着信IPを偽造することは可能ですか?
私のSMTPサーバーのIPアドレスをホワイトリストに登録して、そのIPから発信された接続の認証されていない電子メールをルーティングできるようにしたいと思います。私は他のIPを制御しているので、自分が送信したい電子メールのみがそのIPから送信され、それ以外からは送信されないことを確認できます。
その場合、誰かがこの設定を利用して、着信IPアドレスを偽装し、SMTPサーバーを第三者中継として使用できますか?
2つのサーバーの間に「オープンインターネット」があります。
IPスプーフィングは、IPアドレスを偽造するために使用される用語ですが、確立されたTCP接続を必要とするため、SMTP接続で達成することは非常に困難です。IPアドレススプーフィングは、送信ホストにトラフィックが戻ってくる必要があります。類推を使用して、私以外の返信アドレスのあるアドレスに手紙を送信すると、応答がありません-手紙の返信アドレスに送信されます。差出人を偽造していると誰とも連絡が取れない。
SMTPはTCPを使用します。TCPは2つのホスト間の接続を確立し、それらの間の情報の流れを制御します。スプーフィングされたIPアドレスを使用して接続を確立しようとするシステムは、TCP接続をセットアップできません。他のホストからのパケットは、IPアドレスを実際に所有するサーバーにルーティングされるためです。
誰かが2つの認証済みサーバー間のネットワークのポイントに自分自身を挿入できた場合、ネットワークアドレス変換を使用して、制御するサーバーからのパケットのソースIPアドレスを変更し、TCP =接続、ただし、これは非常に高度で非常にありそうもないことです。いずれの場合も、公開/秘密キーのペアを使用して送信ホストを確認することでこれを無効にすることができます。メールサーバーのIPアドレスをだましている誰かについて心配する必要はありません。 。
IPスプーフィング
はい、
これは IPスプーフィング と呼ばれます
ウィキペディアからの引用:
コンピュータネットワーキングでは、IPアドレススプーフィングまたはIPスプーフィングは、送信者のIDを隠す、または別のコンピューティングシステムになりすますことを目的とした、偽造されたソースIPアドレスを持つインターネットプロトコル(IP)パケットの作成です。
もちろん、パケットを再生してメールサーバーでDDOSを開始することはできますが、応答パケットはソースに到達しないため、完全なTCP=接続は機能しません(攻撃者が中央の1つのルーターに配置されている場合を除く)あなたと偽装されたIPの実際の場所の間。
しかし、別の方法で、メールヘッダーのIPを偽装することもできます。同じOriginからの2番目の引用を参照してください。
なりすましという用語は、ヘッダーの偽造、電子メールまたはnetnewsヘッダーへの虚偽または誤解を招く情報の挿入を指す場合にも使用されます。改ざんされたヘッダーは、メッセージの発信元に関して受信者またはネットワークアプリケーションを誤解させるために使用されます。これは、追跡されないようにメッセージの発信元を隠したいスパマーやスポージャーの一般的な手法です。
したがって、メール偽造のためのIPスプーフィングはいくつかの異なるレベルにありますが、それもまた可能性があります。
認証の手段としてIPアドレスを使用しようとしているようです。 GdDが言うように、IPスプーフィングは可能ですが、実際には、インターネット全体で difficult です。
ファイアウォールレベルでの制限は鼻を削減するのに適していますが、実際には、より具体的なコントロールと追加のコントロールレイヤーを実装する必要があります。しかし、レイヤーが多いほど、セキュリティ管理の変更/拡張のタスクが複雑になります。さらに、リモートIPアドレスに基づくアクセスは、コントロールが固定IPアドレスでのみ機能することを意味します。
実際に必要なセキュリティの程度と将来のニーズに応じて、NATを処理し、基本認証を提供するクライアント証明書を使用したVPNまたはSSLを検討することをお勧めします-および/またはSMTP AUTHを使用します。
前の回答で述べたように、SMTPは往復の交換であるため、IPが偽装されている場合、意味のあるSMTP会話を行うことができないことは明らかです。
ただし、サーバーがPIPELINING( http://tools.ietf.org/rfc/rfc2920.txt )をサポートしている場合、それがまだ当てはまるのでしょうか?
そのモードでは、すべてのコマンドが一度に送信され、マルチステップの会話でのネットワーク遅延の影響を軽減します。
シナリオでこれを悪用する方法があるかもしれません。