〔新機能〕SMTP接続時の「IPロックアウト機能」について updated!

E-Postシリーズに従来から実装されていた接続ロックアウト機能について、DDos攻撃のような連続無差別攻撃に対して有効なセキュリティ対策を強化するため、SMTP認証接続時の認証接続ロックアウト機能に加える形で、新たにIPロックアウト機能が追加されました。
IPロックアウト機能では一定の時間(サンプリング間隔)の間に設定回数以上の連続した接続に対し、設定されたロックアウト時間の間、接続を拒絶します。このIPロックアウト機能により、特定のIPアドレスから繰り返されるDDos攻撃のような連続無差別攻撃に対しても、接続そのものを自動的に遮断できるようになります。その結果、サーバーの負荷を高めずにセキュリティ対策を強化できます。IPロックアウト機能を使用するには、以下を参照してください。
このIPロックアウト機能は、2019年6月20日に公開された最新差分アップデートでSMTPサービスに実装されています。機能を使うには20190606差分以降の最新差分アップデートの適用が必要です。

【基本機能と仕様】
  1. SMTP接続時の「IPロックアウト機能」は、レジストリ設定でキーを設定します。
  2. SMTP接続時に "IPLockOutSPTime" で設定される一定の時間(サンプリング間隔)の間に "IPLockOut" で設定される設定回数以上の連続接続に対し、"IPLockOutTime" で設定されたロックアウト時間の間、接続を拒絶します。SMTP接続時に特定の同一IPアドレスからの接続回数が設定された回数に達したとき、接続元IPアドレスと接続時間情報(シリアル値)をプログラムインストールフォルダ内に自動生成される "rejectsmtpip.dat" ファイルにテーブル情報として追記で記録します。右端に表記される "iplock" はIPロックアウト機能による拒絶の目印となります。
  3. "rejectsmtpip.dat" ファイルはプログラムインストールフォルダ(既定値 C:\Program Files\EPOST\MS\)内に自動生成されます。設定ファイル "rejectsmtpip.dat" はメールサーバ管理者がダイレクトにメモ帳などのエディタで開いてください。
  4. "IPLockOutTime" で設定されたロックアウト期間=接続拒絶期間の間、EPSTRSサービスは該当IPアドレスからの接続を一切拒絶し、接続時に強制切断します。これにより認証までに至らないSMTP接続のDDos攻撃に対して強力な威力を発揮します。
  5. "IPLockOutTime" で設定されたロックアウト期間=接続拒絶期間をすぎると、自動的に再度接続が可能となります。再び "IPLockOutSPTime" で設定される一定時間(サンプリング間隔)の間に "IPLockOut" で設定される設定回数以上の連続接続があると、再度テーブル情報に記録、同様の拒絶動作が繰り返されます。
  6. メールサーバ管理者が "rejectsmtpip.dat" ファイルを編集し、記録された接続時間情報(シリアル値)部分をカット、接続元IPアドレスだけを残すと、該当IPアドレスからの接続は、永続的に拒絶されます。
  7. メールサーバ管理者が "rejectsmtpip.dat" ファイルを編集し、記録された接続元IPアドレスおよび接続時間情報(シリアル値)部分を行ごと削除すれば、該当IPアドレスからの接続はリセット扱いされます。
  8. メールサーバ管理者が "rejectsmtpip.dat" ファイルを編集し、接続を許可したい接続元IPアドレスを "true" 指定する方法で該当IPアドレスからの接続を永続的に許可するようになります。
【設定方法】
    IPロックアウト機能を使用するには、下記のレジストリ設定で機能が有効に働くようになります。
  1. EPSTRSサービスを停止します。
  2. [SMTP接続時の「IPロックアウト機能」のレジストリ設定]
     HKEY_LOCAL_MACHINE
     ->SYSTEM
      ->CurrentControlSet
       ->Services
        ->EPSTRS
         ->IPLockOut (DWORD) 指定時間内でのIP毎の同時接続可能数 デフォルト 0:制限無し
         ->IPLockOutSPTime (DWORD) サンプリング間隔(秒単位) デフォルト 0
         ->IPLockOutTime (DWORD) ロックアウト時間(秒単位) デフォルト 0
  3. IPLockOut は指定時間内でのIP毎の同時接続可能数を意味します。任意回数(例・10[回]とか30[回]など)をDWORD値(10進)で設定します。
    合わせて IPLockOutSPTime のサンプリング間隔設定(例・1[秒]など)をDWORD値(10進)で設定します。
    ロックアウト時間の IPLockOutTime は上2つの条件判定によるロックアウト時間をDWORD値(10進)で設定します。(例・300[秒]とか60[秒]など)。
  4. 設定が終わったらEPSTRSサービスを再開します。
  5. IPロックアウト機能で拒絶された情報は、"C:\Program Files\EPOST\MS\rejectsmtpip.dat"内に次の順で記載されテーブル情報の形でデータ蓄積されます。
    このファイルはSMTP認証接続時の認証接続ロックアウト機能と共用です。"iplock"はIPロックアウト機能による拒絶の目印となります。
    接続元IPアドレス[TAB]接続時間情報(シリアル値)[TAB]iplock
  6. データは蓄積されていく一方ですので、ある程度日数が経過した古いテーブル情報は削除する、同一IPアドレスからの接続は一つにまとめシリアル値部分をカットすることにより永続的拒絶とするなど、システム管理者が定期的に手動で整理する必要があります。
  7. このSMTP接続時の「IPロックアウト機能」を使うには、20190606差分以降の最新差分アップデートを適用してください。
    [64bit版]
     ●E-Post Mail Server Standard (x64) 20190606差分 以降のもの
     ●E-Post Mail Server Enterprise II (x64) 20190606差分 以降のもの
     ●E-Post SMTP Server Standard (x64)〔E-Post BossCheck Server (x64)〕20190606差分 以降のもの
     ●E-Post SMTP Server Enterprise II (x64) 20190606差分 以降のもの
     ◆Web管理CGIプログラム (x64) 20190209差分 以降のもの
    [32bit版]
     ●E-Post Mail Server Standard 20190606差分 以降のもの
     ●E-Post Mail Server Enterprise II 20190606差分 以降のもの
     ●E-Post SMTP Server Standard〔E-Post BossCheck Server〕20190606差分 以降のもの
     ●E-Post SMTP Server Enterprise II 20190606差分 以降のもの
     ◆Web管理CGIプログラム 20190209差分 以降のもの
(関連FAQ)
〔新機能〕SMTP認証時の「認証接続ロックアウト機能」について