〔新機能〕SMTP認証時の「認証接続ロックアウト機能」について

2016年12月7日公開の最新差分アップデートを適用するとEPSTRSバージョンがv4.94となります。EPSTRS v4.93 以降では新機能としてSMTP認証時の「認証接続ロックアウト機能」が利用できるようになり、さらに v4.94 以降ではホワイトリストが指定できるようになりました。
このSMTP認証時の「認証接続ロックアウト機能」を使えば、たとえば外部からアカウントの不正利用やなりすまし、あるいは標的攻撃を目的とするような、SMTP認証のID/パスワードを総当たりで何十何百通りも試された場合、その動きを早めにブロック、サーバ側で完全抑止することができます。メールサーバ・SMTPサーバのセキュリティを大幅に高められると同時に、不用意にサーバ負荷が高まってしまうことを防止することにも役立ちます。

【基本機能と仕様】
  1. SMTP認証時にID/パスワードが異なる理由で認証失敗、特定の同一IPアドレスからの接続回数が、レジストリ値"AuthLockOut"で設定された回数に達したとき、接続元IPアドレスと接続時間情報(シリアル値)を"rejectsmtpip.dat"という名前のファイルにテーブル情報として追記で記録します。"rejectsmtpip.dat"ファイルはプログラムインストールフォルダ内に自動生成されます。
  2. レジストリ値"AuthLockOutTime"で設定されたロックアウト期間=接続拒絶期間の間、EPSTRSサービスは該当IPアドレスからの接続を一切拒絶し、接続時に強制切断します。
  3. 設定されたロックアウト期間=接続拒絶期間をすぎると、自動的に再度接続が可能となります。再接続後、正しいID/パスワードで認証できれば問題はありませんが、認証失敗を繰り返し、再び設定された回数に達すると、再度テーブル情報として追記で記録、同様の接続ロックアウト処理が繰り返されます。
  4. メールサーバ管理者が、記録されている"rejectsmtpip.dat"ファイルを編集し、記録された接続時間情報(シリアル値)部分をカット、接続元IPアドレスだけを残すと、該当IPアドレスからの接続は、永続的に拒絶されます。
  5. メールサーバ管理者が、記録されている"rejectsmtpip.dat"ファイルを編集し、記録された接続元IPアドレスおよび接続時間情報(シリアル値)部分を行ごと削除すれば、該当IPアドレスからの接続はリセット扱いされます。
  6. 以下のエラー応答で拒絶されたときにはこの機能の対象外であり、「認証接続ロックアウト機能」は働きません。
    (1) 接続元がEHLO命令を出さないときの 503 5.0.0 Need EHLO before AUTH のエラー応答を返すケース。
    (2) SMTP認証を実施していないとき接続元から存在しないユーザーで試されたときの 550 5.1.1 xxxx ... User unknown. のエラー応答を返すケース。
    (3) 接続しただけで切断したようなケース
  7. メールサーバ管理者が、記録されている"rejectsmtpip.dat"ファイルを編集し、接続を許可したい接続元IPアドレスを"true"指定する方法で該当IPアドレスからの接続を永続的に許可するようになります。(EPSTRS v4.94 以降で追加実装)(下記※参照)
【設定方法A】レジストリで設定する方法
  1. EPSTRSサービス停止。
  2. レジストリ値"AuthLockOut"でロックアウトまでの回数をDWORD値(10進)で設定。
      SYSTEM
      →CurrentControlSet
       →Services
        →EPSTRS
         →AuthLockOut (DWORD) ロックアウトまでの回数
          (デフォルト=0:無効)例:10回→10
  3. レジストリ値"AuthLockOutTime"でロックアウト期間(分単位)をDWORD値(10進)で設定。
      SYSTEM
      →CurrentControlSet
       →Services
        →EPSTRS
         →AuthLockOutTime (DWORD) ロックアウト期間:分単位
         (デフォルト=0:無限)例:30分→30
  4. EPSTRSサービス再開。
【設定方法B】Web管理ツールから設定する方法
  1. Web管理メニューから[システム管理メニュー]をクリック、[サービス制御]をクリックして表示される「サービス制御」画面から EPSTRSサービス停止。
  2. Web管理メニューから[システム管理メニュー]をクリック、[SMTP受信詳細]を開き、「認証失敗ロックアウトまでの接続回数」を設定。設定値 "0" のときは認証ロックアウト機能は無効になっていることを表わしている。認証ロックアウトを有効にするには、"0" 以外の任意の回数、たとえば10回なら "10" を入力。
  3. 右にある「ロックアウト期間」を分単位で設定。設定値 "0" のときは認証ロックアウト期間無効=期間無制限を表す。設定するには、任意の分、たとえば30分なら "30" を入力。
  4. 最後に最下の[設定する]ボタンをクリック。
  5. Web管理メニューから[システム管理メニュー]をクリック、[サービス制御]をクリックして表示される「サービス制御」画面から EPSTRSサービス開始。
【ロックアウト記録されたIPアドレスを扱う"rejectsmtpip.dat"ファイル運用上のポイント】
  1. "rejectsmtpip.dat" ファイルは蓄積されていく一方であるため、システム管理者がときどき目を配り過去の古いロックアウト記録は行ごと削除などのメンテナンス作業を行う。
  2. ロックアウト記録がされたIPアドレスについて永続拒否をしたいとき→接続元IPアドレスだけを残し、接続時間情報(シリアル値)部分をカットする。(→下記B.の書式例)
  3. ロックアウト記録がされたIPアドレスについてリセットしたいとき→記録された接続元IPアドレスおよび接続時間情報(シリアル値)部分を行ごと削除する。
  4. ロックアウト記録がされたIPアドレスについて永続許可をしたいとき→接続時間情報(シリアル値)部分をカットし代わりに "true" を追記して保存する。(→下記D.の書式例)
【"rejectsmtpip.dat"ファイル記録例】
    SMTP認証接続の失敗が設定回数に達したものについて、プログラムインストールフォルダ内に"rejectsmtpip.dat"ファイルが自動生成され以下の通り記録されます。

    接続元IPアドレス[TABコード]接続時間情報(シリアル値)or 論理値
    -------------------------------------------------------
    200.100.xxx.xxx[TAB]131093276603370000
    210.110.xxx.xxx[TAB]131093277310880000
    220.120.xxx.xxx[TAB]    (→上記B.)
    192.168.xxx.xxx[TAB]true (→上記D.)
     :
     :
    -------------------------------------------------------
このSMTP認証時の「認証接続ロックアウト機能」を使うには、2016年12月7日以降の最新差分アップデートを適用してください。これ以降の最新版には含まれています。さらに設定方法Bで紹介したWeb管理ツールを使う場合は、2017年12月20日に公開されたWeb管理ツールの最新差分の適用が必要になります。
最新版の製品パッケージには、これらの最新差分が適用済み状態で出荷されます。

[64bit版]
 ●E-Post Mail Server Standard (x64) 20161201差分 以降のもの
 ●E-Post Mail Server Enterprise II (x64) 20161201差分 以降のもの
 ●E-Post SMTP Server Standard (x64)〔E-Post BossCheck Server (x64)〕20161201差分 以降のもの
 ●E-Post SMTP Server Enterprise II (x64) 20161201差分 以降のもの
 ◆Web管理CGIプログラム (x64) 20170908差分 以降のもの

(関連FAQ)
〔新機能〕SMTP接続時の「IPロックアウト機能」について