Category: Network

IPv4なsendmail拒否ります

イミフなタイトルですみません😓

ここ数年,MTAのいくつかのポートを全開にしておくと,たまに同じIPアドレスからメール送信や認証をしようといる不正アクセスがあります.まあ,日に数件で脅威というほどではありません.IPアドレスはたまに変わりますがしばらくは一定なのでブラックリストに登録すればしばらく攻撃されません.

一方,いろんなIPアドレスから日に数百件不正アクセスを試みる攻撃があります.これはなかなか扱いにくく,不正アクセスをしてきたIPアドレスをブラックリストに登録しても別のIPアドレスから攻めてくるのでただただブラックリストが肥大化するだけで効果がありません.

そこで考えたのですが,自分の管理するMTAに来るまともなメールは知れているので,IPv4を閉じてしまうことです.まれにIPv6からの攻撃もありますが,ほとんど数百に1つという感じです.まあIPv6も扱えない低脳攻撃者と言うことです.

その設定をしておくとさすがに攻撃元も徒労と気がつくのかしばらく(数か月)攻撃が止みますので,またもとのIPv4のMTAもオープンな設定にします.

先ほどまでそのオープンな状態だったのですが,ログを見ると2日前から,いろんなIPから攻めてくる攻撃が始まっていましたので,またIPv4を閉じました.

もし当サイトへの直通メールを送る方はIPv6で送って下さい

これだけでやりかたが分かる人はすごいと思います😓

PontaWebに “第三者” がログイン

表記のようなメールがPontaWebの認証を司るリクルートから来て,ログイン履歴を調べてみました.

ログが残っている2024年10月から執拗ではなく,数日に一度 “本人確認” という認証方法でPontaWebにアクセスがかけられています.

アクセス元はいろいろなIPアドレスからですが,hostコマンドで確認するとどれもamazonawsです.

さて,これはPontaポイントを確認するロボットだろうと推定しました.

そういうロボットに心当たりはあります.MoneyTreeです.しかし,Pontaポイントには痛い目に遭ったのでここ数年使用しておらず,MoneyTreeからもアカウントを削除してあります.アカウントを削除してもしばらくアクセスし続けるということは設計上有り得そうです.しかし何年も前に削除したアカウントについてアクセスを続けるというのは感心できません.

さて,Pontaポイントに関するログインアカウントはリクルートに一本化されたのですが,今回の一件で脆弱性が露見しました.

リクルート本体は2段階認証をしていて,まず不正ログインは有り得ません.一方PontaWebに関しては,リクルート本体と同じID/パスワードを使っての認証が普通で,その場合前述のログイン履歴には「ログイン」と示されます.2段階認証の設定はできません.

本体が2段階認証なのに,子どものサイトが1段階の認証だけというのは何とも心もとないです.

それに加えて,PontaWebには「本人確認」という認証方式があります.これは,ななんと,「パスワードのみ入力する認証方式」だそうです.パスワードには他人との一意性はもとめられていないから違うかも知れませんが,リクルートのサイトにはそのような説明があります.

本体が2段階認証でもこれではどうしようもないなあと思った次第です.

ちなみに,前述のメールの勧めに従ってリクルートのサイトのパスワードを変更したところ,以後PontaWebでの「本人確認」によるログインの成功は記録されていません.

その後もネットが速くてすみません

今日,インターネット接続って電気ガス水道と同じで普通に使えてあたりまえ,空気と同じ,という感じですね.

しかし,インターネット接続に関しては2019〜2022年の3年間,10Mbpsを割り込むようなことがたまにではなくそれこそ1週間に何日も起こるような劣悪なインターネットプロバイダーを利用せざるを得ない状況に耐え続けました.

家族はそのスピードの不満だけ(とはいえ在宅勤務をする家族には深刻な問題でしたが)ですが,筆者にとってはIPv6がまともに使えないという2重苦でした.

一昨年ようやく劣悪プロバイダーと無料で解約できる期間になりさっそく解約してかつて利用したうちでスピードが速くIPv6も使えるNuroと契約しました.

それから2年が経ち今後はキャッシュバックもないのでかつてのマインドでしたらキャッシュバック目当てにプロバイダーを変えるとことでしたが,少なくとも今回は変えないことにします.

日曜日の朝のたぶんネット的には閑散期だと思いますが,Fast.comではこんなスピードが出ます.

NuroのONU+お仕着せルーター→1Gbps 8ポート HUB経由で,Mac mini late 2012 (OCLP + SequoiaのSafari)で測定しました.家庭内LANは1Gbpsなので,この計測結果はかなり盛ってますね.

ちなみに,iPhone 14のSafariで測定したのがこちらです.Deco X60のWi-Fi 6も十分活かされていると思います.

これもかなり盛られた結果ではあると思います.

インターネットアクセスのスピードが速いことのありがたみをかみしめつつ毎日暮らしていきたいと思います.

ThunderbirdがDovecotに繋がらなくなった件 (解決済み)

自前のサーバーで動くLet’s Encryptの証明書をupdateしてからどうもクライアントであるThunderbirdの挙動がおかしくなりました.

TLSのimap (=imaps)でつないでいます.ログインはできて新着メールは読めるのだけれど読んだメールをサブディレクトリーに移そうとしてもうまく操作ができません.

Appleの iOSやmacOSの “Mail” では正常に動作します.

サーバーのログを見ると,

というのがあり,たぶんこれだと思います.ネット検索した所,どうもDovecotのSSL/TLS設定が良くなかったようです.これまで,/etc/dovecot/conf.d/10-ssl.confのssl_certの設定は,

ssl_cert = </etc/letsencrypt/live/FQDN/cert.pem

としていました.これでこれまでAppleの “Mail” (iOS, macOS)もThunderbirdもつながっていましたが,

ssl_cert = </etc/letsencrypt/live/FQDN/fullchain.pem

としないといけないようです😅

これで,サーバーのDovecotのログにエラーは出ず,Thunderbirdも正常にサブフォルダーをアクセスできるようになったようではあります.

しかし,違うマシンのThunderbirdでアクセスすると見えないサブフォルダーが存在するなど今いち動作の信頼に欠けます.

Distroによっては番号が違う場合があります.