セキュリティ対策
SPF(Sender Policy Framework) 送信ドメイン認証と呼ばれるなりすましメール対策
自社のメールサーバーから、Yahoo!やホットメール、gmailなどのフリーメールアドレスを持つお客様に対して、メールを送信した場合、スパムメールに振り分けられてしまい、困っていることはないでしょうか。
主に、一般の消費者・個人を相手にしている企業では、お客様のアドレスの大半がフリーメールであるということはよくあることです。ある調査では、大手企業が出しているメールマガジンの80%が、スパムとして振り分けられたことがあるというデータもあります。
今回は、自社メールからフリーメールアドレスに送ったときに、スパムと判定しにくくするというサーバー設定を紹介します。(スパム判定は、メールやタイトルのテキスト内容、キーワード、ページ無いURLの多さ、空き行スペースの多さ、HTMLメールか否かなど総合的に判定していますので、これだけでスパムと判定されなくなるわけではありません)
まずは上記のYahoo!メールで届いているメールを開き、「詳細ヘッダ」を見てください。
上から4行目に
Received-SPF:
があります。SPFとは、Sender Policy Framework の略で、送信ドメイン認証の技術の一つです。
詳細はWikipediaでご確認ください。
http://ja.wikipedia.org/wiki/Sender_Policy_Framework
簡単に言えば、SPFを設定することによって、正規のDNSサーバーが、指定したIPアドレスから送信されたメールで、差出人アドレスを詐称していない(なりすましメール対策をしている)という証明が出来ます。
これはもう一つのドメインキーズと呼ばれる対策よりも、設定が簡単で、すぐに導入できます。
取りあえずこれだけでもスパム判定されることが減った事例も多いので、おすすめの対策です。
DNSのマスターのレコードファイルに以下のテキストを追加します。追加する場所はMXの下あたりで、どこでもいいと思います。
mail.設定するドメイン名. IN TXT ”v=spf1 +ip4:192.168.1.1 -all”
ドメイン名. IN TXT “v=spf1 +ip4:192.168.1.1 -all”
これで、192.168.1.1(=メールサーバーのIPアドレス)以外からは、メールを送りませんと宣言したことになります。
この設定をした後、DNSの変更が行き渡る数時間後に、Yahoo!メール等に自社かメールを送っていただくと、冒頭の挿入画像の「PASS」がでていると思います。ちなみに対策前は「none」と表示されています。
Gumblar対策
最近、大手サイトが感染したことで話題のガンブラーウィルスについてお問い合わせが増えてきましたので、まとめて報告いたします。
■主な特徴
Gumblarウイルスは、感染しているサイト(悪意あるスクリプトが埋め込まれている)を見に来たパソコンが知らない間に知らないサイトに誘導され、知らない間にウイルスに感染してしまいます。具体的には、iframeやJavascriptなどを使用して、別サイトのデータを読み込んでいます。ですので、閲覧者は一見、改竄されたサイトを見ているという意識はないはずです。
トレンドマイクロ等によると、Gumblarには、改竄されたサイト経由で感染する「TROJ_DROPR.GB」と、TROJ_DROPR.GBが感染先のパソコンに作成する「TSPY_KATES.SMOD」(Gumblarの本体プログラム)という2つがあるそうです。TSPY_KATES.SMODは、ユーザーがブラウザを起動して、アクロバットやFLASHなどのファイルを表示する時に起動されます。
このウイルスが起動すると、パソコン内にあるIDやパスワードが外部サーバーに送信されて、悪意ある者に盗まれることでホームページの改竄などが行われる仕組みとなっています。
FTPのログインパスワード等が盗まれた場合はそこに不正にログインされ、webサイトに不正なスクリプトが埋め込まれたり、webサイトの内容が改竄されるといった被害を受けます。
ここからは当社の見解です。
なぜ、FTPのIDやパスワードか盗まれるのかといえば、FTPのソフトの中で、これらのパスワードが暗号化されずに保存されているからだと思います。
FTPをしたことがある方ならご存じだと思いますが、FTP設定の中で、パスワード部分は、*****(アスタリスク)で保存されており、一見、暗号化されているような気がします。しかし、これは間違いで単純にアスタリスクで隠しているだけで実際は平文の状態で保存されます。たとえば、アスタリスクで隠してある文字を忘れてしまった場合、見えるようにする機能があるユーティリティも存在しています。
ちなみに平文で通信しているという点は、サイトのログインIDやパスワードを入れるときも同じで、SSL通信でない限り、アスタリスクで隠されていても、その筋のプロが盗み見を本気でやろうと思えば見える状態です。
同様にFTP通信も、平文ですので、FTP通信を盗み見してネット上に流れるIDとPASSを盗むことが可能です。
おそらく今後は、こうしたことのないSFTPのニーズが高まることが予想されます。
■感染したパソコンの症例
・CPU、メモリ使用率が上昇、動作が遅くなる
・Microsoft Updateやアンチウイルスベンダーへのサイトにアクセスできなくなる
・cmd.exe、regedit.exeが起動できなくなる
・explorer.exeがときどき異常終了
・ウイルス対策ソフトのパターンファイルが更新不能になる
■悪用される主な脆弱性
・Adobe Acrobat およびAdobe Reader の脆弱性
・Adobe Flash Player の脆弱性
・Microsoft Office の脆弱性
■対策・予防方法
【全てのパソコン】
・Adobe ReaderやFlash Playerなどを含むブラウザのプラグインの最新パッチを適用
・記述した覚えの無いJavaScriptやiframeタグ等がないかチェック
・使用しているパソコンが感染していないかチェック
(ウイルスチェックソフトでパソコン全体を「完全」スキャン)
【FTPを設定しているサイト管理者】
・webサイトを管理するパソコン(FTPのIDやパスワード等の情報を保持するパソコン)を限定する。
・FTP接続にIPアドレスによる制限をかける。hosts.allowに書き込みます。
■万が一感染しているPCが見つかった場合
・FTPやカードデータなどのIDやパスワード(個人情報)をそのパソコンで扱っている場合、
パスワードの変更や情報自体を削除。
・上記対策・予防方法を行う
■サーバーでの対策について
ガンブラーは、Windowsが対象です。
弊社サーバーで使用しているOSはLinuxで、随時弊社にて最新のセキュリティパッチをあてて脆弱箇所に対する処置を行っておりますため、 感染の報告はありません。
■ガンブラーを含むマルウェア全般におけるサイト改竄などの対策
ガンブラー(Gumblar)ウイルスなどのマルウェアは上記のような特徴がありますので、
「FTPサーバーに知らないパソコンからのアクセスが出来ないようにする」ことで
サイトの改竄を防ぐことが出来ます。
専用サーバーでは、設定したIPアドレス以外からのFTP接続を拒否することで、サイト改竄を防ぐことが可能です。
特定のIPアドレスからのみアクセスしたい
VPS及び専用サーバーのお客様で、指定したサービスに特定のIPアドレスのみアクセス許可したい場合は、以下のように設定します。
1.まず許可するIPアドレスを記述する
/etc/hosts.allow
をviなどで編集します。
# hosts.allow This file contains access rules which are used to
# allow or deny connections to network services that
# either use the tcp_wrappers library or that have been
# started through a tcp_wrappers-enabled xinetd.
#
# See ‘man 5 hosts_access’ and ‘man 5 hosts_options’
# for information on rule syntax.
# See ‘man tcpd’ for information on tcp_wrappers.
sshd : 123.123.123.123
vsftpd : 123.123.123.123 , 222.222.222.222
——————————
サービス名 : 許可したいIPアドレス の順で記述します。
許可したいIPアドレスが複数ある場合は、「, (カンマ)」区切ってで並べます。
2.拒否リストを記述する
/etc/hosts.deny
をviなどで編集します。
———————————-
#
# hosts.deny This [...]
専用サーバーのフィルタリングポリシー
WAN側フィルタリングポリシーは下記の通りです。
下記のポートのみが開いています。
20 ftp-data
21 ftp
22 ssh
25 smtp
53 domain
80 http
81 hosts2
110 pop3
123 ntp
143 imap
443 https
444 snpp
587 submission
1024 以降
