− APOP −

パスワード保護

− APOP ; qpopper2.2 −

・ APOPサーバ

(1) ディレクトリー作成

# mkdir /usr/local/bin/etc/popper

# chown pop.bin /usr/local/bin/etc/popper

# chmod 700 /usr/local/etc/popper

(2) APOPユーザDB作成

# /usr/local/bin/popauth -init

→ /usr/local/etc/popper/pop.auth.db

パスワード保護

− APOP ; qpopper2.2 −

・ APOPサーバ

(3) APOPユーザの登録

# /usr/local/bin/popauth -usr hiroshi Changing POP password for hiroshi New password: *******

Retype new password: ********

(4) APOPユーザの削除

# /usr/local/bin/popauth -delete hiroshi

・ APOPクライアント

POP→APOP、 APOPパスワード設定

APOP; Authenticated POP

IP address of esaki.nc.u-tokyo.ac.jp is 130.69.251.25 Socket 140 connection with port number 110 established

S: +OK QPOP (version 2.2-krb-IV) at esaki.nc.u-tokyo.ac.jp starting. <[email protected]>

C: APOP hiroshi dda5d5b82f4f6ac1d25adea125e170fa S: +OK hiroshi has 2 message(s) (4553 octets).

C: LIST

S: +OK 2 messages (4553 octets) S: 1 4553

S: .

C: RETR 1

S: +OK 4553 octets Receiving #1...

C: DELE 1

S: +OK Message 1 has been deleted.

C: QUIT

Remote host closed socket

電子メールシステムでのセキュリティー技術

• 電子メールシステムの概要

• メール関連のセキュリティー的な問題・対策

– ファイルアクセス権

– パスワード保護; APOP(qpoper)

–

不正使用

_{; SMTP}

サーバアクセス制御

– メール改竄; 暗号メール、ヘッダチェック – SPAMメール

不正使用

SMTP サーバアクセス制御

• SMTP サーバのドメインからのメールのみをメールの転送を受け付ける

(

/etc/sendmail.cf

)

– 送信元IPアドレス(Source IP address)

• 移動ホストからのアクセスをどう扱うか？ IPアドレスは、同じドメインのIPアドレスではない。

– From内の送信元メールアドレスのドメイン名

• なりすまし(Fromフィールドの改竄)への対処

不正使用

SMTP サーバアクセス制御

• 具体的な設定例； in

/etc/sendmail.cf – MAIL_RELAY_RESTRICTIONオプションの

設定

– 自サイトのIPアドレスまたはドメイン名の指定

MAIL_RELAY_RESTRICTION=yes

REJECT_SOURCE_ROUTE_RELAY=yes

LOCAT_HOST_IPADDR=/etc/sendmail.localip

LOCAL_HOST_DOMAIN=/etc/sendmail.localdomain

電子メールシステムでのセキュリティー技術

• 電子メールシステムの概要

• メール関連のセキュリティー的な問題・対策

– ファイルアクセス権

– パスワード保護; APOP(qpoper)

– 不正使用; SMTPサーバアクセス制御 –

メール改竄

暗号メール、ヘッダチェック

– SPAMメール

メールの改竄への対策

• 暗号・署名メール

– PGP、S/MIME、PEM、MOSS、KPS

– トランスポート(End-to-End)モード、トンネル (GW)モード

• メールヘッダのチェック

– Received：行 – Message-Id：行

電子メールシステムでのセキュリティー技術

• 電子メールシステムの概要

• メール関連のセキュリティー的な問題・対策

– ファイルアクセス権

– パスワード保護; APOP(qpoper)

– 不正使用; SMTPサーバアクセス制御 – メール改竄; 暗号メール、ヘッダチェック – SPAM

メール

SPAM メール・電子メール爆撃

• SPAM メール ; 電子メール版ダイレクトメール

– 語源：肉の缶詰。 TVコメディー番組での「SPAM」の連呼から転じた。

– SPAMメールを専門に引きうける業者の出現 – メールサーバを土台にしたSPAMメールの送信

• 電子メール爆撃

– 直接攻撃

– SPAM利用攻撃

– メーリングリスト悪用攻撃

SPAM メール・電子メール爆撃対策

• 送信元 IP アドレスの DNS による存在確認

• 外から入ってきて外に出て行くメールの拒絶

• メール中継の場合には、ヘッダにトレース情報をきちんと残す

• ML への投げ込みはメンバーのみに制限

• ML のメンバーリストの秘匿

• ML への自動登録には注意

ドキュメント内ネットワークセキュリティー (ページ 48-60)

パスワード保護

パスワード保護

− APOP ; qpopper2.2 −

パスワード保護

− APOP ; qpopper2.2 −

APOP; Authenticated POP

電子メールシステムでの セキュリティー技術

• 電子メールシステムの概要

• メール関連のセキュリティー的な問題・対策

不正使用

サーバ アクセス制御

不正使用

SMTP サーバアクセス制御

• SMTP サーバのドメインからのメールのみ をメールの転送を受け付ける

(

)

不正使用

SMTP サーバアクセス制御

• 具体的な設定例； in

電子メールシステムでの セキュリティー技術

• 電子メールシステムの概要

• メール関連のセキュリティー的な問題・対策

メール改竄

暗号メール、ヘッダチェック

メールの改竄への対策

• 暗号・署名メール

• メールヘッダのチェック

電子メールシステムでの セキュリティー技術

• 電子メールシステムの概要

• メール関連のセキュリティー的な問題・対策

メール

SPAM メール・電子メール爆撃

• SPAM メール ; 電子メール版ダイレクトメール

• 電子メール爆撃

SPAM メール・電子メール爆撃 対策

• 送信元 IP アドレスの DNS による存在確認

• 外から入ってきて外に出て行くメールの拒絶

• メール中継の場合には、ヘッダにトレース情報 をきちんと残す

• ML への投げ込みはメンバーのみに制限

• ML のメンバーリストの秘匿

• ML への自動登録には注意

電子メールシステムでのセキュリティー技術

サーバアクセス制御

• SMTP サーバのドメインからのメールのみをメールの転送を受け付ける

電子メールシステムでのセキュリティー技術

電子メールシステムでのセキュリティー技術

SPAM メール・電子メール爆撃対策

• メール中継の場合には、ヘッダにトレース情報をきちんと残す