サービス拒否 (DoS) 攻撃やドメインハーべスティング攻撃 (DHA) は、メールサーバーに大量のスパムメールを送信する総当たり攻撃 (ブルートフォース攻撃) です。メールサーバーのメッセージログアクティビティが特定のレベルを超えた場合、PureMessage では「pmx」ユーザーに送信されるレポートを送信します。
pmx-mlog-watch ユーティリティはスケジュールジョブとして実行され、異常なアクティビティがないかどうか message_log を監視します。アクションが開始されるしきい値は「Local Services:Perimeter Protection Options」(ローカルサービス: 境界防御オプション) で設定します。異常が検出された場合、アクティビティを説明し、原因となった送信者またはリレーの情報を含むレポートが作成されます。このレポートは管理者 (デフォルトでは「pmx」ユーザー) へメール送信されます。また、このレポートは pmx-mlog-react などの別のプログラムで活用することも可能で「Blacklisted Hosts」(ブロックリストに含まれるホスト) と「Blacklisted Senders」(ブロックリストに含まれる送信者) のリストに含まれるエントリを作成できます。
ログ監視オプションを設定するには
-
必要に応じて「Log Watch Options」(ログ監視オプション) のテキストボックスを変更します。
以下のテキストボックスが表示されます。
- 「Scan Window (min)」(検索ウィンドウ (分)):PureMessage がログに異常がないかを検索する時間枠 (分)。たとえば、デフォルトの 30分を適用している場合、PureMessage は戻ってログを検索し、「Log Watch Options」(ログ監視オプション) での条件を超えるものがないかどうかを 30分間確認します。
- 「Max Lines」(行の最大数):一度に検索される行の最大数 (各行は 1つずつのメッセージに対応します)。これによって、多数のメッセージが受信されていながら、「Scan Window」(検索ウィンドウ) で指定されている値が大きい場合に、ジョブが必要以上に長く実行されないようにします。値が指定されている行数以上になった場合、pmx.conf 設定ファイル (デフォルトは pmx_log) の
log_to 設定で指定されたログに警告が書き込まれます。デフォルトは 10,000 行です。
- 「Max Recipients」(最大受信者数):送信リレーが一回の SMTP 処理で指定できる最大受信者数。この値以上になった場合、リレーを行う「Recipients」(受信者) のカウント数が増加します。デフォルトの受信者数は 50 です。
- 「Max Message Size (MB)」(最大メッセージサイズ (MB)):送信者がこの値以上のサイズのメッセージを送信した場合、送信者の「Message Size」(メッセージサイズ) のカウント数が増加します。デフォルトは 10MB です。
- 「Relay」(リレー):「Scan Window」(検索ウィンドウ) のテキストボックスで指定されている時間内に 1つのリレーから受信できるメッセージ数。リレーがこの値を超えるメッセージを送信した場合、レポートが生成されます。デフォルトは 5,000 メッセージです。
- 「Senders」(送信者):「Scan Window」(検索ウィンドウ) のテキストボックスで指定されている時間内に 1人の送信者から受信できる最大メッセージ数。送信者がこの値を超えるメッセージを送信した場合、レポートが生成されます。デフォルトは 5,000 メッセージです。
- 「Recipient」(受信者):「Scan Window」(検索ウィンドウ) のテキストボックスで指定されている時間内にカウント可能な最大受信者数。受信者のカウントが指定されている時間内に指定カウント数を超えた場合、レポートが生成されます。デフォルトは 5,000 です。
- 「Message Size」(メッセージサイズ):「Scan Window」(検索ウィンドウ) のテキストボックスで指定されている時間内に、指定されているメッセージサイズを超過できる最大メッセージ数。メッセージサイズのカウントが指定されている時間内に指定カウント数を超えた場合、レポートが生成されます。デフォルトは 5,000 です。
-
変更を実行後、「Save」(保存) をクリックします。
設定は/opt/pmx/etc/logwatch.conf に保存されます。
© 2017 Sophos Limited. All rights reserved.