〔新機能〕POP3認証時の「認証接続ロックアウト機能」について

2016年12月7日公開の最新差分アップデートを適用するとEPSTPOP3Sバージョンがv4.37となります。EPSTPOP3S v4.36 以降で新機能としてPOP3認証時の「認証接続ロックアウト機能」が利用できるようになり、さらに v4.37 以降ではホワイトリストが指定できるようになりました。
このPOP3認証時の「認証接続ロックアウト機能」を使えば、たとえば外部からアカウントの不正利用やなりすまし、あるいは標的攻撃を目的とするような、POP3認証のID/パスワードを総当たりで何十何百通りも試された場合、その動きを早めにブロック、サーバ側で完全抑止することができます。メールサーバのセキュリティを大幅に高められると同時に、不用意にサーバ負荷が高まってしまうことを防止することにも役立ちます。

【基本機能と仕様】
  1. POP3認証時にID/パスワードが異なる理由で認証失敗、特定の同一IPアドレスからの接続回数が、レジストリ値"AuthLockOut"で設定された回数に達したとき、接続元IPアドレスと接続時間情報(シリアル値)を"rejectpopip.dat"という名前のファイルにテーブル情報として追記で記録します。"rejectpopip.dat"ファイルはプログラムインストールフォルダ内に自動生成されます。
  2. レジストリ値"AuthLockOutTime"で設定されたロックアウト期間=接続拒絶期間の間、POP3サービスは該当IPアドレスからの接続を一切拒絶し、接続時に強制切断します。
  3. 設定されたロックアウト期間=接続拒絶期間をすぎると、自動的に再度接続が可能となります。再接続後、正しいID/パスワードで認証できれば問題はありませんが、認証失敗を繰り返し、再び設定された回数に達すると、再度テーブル情報として追記で記録、同様の接続ロックアウト処理が繰り返されます。
  4. メールサーバ管理者が、記録されている"rejectpopip.dat"ファイルを編集し、記録された接続時間情報(シリアル値)部分をカット、接続元IPアドレスだけを残すと、該当IPアドレスからの接続は、永続的に拒絶されます。
  5. メールサーバ管理者が、記録されている"rejectpopip.dat"ファイルを編集し、記録された接続元IPアドレスおよび接続時間情報(シリアル値)部分を行ごと削除すれば、該当IPアドレスからの接続はリセット扱いされます。
  6. 以下のエラー応答で拒絶されたときにはこの機能の対象外であり、「認証接続ロックアウト機能」は働きません。
    (1) 接続しただけで切断したようなケース
  7. メールサーバ管理者が、記録されている"rejectpopip.dat"ファイルを編集し、接続を許可したい接続元IPアドレスを"true"指定する方法で該当IPアドレスからの接続を永続的に許可するようになります。(EPSTPOP3S v4.37 以降)(下記※参照)
【設定方法A】レジストリで設定する方法
  1. EPSTPOP3Sサービス停止。
  2. レジストリ値"AuthLockOut"でロックアウトまでの回数をDWORD値(10進)で設定。
      SYSTEM
      →CurrentControlSet
       →Services
        →EPSTPOP3S
         →AuthLockOut (DWORD) ロックアウトまでの回数
          (デフォルト=0:無効)例:10回→10
  3. レジストリ値"AuthLockOutTime"でロックアウト期間(分単位)をDWORD値(10進)で設定。
      SYSTEM
      →CurrentControlSet
       →Services
        →EPSTPOP3S
         →AuthLockOutTime (DWORD) ロックアウト期間:分単位
         (デフォルト=0:無限)例:30分→30
  4. EPSTPOP3Sサービス再開。
【設定方法B】Web管理ツールから設定する方法
  1. Web管理メニューから[システム管理メニュー]をクリック、[サービス制御]をクリックして表示される「サービス制御」画面から EPSTPOP3Sサービス停止。
  2. Web管理メニューから[システム管理メニュー]をクリック、[POP3受信詳細]を開き、「認証失敗ロックアウトまでの接続回数」を設定。設定値 "0" のときは認証ロックアウト機能は無効になっていることを表わしている。認証ロックアウトを有効にするには、"0" 以外の任意の回数、たとえば10回なら "10" を入力。
  3. 右にある「ロックアウト期間」を分単位で設定。設定値 "0" のときは認証ロックアウト期間無効=期間無制限を表す。設定するには、任意の分、たとえば30分なら "30" を入力。
  4. 最後に最下の[設定する]ボタンをクリック。
  5. Web管理メニューから[システム管理メニュー]をクリック、[サービス制御]をクリックして表示される「サービス制御」画面から EPSTPOP3Sサービス開始。
【"rejectpopip.dat"ファイル記録例】
    POP3認証接続の失敗が設定回数に達したものについて、プログラムインストールフォルダ内に自動生成される"rejectpopip.dat"ファイルへ以下の書式の通り記録されます。

    接続元IPアドレス[TABコード]接続時間情報(シリアル値)or 論理値
    -------------------------------------------------------
    200.100.xxx.xxx[TAB]131093276603370000
    210.110.xxx.xxx[TAB]131093277310880000
    220.120.xxx.xxx[TAB]    (→下記2.の書式例)
    192.168.xxx.xxx[TAB]true (→下記4.の書式例)
     :
     :
    -------------------------------------------------------
【使用上の注意】
  1. "rejectpopip.dat"ファイルは蓄積されていく一方ですので、ファイル肥大化に用心してシステム管理者がときどき目を配る必要があります。
  2. "rejectpopip.dat"ファイルを編集し、記録された接続時間情報(シリアル値)部分をカットし、接続元IPアドレスだけを残す操作は、システム管理者による手動操作か、自作ツールによるメンテナンスを前提とします。
  3. "rejectpopip.dat"ファイルを編集し、記録された接続元IPアドレスおよび接続時間情報(シリアル値)部分を行ごと削除する操作も、システム管理者による手動操作か、自作ツールによるメンテナンスを前提とします。
  4. "rejectpopip.dat"ファイルを編集し、接続元IPアドレスを許可するために"true"指定する操作は、システム管理者による手動操作か、自作ツールによるメンテナンスを前提とします。
このPOP3認証時の「認証接続ロックアウト機能」を使うには、2016年12月7日以降の最新差分アップデートを適用してください。これ以降の最新版には含まれています。さらに設定方法Bで紹介したWeb管理ツールを使う場合は、2017年12月20日に公開されたWeb管理ツールの最新差分の適用が必要になります。
最新版の製品パッケージには、これらの最新差分が適用済み状態で出荷されます。

[64bit版]
 ●E-Post Mail Server Standard (x64) 20161201差分 以降のもの
 ●E-Post Mail Server Enterprise II (x64) 20161201差分 以降のもの
 ◆Web管理CGIプログラム (x64) 20170908差分 以降のもの
[32bit版]
 ●E-Post Mail Server Standard 20161201差分 以降のもの
 ●E-Post Mail Server Enterprise II 20161201差分 以降のもの
 ◆Web管理CGIプログラム 20170908差分 以降のもの

(関連FAQ)
〔新機能〕POP3接続時の「IPロックアウト機能」について