작은 행복을 위한 시

--

메일 서버를 세팅하고 테스트를 하는데,
다음메일 수신자들이 메일 수신이 잘 안된다고 한다.
그리고 스팸 처리가 많이 된다고 한다.

보통 메일서버 구축시 해당 아이피를 KISA RBL에 등록해 주고, SPF 정도만 제대로 작성해 주면 스팸 처리되는 경우는 아주 드물다.
그런데 유독 다음메일에서 스팸처리가 되고 있는 것이었다.

참고: KISA RBL - 예전에는 업체등록을 하고 아이피를 별도로 등록을 해 주어야 했는데,
               최근에는 등록절차가 변경되었는지 SPF에 등록된 아이피가 자동으로 등록되었다고 한다.

다음고객센터에 문의하였고 아래와 같은 답변을 받았다.

안녕하세요, 고객님.
Daum 고객센터입니다.

문의해 주신 도메인을 확인해 보니PTR 레코드가 등록되어 있지 않습니다.

PTR 레코드: IP를 통해 도메인을 확인하기 위해 네임서버에 등록하는 레코드

최근 국내외 메일 서비스 제공 업체에서는
스팸을 차단하고 안전한 메일 서비스 제공을 위해
SPF레코드를 포함한 PTR 레코드 등록을 권하고 있습니다.

안정적인 메일 송수신을 위해 도메인의 PTR 레코드 설정을 해주시길 권해 드립니다.

PTR 레코드는 메일 서버 IP를 관리하는
ISP(Internet Service Provider)업체 또는
이용하시는 호스팅 업체에 문의하여 등록하실 수 있습니다.

그래서 메일서버의 PTR 레코드를 등록해 주었고,
메일 전달 문제는 해결되었다.

PTR 레코드를 등록하는 방법은 다음 게시물에서 알아보자.

#다음메일스팸 #스팸 #PTR레코드 #DNS #네임서버
#고맙습니다.
#나는된다잘된다
#나는날마다모든면에서점점더좋아지고있다

--

--

Image by Pete Linforth from Pixabay

지난 UDP 53포트 과다 접속 에서 
iptables 제한 부분을 적용하려고 했더니 오류가 나서 적용이 안되었다.

아래와 같이 적용하면 문제없이 적용이 된다.

iptables -I INPUT -p udp --dport 53 -m state --state NEW -m recent --set
iptables -I INPUT 2 -p udp --dport 53 -m state --state NEW -m recent   --update --seconds 1 --hitcount 10 -j DROP

결과를 보면 아래와 같이 DROP이 발생하는 것을 확인할 수 있다.

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

 3087  190K            udp  --  *      *       0.0.0.0/0            0.0.0.0/0
        udp dpt:53 state NEW recent: SET name: DEFAULT side: source
   78  5616 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0
        udp dpt:53 state NEW recent: UPDATE seconds: 1 hit_count: 10 name: DEFAULT side: source


#DNSAttack #DNSFlood #네임서버 #해킹공격

--

업데이트(21.05.22) - UDP 53 포트(DNS) 접속 제한 참고

갑자기 네트워크 트래픽이 늘어나는 것을 확인했다.
스위치의 각 포트를 확인하여 해당 서버를 확인했다.
해당 서버의 부하나 트래픽은 큰 문제가 없어 보였다.
혹시나 해서 UDP 트래픽을 확인해 보니 역시나 UDP가 문제였다.

이것은 DNS Flood Attack (DNS Flooding)이라는 공격 방법으로 네트워크에 부하를 유발한다.

처리 방법은 
1. named에서 recusion no; 설정
2. iptables 제한
   

(53번 포트로 1초에 10번 이상 접속시도 차단) 
iptables -A INPUT -p udp -m udp –dport 53 -m state –state NEW -m recent –set –name DNS –rsource 
iptables -A INPUT -p udp -m udp –dport 53 -m state –state NEW -m recent –update –seconds 1 –hitcount 10 –rttl –name DNS –rsource -j DROP 
iptables -A INPUT -p udp -m udp –dport 53 -j ACCEPT 

으로 처리가 가능하다고 한다.

[참고사이트]
dns 해킹 공격 관련
https://idchowto.com/?p=1827

기존에 2대의 BIND 서버를 운영 중.

3번째 name server는 PowerDNS로 운영하기로 결정

    - 필요한 고객에게 name server 설정 변경 인터페이스 제공 가능

    - shell에 익숙하지 않은 관리자도 name server 설정 가능

오랫동안 BIND와 ZONE 파일로 운영을 하다 보니 이게 더 편하기는 하다. (익숙함)

설치 완료 후 기존 ZONE data 이전 완료.

[참고사이트]

How To Install PowerDNS on CentOS 6.3 x64 | DigitalOcean

https://www.digitalocean.com/community/tutorials/how-to-install-powerdns-on-centos-6-3-x64

https://github.com/poweradmin/poweradmin

Migrating to PowerDNS - PowerDNS documentation

https://doc.powerdns.com/md/authoritative/migration/