タール坑 (tarpitting; Teergrubing)、その他の検査

| コメント(0) | トラックバック(0)

tarpitting (Teergrubing) については、 Postfix ではさほど凝ったことはできない。 まあどうせ「いやがらせ」程度の効果しかないし (dictionary attack はかなり抑止できるが)。

あと、こまかな RFC2821/2822 違反のチェックなど。

main.cf:

 1|smtpd_soft_error_limit = 3
 2|smtpd_error_sleep_time = 20s
 3|smtpd_hard_error_limit = 10
 4|strict_rfc821_envelopes = yes
 5|disable_vrfy_command = yes
 6|smtpd_client_restrictions = ...,
 7|  reject_unauth_pipelining,
 8|  ...
 9|smtpd_recipient_restrictions = ...,
10|  reject_multi_recipient_bounce,
11|  ...

1-3: tarpitting

  • セッション中、5xx か 4xx 応答が 3 回 (既定値 10 回) 発生した場合、 以降の応答には 20 秒 (既定値 1 秒) の遅延をはさむ。 10 回 (既定値 20 回) 発生したら接続を切る。
  • smtpd_soft_error_limit と smtpd_hard_error_limit はもっと小さくしてもいいかも。極端な話、smtpd_soft_error_limit は 1 でもいい。 smtpd_soft_error_limit < smtpd_hard_error_limit であること。
  • 注意: smtpd_error_sleep_time は極端に大きくしないほうがいい。

4: envelope sender が不正な形式であれば拒否する。

  • 注意: MX で設定するのは問題ないが、 smart host (サイト内ユーザがメール発信に使うホスト) だと問題が生じるかもしれない。変な envelope sender をつけて メールを発信する MUA があるかもしれないから。

5: VRFY は禁止。

7: いわゆる「同期エラー」が発生したら拒否。

10: bounce (envelope sender が <>) が複数の recipient を含むことはありえない。そういうものは拒否。

トラックバック(0)

トラックバックURL: http://hatuka.nezumi.nu/cgi-bin/mt/mt-tb.cgi/16

コメントする

このブログ記事について

このページは、Hatuka*nezumiが2005年6月12日 20:55に書いたブログ記事です。

ひとつ前のブログ記事は「spam排除: ヘッダ検査による拒否」です。

次のブログ記事は「平方根」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。