MDaemonのアカウントセキュリティ

MDaemonで管理しているアカウントのセキュリティ対策

ハイジャックアカウント検出

MDaemonアカウントセキュリティ

MDaemonに搭載されている、不正利用されていると思われるアカウントを一時的に無効化する、ハイジャック検出機能を、MDaemon15ではより使いやすくアップデートしました。ハイジャックアカウントは、指定時間の中で大量のメール送信をしようとするアカウントを、「不正利用されているアカウント」として制御しますが、接続元IPアドレスが、予約済IP・ローカルIP・それ以外のIP、のどれに該当するかによって、時間やメール本数の閾値設定をそれぞれ行えるよう改良しました。

アカウントが無効化された時には、postmasterへその旨のメールが送られ、そのメールへ返信するとアカウントは再度有効化されます。ただし、メッセージの大量送信がその後も続いた場合には、アカウントは再度無効化されます。この処理によって無効にされたアカウント宛てのメールは変わらず受信できますが、そのアカウントでのWebメールやWeb管理画面にはログインできず、メールクライアントでのメール送受信はできません。ハイジャックされたアカウントの検出、認識、停止するという処置をとることで、Postmasterは状況の把握や見直しといった対策が行えるようになります。


ユーザーパスワードの安全性チェック

エンドユーザーがメール受信時に使用するパスワードの強度が十分かどうかをMDaemonから確認する事ができます。

ユーザーのパスワードが安全でなかった事からサーバーが不正利用されてしまう事例は数多くあり、安全ではないパスワードを事前に確認し、変更を促す事で、不正利用に対するリスクを事前に回避する事ができます。安全かどうかの閾値設定や安全でないと思われるパスワードに対し、次のようなレポーティングや処理が行えます。

MDaemonアカウントセキュリティ

パスワードの強度チェック

指定した文字数を超えているもの、大文字・小文字を含めるもの、記号や数字を含むもの、といった条件をベースに、エンドユーザーが使っているパスワードが安全性を満たしているかどうかを確認する事ができます。確認した結果は、Postmasterや任意のメールアドレスへレポートとして送る事ができます。また、安全性を満たしていないパスワードを強制的に変更させる事もできます。

パスワードの期限設定

パスワードを定期的に変更するのも、セキュリティの維持には必要です。MDaemonでは、パスワードを任意の日数で期限切れとしたり、例えば30日毎など、任意の間隔で、パスワード期限をユーザーへ警告する事ができます。同じパスワードを何度も使用しないよう、MDaemonが再設定を禁止するパスワード履歴の設定も、同じ画面上から行えます。