フォーラムへの返信
-
投稿
-
気になるので調べました。
結論、移行前よりもセキュリティ設定を下げる事で送れました。
具体的にはメールサーバ(Postfix)のsmtp_tls_security_levelの値をdane → mayに引き下げています。
移行前からdaneが使われており、先方メールサーバのTLSポリシーに設定されたDNSSECのTLSAレコードエラーかなと思います。
mayに設定したことで先方TLSポリシーの通りDNSSECを用いて送るが、失敗しても送る、としています。
今は切り分けのために一時的にmayに下げていますが、切替前から設定値がdaneであったことからそのうち戻そうかと思います。
ただ、onetm-ml.comのアドレスへはgmailからも送れたのでこのままでも良い気もしていますが、切替前に比べて弱めるのが気になる上に「onetm-ml.com」以外ではTLSAエラーは出てないんですよね。。
ちょっとまた時間見て調べます。
ログ的には下記のようです。
メールサーバー的にはホスト名やIP以外の送受信のセキュリティ設定は全く同じなので特に変更点があるとは思えません。送信先ドメインでDNSSECに関わる問題があるように見えます。
ちょっと調べる時間が取れないのでまずは先方サービス側の状態も確認してみて下さい。
Jul 7 20:02:05 kagoya-m4 postfix/smtp[3070867]: warning: DANE TLSA lookup problem: Host or domain name not found. Name
service error for name=_25._tcp.onetm-ml.com type=TLSA: Host not found, try again
Jul 7 20:02:05 kagoya-m4 postfix/smtp[3070867]: warning: DANE TLSA lookup problem: Host or domain name not found. Name
service error for name=_25._tcp.onetm-ml.com type=TLSA: Host not found, try again
Jul 7 20:02:05 kagoya-m4 postfix/smtp[3070867]: warning: TLS policy lookup for onetm-ml.com/onetm-ml.com: TLSA lookup e
rror for onetm-ml.com:25<IfModule mod_security2.c>
SecRule REMOTE_ADDR “@ipMatch xxx.xxx.xx.xxx” “phase:1,id:200000001,nolog,allow”
SecRuleRemoveById 200000001
</IfModule>ではなく
<IfModule mod_security2.c>
SecRule REMOTE_ADDR “@ipMatch xxx.xxx.xx.xxx” “phase:1,id:200000001”
SecRuleRemoveById 200000001
</IfModule>でもダメですかね?
ちょっと今本業がバタついていて自分で検証できませんが、時間が取れる時期に触ってみます。
とりあえずこのトピックに関してはこのまま開けておきます。
mysql_upgradeを実行すると下記の様に必要無いと言われましたがmysql_upgrade –forceで実行しておきました。
This installation of MariaDB is already upgraded to 10.5.27-MariaDB.
There is no need to run mysql_upgrade again for 10.5.27-MariaDB.
You can use –force if you still want to run mysql_upgradeうーん、もはや分からないですね。ipMatchで除外できそうなものですが。
あとは、
<IfModule mod_security2.c>
SecRule REMOTE_ADDR “@ipMatch ^xxx.xxx.xx.xxx$” “phase:1,id:200000001”
SecRuleRemoveById “200000001”
</IfModule>という指定方法ですかね。
id:200000001はここでIDを新規に定義しているに過ぎないので何でも良いです。検証ありがとうございます。なるほど、なかなか思うようにいきませんね。
https://bobcares.com/blog/modsecurity-whitelist-ip/
ipMatchの方法ですが、上記URLにあるようにドットの前を¥でエスケープしてもダメでしょうか。
SetEnvIfNoCase による方法もそのサイトによると.htaccessに書けるようなのでModSecurityのバージョン問題なのかもしれません。
少なくともSecRuleは対応していそうですが。
https://github.com/owasp-modsecurity/ModSecurity/wiki/Reference-Manual-(v2.x)#user-content-ipMatch
–enable-htaccess-config – It will allow the follow directives to be used into .htaccess files when AllowOverride Options is set :
– SecAction
– SecRule– SecRuleRemoveByMsg
– SecRuleRemoveByTag
– SecRuleRemoveById– SecRuleUpdateActionById
– SecRuleUpdateTargetById
– SecRuleUpdateTargetByTag
– SecRuleUpdateTargetByMsg私もModSecurity2に不慣れですみません。
ちょっとホワイトリストの方法を検索していると下記のような方法が見つかりましたが如何でしょうか?
id:のところは許可するIDではなくここでIDを定義するようなので後ろの方の番号で適当に。
- 方法1
SecRule REMOTE_ADDR “@ipMatch xxx.xxx.xxx.xxx” “phase:1,id:200000001,nolog,allow” - 方法2
SetEnvIfNoCase REMOTE_ADDR ^xxx.xxx.xxx.xxx$ MODSEC_ENABLE=Off
どちらの方法も適当なIPを入れてみてもエラーが出ない事を確認しています。
IPによって検知OFFになっているかは未確認ですが、確認できる方法があるようでしたら試してみて頂ければ助かります。
うまくいくようならこのトピックの投稿を更新したいと思います。
[id “200003”]に関しては多くのユーザーで影響がありそうなので
/etc/httpd/conf.d/mod_security.conf
でコメントアウトして全体設定として除外するようにしました。
ご報告ありがとうございます。
すみません、よく考えるとSecRuleRemoveByMsgで指定するのは正規表現であるべきなようなので、
SecRuleRemoveByMsg “xxx.xxx.xxx.xxx” ではなく
SecRuleRemoveByMsg “xxx\.xxx\.xxx\.xxx” になるはずです。ドット(メタ文字)をバックスラッシュでエスケープです。お試しください。
SecRuleRemoveByMsg“xxx.xxx.xx.xxx”
ではなく
SecRuleRemoveByMsg “xxx.xxx.xx.xxx”
にしてもダメでしたか?スペースが無いように見えるので。
IPアドレスによる除外は対応していません。
未確認ですがもしかすると下記の設定で可能かもしれません。
メッセージ指定で除外なのでそこにIPアドレスを入れてみるという方法ですが、これが.htaccessで指定できるかは不明です。
SecRuleRemoveByMsg
あ、先日リリース前にModSecurity2をアップデートしたんですが、.htaccess制御ができるように自分でコンパイルしたモジュールに差し替えていませんでした。。
対応しましたので今は動作するかと思います。お手数をおかけしますが確認頂けますでしょうか。
色々抜けててすみません。
ご報告ありがとうございます。
PCRE limits exceededエラーが大量に出ていますね。
WAFによる検疫のボディサイズを超えているため検疫を諦めたという事のようなので、エラーが気になるようでしたら.htaccessで「id “942270”」などを検知除外にしてしまって下さい。
除外方法はこちらです。一応ModSecurity2のSecPcreMatchLimitを1000→2000にしてみましたので一旦様子を見てみて下さい。
あまり増やすとメモリを食いそうなのでまずは2000で。 - 方法1
