SRV-008 SMTP 서비스의 DoS 방지 기능 미설정

SRV-008 SMTP 서비스의 DoS 방지 기능 미설정

【 상세설명 】
네트워크 회선 용량 및 서버 처리 용량 초과로 인한 메일 서비스 거부 및 시스템 다운을 방지하기 위한 보안설정의 적정성을 점검

【 판단기준 】
- 양호 : SMTP 서비스의 DoS 방지 관련 설정이 적용된 경우
- 취약 : SMTP 서비스의 DoS 방지 관련 설정이 적용되지 않은 경우

【 판단방법 】
1. SMTP 서비스 설정 파일에서 DoS 방지 관련 설정 적용 확인

  ■ Linux, AIX, HP-UX, SOLARIS
    [ sendmail ] : DoS 방지 관련 설정 파라미터가 없거나 주석 처리된 경우 “취약”
    # cat /etc/sendmail.cf | egrep "MaxDaemonChildren|ConnectionRateThrottle|MinFreeBlocks|MaxHeadersLength|MaxMessageSize"
    # cat /etc/mail/sendmail.cf | egrep "MaxDaemonChildren|ConnectionRateThrottle|MinFreeBlocks|MaxHeadersLength|MaxMessageSize"
        O MinFreeBlocks=100
        #O MaxMessageSize=0
        #O MaxDaemonChildren=0
        #O ConnectionRateThrottle=0
        #O MaxHeadersLength=32768

    [ postfix ] : DoS 방지 관련 설정 파라미터가 “0” 으로 설정 되어 있는 경우 “취약”(없을 시 default 값 설정 적용)
    # cat /etc/postfix/main.cf | egrep "message_size_limit|header_size_limit|default_process_limit|local_destination_concurrency_limit|smtpd_recipient_limit"
        #local_destination_concurrency_limit = 2

    ※ postfix DoS 방지 관련 설정 default 값
        message_size_limit = 10240000
        header_size_limit = 102400
        default_process_limit = 100
        local_destination_concurrency_limit = 2
        smtpd_recipient_limit = 1000

    [ exim ] : DoS 방지 관련 설정 파라미터가 “0” 으로 설정 되어 있는 경우 “취약”(없을 시 default 값 설정 적용)
    # cat /etc/exim.conf | egrep "message_size_limit|header_maxsize|queue_run_max|recipients_max|recipients_max_reject"
    # cat /etc/exim/exim.conf | egrep "message_size_limit|header_maxsize|queue_run_max|recipients_max|recipients_max_reject"
    # cat /etc/exim/exim4.conf | egrep "message_size_limit|header_maxsize|queue_run_max|recipients_max|recipients_max_reject"
    # cat /etc/exim4/conf.d/*.conf | egrep "message_size_limit|header_maxsize|queue_run_max|recipients_max|recipients_max_reject"

    ※ exim DoS 방지 관련 설정 default 값
        message_size_limit = 100K
        header_maxsize = 1M
        queue_run_max = 5
        recipients_max = 50000
        recipients_max_reject = false

【 조치방법 】
1. SMTP 서비스 설정 파일에서 DoS 방지 관련 설정 적용
2. SMTP 또는 시스템 syslog 서비스 재시작
    ※ postfix 는 “postfix reload” 명령어로 설정 변경 적용 가능

2024-01-13 : (조치과정 삭제)