Costales and Eric Allman, O'Reilly & Associates, January 1997 ISBN 1-56592-222-0 また、sendmail の配布パッケージ中の doc/op ディレクトリにも、 sendmail のオペレーションに関する最新のドキュメントが置かれていま す。 C. check_rcpt を用いた中継機能の制限方法について 以下の URL に check_rcpt ルールセットを用いて受信するメールを制御 する方法が書かれており、この制限を実装する際に参考となります。 http://www.informatik.uni-kiel.de/~ca/email/check.html#check_rcpt sendmail 8.9 以降では、標準でこの制限が有効になっています。 注意: sendmail.cf ではスペース文字とタブ文字は区別されます。 sendmail.cf を編集する場合は十分に注意してください。 D. その他の参考情報について 次の URL にも sendmail の設定方法や悪用対策等に関する技術情報があ ります。 http://spam.abuse.net/spam/ http://www.Sendmail.ORG/antispam.html http://www.informatik.uni-kiel.de/~ca/email/check.html また、次の URL に sendmail や UNIX 以外 の MTA での対策方法に関す る情報が広く収集されています。 http://mail-abuse.org/tsi/ar-fix.html - ---------- <JPCERT/CC からのお知らせとお願い> 本文書で解説した配送 (中継) サービスの不正な利用も含め、インターネッ ト上で引き起こされるさまざまなコンピュータセキュリティインシデントに関 する情報がありましたら、info@jpcert.or.jp までご提供くださいますようお 願いします。JPCERT/CC の所定の様式 http://www.jpcert.or.jp/form/ にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 JPCERT/CC では、セキュリティに関する情報を迅速にご提供するために、メー リングリストを開設しています。登録の方法等、詳しくは、 http://www.jpcert.or.jp/announce.html をご参照ください。 - ---------- 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と したものではありません。個別の問題に関するお問い合わせ等に対して必ずお 答えできるとは限らないことをあらかじめご了承ください。また、本件に関す るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき ください。 注: この文書は、コンピュータセキュリティインシデントに対する一般的な 情報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサ ルティングを目的としたものではありません。また JPCERT/CC は、この文書 に記載された情報の内容が正確であることに努めておりますが、正確性を含め 一切の品質についてこれを保証するものではありません。この文書に記載され た情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられな かった行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与 えるものではありません。 - ---------- 1997-2001 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。情報は更新されてい る可能性がありますので、最新情報については http://www.jpcert.or.jp/ed/ を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原 典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 http://www.jpcert.or.jp/jpcert.asc - ---------- 改訂履歴 2001/12/27 参照 URL の更新 I 章 - Postfix, qmail に関する情報を追加 IV.C 章 - CF パッケージを用いた中継機能の制限方法を削除 2000/08/25 参照 URL の更新 1998/01/14 II 章 - エラーメールによる影響を追加した。 以前の III 章を削除した。 III 章 - タイトルを変更した。 IV.A 章 - 最新の sendmail のバージョンを 8.8.8 に更新した。 IV.B 章 - sendmail の翻訳書の紹介を第 2 版に更新した。 IV.C 章 - 最新の CF のバージョンを 3.6W に更新した IV.E 章 - sendmail や UNIX 以外の MTA の情報を追加した。 1997/07/02 最新の sendmail のバージョンを 8.8.6 に更新した。 1997/05/28 First Version. -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPCqHXIx1ay4slNTtAQHhrQP+IeSB3tjwBKWHRiOMFS4ijEfoMVDnE0oh 97+178m+vzZ+y8jOrCXBy0xYXtU7E/M1P9VSVj9nTuesvi41akADNW0/h2zB7mxx 2nKC53iJewztVucLJn19O5P9gMqSbzBxUMFTdTSaLGqnxpoPRHS0U7LLhin3myE4 V7xaSUwkxXI= =DZQ7 -----END PGP SIGNATURE-----