Tweet

第4回 メールサーバ防御でも忘れてはならない「アリの一穴」

　第3回まではApacheに関するセキュリティ設定について紹介させていただいた。第4回となる今回は、Sendmailについてのセキュリティ設定である「バナー隠ぺいに関する3つの方法」と「メールコマンド制御による情報制限」の2点を紹介しよう。

　稼働中のサービスの種類やバージョンなどを知らせるバナー情報について第1回で取り上げたところ、読者より非常に大きな反応があった。Sendmailについて解説する前に、バナー隠ぺいについての筆者の考えを述べさせていただきたい。

　バナーを隠ぺいすることの狙い

　「バナーを隠ぺいすることはセキュリティ設定と呼べるのかどうか？」「 バナーの隠ぺい設定は行うに値することかどうか？」

　これは、かなり前からセキュリティのコミュニティだけにかかわらず各所で議論されてきた話題だろう。

　第1回でも説明したように、筆者はバナー情報は隠ぺいすべきであるというスタンスを取っている。ただし、バナーを隠ぺいすることによってセキュリティ対策において完ぺきであるということをいうつもりではない。

　バナー隠ぺいを行う前に行っておくことはたくさんある。「強固なパスワード設定」「アクセス制御の実施」「修正プログラムの適用」……すべて、優先度の高い対策である。バナー情報が取得できるという指摘は、ペネトレーションテストにおいて対策優先度は低めのものであり、脆弱性スキャナなどでは、「Lowリスク」や「インフォメーション」として報告されるものである。

　筆者はペネトレーションテストでの報告会では以下のような報告をしている。言葉足らずの部分もあるかもしれないが、筆者の考え方、スタンスを読み取っていただければ幸いである。

　それでは、今回の本題に入ろう。

　Sendmailのバナー隠蔽に関する3つの方法

　Sendmailのバナー取得方法はApacheよりも多く、次の3つの経路から取得可能である。

（1）Sendmail接続時のグリーティングメッセージ
（2）HELPコマンド実行時
（3）メールヘッダの中身

　取得経路が3つあるということは対策も同じく3つある。それらを順番に見ていこう。

1/3

Index
メールサーバ防御でも忘れてはならない「アリの一穴」
	Page1 バナーを隠ぺいすることの狙い Sendmailのバナー隠蔽に関する3つの方法
	Page2 対策1：Sendmail接続時のグリーティングメッセージの隠ぺい 対策2：HELPコマンド実行時 対策3：メールヘッダの中身 Webサーバだけではなく、Sendmailの対策も忘れずに
	Page3 メールコマンド制御による情報制限 メールコマンドで情報を漏らさないための対策 セキュリティとは“鎖”のようなもの

セキュリティ対策の「ある視点」 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード