キッカケはSPAMメール

ここ最近、hanmail.netという韓国のSPAMがくる。このhanmail.netは、天災の管理しているドメイン内宛だけでなく、不正中継を想定した任意の第三者宛のメールも送ってくる。

天災の環境では、不正中継はできない。メール送信には認証が必要なので、存在しないユーザ名やパスワードでの発信はエラーする。また、管理しているドメイン内宛で（ユーザ名が無いなど）宛先不明のメールがあると、管理者宛にその旨通知メールを出すメールシステムである。

で、管理者である天災宛に30秒に一通の割合で、16時間連続でエラーメールが来たので、hanmail.netからのメールをフィルタしようとした。

発信アドレスを調べると、hanmail.netはボットを利用しているようで、210.xxx.xxx.xxxとか203.xxx.xxx.xxxなど、韓国や中国の複数のISP管理のアドレスから届く。 それら全てを、V110MのIPフィルタではねる設定を投入した。

ところがである。これが利いていない。まだまだ、SPAMメールがメールサーバに届き、ウザいえらーメッセージが天災の受信箱に届く。

どうやら、NAPT・NATのポートフォワーディング設定をしていると、IPフィルタの対象外らしい

これに気づいて、ＮＴＴ東日本フレッツ・サポートセンタに電話とwebのフォーム、両方を利用して質問した。

結果はこちらが想定した通りで、

• NAPT・NATのポートフォワーディング設定をしていると、IPフィルタの対象外

これらが何を意味するかというと、

• ・ポートフォワーディングがIPフィルタより優先するので、 攻撃者の発IPがわかっている場合でも、 httpのDDOS攻撃やSAPMメールに対して、 攻撃者である任意のホストのみを排除することができません。
• ・ポートフォワーディングがIPフィルタより優先するので、 インターネットへhttpサーバやMailサーバを公開している場合、 httpのDDOS攻撃やSAPMメールにさらされることとなります。
• ・ポートフォワーディングがIPフィルタより優先するので、 httpのDDOS攻撃やSAPMメールが嫌なら インターネットへのサービス提供をあきらめることになります。

どうにか、早急に改善したファームを公開してくれ

このページを見ているNTT東日本の人たちは、
  「僕には関係ない事さ。」
なんて言っていないで、V110Mの担当部署に働きかけてくれよね。

多分、ポートフォワーディングがIPフィルタより優先する、何てこと気づいていないんじゃないかな！

サービス公開前提のNAPTの仕様を実装しても、サービス公開なんてこと経験無くて、IPフィルタの利かない・開けっ放しの仕様が、どんなにとんでもないことだか、想像できなかったんだろうね。

R小隊長・Tハラさん・Sもとさん・H林さん、お願いしますよ