
SRV-008 SMTP 서비스의 DoS 방지 기능 미설정 
【 상세설명 】 
네트워크 회선 용량 및 서버 처리 용량 초과로 인한 메일 서비스 거부 및 시스템 다운을 방지하기 위한 보안설정의 적정성을 점검 
【 판단기준 】 
- 양호 : SMTP 서비스의 DoS 방지 관련 설정이 적용된 경우 
- 취약 : SMTP 서비스의 DoS 방지 관련 설정이 적용되지 않은 경우 
【 판단방법 】 
1. SMTP 서비스 설정 파일에서 DoS 방지 관련 설정 적용 확인 
  ■ Linux, AIX, HP-UX, SOLARIS 
    [ sendmail ] : DoS 방지 관련 설정 파라미터가 없거나 주석 처리된 경우 “취약” 
    # cat /etc/sendmail.cf | egrep "MaxDaemonChildren|ConnectionRateThrottle|MinFreeBlocks|MaxHeadersLength|MaxMessageSize" 
    # cat /etc/mail/sendmail.cf | egrep "MaxDaemonChildren|ConnectionRateThrottle|MinFreeBlocks|MaxHeadersLength|MaxMessageSize" 
        O MinFreeBlocks=100 
        #O MaxMessageSize=0 
        #O MaxDaemonChildren=0 
        #O ConnectionRateThrottle=0 
        #O MaxHeadersLength=32768 
    [ postfix ] : DoS 방지 관련 설정 파라미터가 “0” 으로 설정 되어 있는 경우 “취약”(없을 시 default 값 설정 적용) 
    # cat /etc/postfix/main.cf | egrep "message_size_limit|header_size_limit|default_process_limit|local_destination_concurrency_limit|smtpd_recipient_limit" 
        #local_destination_concurrency_limit = 2 
    ※ postfix DoS 방지 관련 설정 default 값 
        message_size_limit = 10240000 
        header_size_limit = 102400 
        default_process_limit = 100 
        local_destination_concurrency_limit = 2 
        smtpd_recipient_limit = 1000 
    [ exim ] : DoS 방지 관련 설정 파라미터가 “0” 으로 설정 되어 있는 경우 “취약”(없을 시 default 값 설정 적용) 
    # cat /etc/exim.conf | egrep "message_size_limit|header_maxsize|queue_run_max|recipients_max|recipients_max_reject" 
    # cat /etc/exim/exim.conf | egrep "message_size_limit|header_maxsize|queue_run_max|recipients_max|recipients_max_reject" 
    # cat /etc/exim/exim4.conf | egrep "message_size_limit|header_maxsize|queue_run_max|recipients_max|recipients_max_reject" 
    # cat /etc/exim4/conf.d/*.conf | egrep "message_size_limit|header_maxsize|queue_run_max|recipients_max|recipients_max_reject" 
    ※ exim DoS 방지 관련 설정 default 값 
        message_size_limit = 100K 
        header_maxsize = 1M 
        queue_run_max = 5 
        recipients_max = 50000 
        recipients_max_reject = false 
【 조치방법 】 
1. SMTP 서비스 설정 파일에서 DoS 방지 관련 설정 적용 
2. SMTP 또는 시스템 syslog 서비스 재시작 
    ※ postfix 는 “postfix reload” 명령어로 설정 변경 적용 가능 
2024-01-13 : (조치과정 삭제)
'인프라 진단 > 전자금융기반시설(서버) - Linux' 카테고리의 다른 글
| SRV-009 SMTP 서비스 스팸 메일 릴레이 제한 미설정 (0) | 2024.01.01 | 
|---|---|
| SRV-007 취약한 버전의 SMTP 서비스 사용 (0) | 2024.01.01 | 
| SRV-006 SMTP 서비스 로그 수준 설정 미흡 (0) | 2024.01.01 |