SMTP èªè¨¼æå ±ãæå·åããå©ç¹ã¯ä½ã§ãã?

SMTP è³æ ¼æå ±ãæå·åããã¨ãä¸æ£ãªã¢ã¯ã»ã¹ãçºçããå ´åã§ããè³æ ¼æå ±ãç°¡åã«èªã¿åã£ããä½¿ç¨ããããããã¨ãã§ããªããªãã¾ãã

SES SMTP è³æ ¼æå ±ã¯ã©ããããã®é »åº¦ã§ãã¼ãã¼ã·ã§ã³ããå¿è¦ãããã¾ãã?

SES SMTP è³æ ¼æå ±ã 90 æ¥ãã¨ã«ãã¼ãã¼ã·ã§ã³ããããæ¼æ´©ãçãããå ´åã¯ããã«ãã¼ãã¼ã·ã§ã³ãããã¨ããå§ããã¾ãã

å©ç¨ãã AWS CloudTrail ããã¦ Amazon CloudWatch é»åã¡ã¼ã« ã·ã¹ãã ã«é¢é£ããã¢ã¯ãã£ããã£ãç£è¦ããã³åæããããã

æå·åãã¼ãå®å¨ã«ä¿ç®¡ããã«ã¯ã©ãããã°ããã§ãã?

SMTP èªè¨¼æå ±ãæ¼æ´©ããå ´åãã©ã®ãããªæé ãå®è¡ããå¿è¦ãããã¾ãã?

æ°ããèªè¨¼æå ±ã«ãã Exim æ§æã®æ´æ°ãèªååããã«ã¯ã©ãããã°ããã§ãã?

Amazon EC2 SES SMTP 認証情報の漏洩: 対処方法

Gabriel Martim

2024年6月1日土曜日 15:34:20

EC2 での SES SMTP 認証情報の保護

SES SMTP 認証情報のセキュリティを確保することは、特に cPanel Web メール (Exim) と PHP を使用して電子メールを送信する場合に重要です。最近、これらの認証情報が漏洩する事例が複数発生しており、その結果、メインドメインの電子メールから不正なスパムメールが送信されることになります。

この記事では、潜在的な脆弱性について説明し、Rocky 9 を実行している Amazon EC2 インスタンスで SES SMTP 認証情報を保護するための実践的な手順を説明します。リスクを理解し、推奨されるセキュリティ対策を実装することで、電子メールシステムを将来の侵害から保護できます。

指示	説明
openssl_encrypt()	指定された暗号とキーを使用してデータを暗号化します。 SMTP 資格情報を安全に保存するために使用されます。
openssl_decrypt()	以前に暗号化されたデータを復号化します。元の SMTP 資格情報を取得するために使用されます。
file_get_contents()	ファイル全体を文字列に読み取ります。安全な場所から暗号化キーをロードするために使用されます。
file_put_contents()	データをファイルに書き込みます。暗号化された SMTP 認証情報を安全に保存するために使用されます。
PHPMailer\PHPMailer\PHPMailer	PHP で SMTP 経由で電子メールを送信するために使用される PHPMailer ライブラリのクラス。
sed -i "s/command"	ファイルをその場で変更するためのストリームエディターコマンド。復号化された資格情報を使用して Exim 構成を更新するために使用されます。
systemctl restart	システムサービスを再起動します。構成を更新した後に Exim サービスを再起動するために使用されます。

SES SMTP 認証情報漏洩の解決策を理解する

提供されるスクリプトは、SES SMTP 資格情報を保護および管理して、不正アクセスや悪用を防ぐように設計されています。最初の PHP スクリプトは、 openssl_encrypt 機密情報が安全に保管されることを保証する機能。資格情報は安全なキーで暗号化されてファイルに保存され、不正なアクセスから保護されます。の file_get_contents そして file_put_contents 関数は、それぞれ暗号化キーの読み取りと暗号化された資格情報の保存に使用されます。この方法により、誰かが保存されたファイルにアクセスしたとしても、暗号化キーがなければ認証情報を読み取ることができなくなります。

2 番目の PHP スクリプトは、電子メール送信のための暗号化された SMTP 認証情報の復号化と使用に重点を置いています。それは、 openssl_decrypt 資格情報を復号化し、電子メール送信プロセスで使用できるようにする機能。このスクリプトは PHPMailer と統合され、復号化された SMTP 資格情報を介して電子メールを送信します。 PHPMailer を使用すると、電子メールを安全に設定して送信するプロセスが簡素化されます。さらに、シェルスクリプトは、復号化された資格情報を使用して Exim 構成を更新するように設計されています。それは、 sed -i Exim 構成ファイルを変更するコマンドと、 systemctl restart コマンドを使用して Exim サービスを再起動し、新しい構成がすぐに適用されるようにします。

PHP で SES SMTP 資格情報を保護する

SMTP 認証情報を暗号化して保存するための PHP スクリプト

<?php
// Load encryption key from a secure location
$encryption_key = file_get_contents('/path/to/secure/key');
// SMTP credentials
$smtp_user = 'your_smtp_user';
$smtp_pass = 'your_smtp_password';
// Encrypt credentials
$encrypted_user = openssl_encrypt($smtp_user, 'aes-256-cbc', $encryption_key, 0, $iv);
$encrypted_pass = openssl_encrypt($smtp_pass, 'aes-256-cbc', $encryption_key, 0, $iv);
// Store encrypted credentials in a file
file_put_contents('/path/to/secure/credentials', $encrypted_user . "\n" . $encrypted_pass);
?>

PHP で SES SMTP 資格情報を復号化して使用する

SMTP 資格情報を復号化して使用するための PHP スクリプト

<?php
// Load encryption key and credentials from secure location
$encryption_key = file_get_contents('/path/to/secure/key');
$credentials = file('/path/to/secure/credentials');
$encrypted_user = trim($credentials[0]);
$encrypted_pass = trim($credentials[1]);
// Decrypt credentials
$smtp_user = openssl_decrypt($encrypted_user, 'aes-256-cbc', $encryption_key, 0, $iv);
$smtp_pass = openssl_decrypt($encrypted_pass, 'aes-256-cbc', $encryption_key, 0, $iv);
// Use decrypted credentials to send email
// Example using PHPMailer
use PHPMailer\PHPMailer\PHPMailer;
$mail = new PHPMailer();
$mail->isSMTP();
$mail->Host = 'email-smtp.us-east-1.amazonaws.com';
$mail->SMTPAuth = true;
$mail->Username = $smtp_user;
$mail->Password = $smtp_pass;
$mail->SMTPSecure = 'tls';
$mail->Port = 587;
// ... additional email setup ...
?>

暗号化された認証情報を使用するように Exim 構成を更新する

Exim 構成を更新するためのシェルスクリプト

#!/bin/bash
# Load encryption key and credentials from secure location
encryption_key=$(cat /path/to/secure/key)
credentials=$(cat /path/to/secure/credentials)
encrypted_user=$(echo "$credentials" | head -n 1)
encrypted_pass=$(echo "$credentials" | tail -n 1)
# Decrypt credentials
smtp_user=$(echo "$encrypted_user" | openssl enc -aes-256-cbc -d -a -A -k "$encryption_key")
smtp_pass=$(echo "$encrypted_pass" | openssl enc -aes-256-cbc -d -a -A -k "$encryption_key")
# Update Exim configuration
sed -i "s/smtp_user = .*/smtp_user = $smtp_user/" /etc/exim/exim.conf
sed -i "s/smtp_pass = .*/smtp_pass = $smtp_pass/" /etc/exim/exim.conf
# Restart Exim service
systemctl restart exim

SES を使用して EC2 の電子メールセキュリティを強化する

SMTP 資格情報を暗号化して安全に保存することに加えて、電子メールシステムに包括的なセキュリティ戦略を実装することが重要です。効果的な対策の 1 つは、Amazon EC2 セキュリティグループを利用して SMTP ポートへのアクセスを制限することです。特定の IP アドレスまたは範囲へのアクセスを制限することで、不正アクセスのリスクを軽減できます。さらに、SES SMTP 資格情報を定期的にローテーションすると、潜在的な漏洩の影響を軽減できます。

もう 1 つの重要な側面は、EC2 インスタンスと SES アカウントでのログ記録とモニタリングを有効にすることです。 AWS CloudTrail と Amazon CloudWatch を実装すると、メールシステムに関連する不審なアクティビティを追跡および分析できます。このプロアクティブなアプローチにより、セキュリティインシデントを迅速に特定して対応できるため、電子メール通信の整合性とセキュリティが維持されます。

SES SMTP セキュリティに関するよくある質問と解決策

EC2 上の SMTP ポートへのアクセスを制限するにはどうすればよいですか?
Amazon EC2 セキュリティグループを使用して、特定の IP アドレスまたは範囲のみが SMTP ポートにアクセスできるようにします。
SMTP 認証情報を暗号化する利点は何ですか?
SMTP 資格情報を暗号化すると、不正なアクセスが発生した場合でも、資格情報を簡単に読み取ったり使用したりすることができなくなります。
SES SMTP 資格情報はどれくらいの頻度でローテーションする必要がありますか?
SES SMTP 資格情報を 90 日ごとにローテーションするか、漏洩が疑われる場合はすぐにローテーションすることをお勧めします。
電子メールシステムの不審なアクティビティを監視するにはどのようなツールを使用できますか?
利用する AWS CloudTrail そして Amazon CloudWatch 電子メールシステムに関連するアクティビティを監視および分析するため。
暗号化キーを安全に保管するにはどうすればよいですか?
暗号化キーを AWS Secrets Manager やハードウェアセキュリティモジュール (HSM) などの安全な場所に保存します。
電子メールの送信に PHPMailer を使用する必要があるのはなぜですか?
PHPMailer は、SMTP 経由で電子メールを安全に送信するための堅牢で使いやすいインターフェイスを提供します。
SMTP 認証情報が漏洩した場合、どのような手順を実行する必要がありますか?
漏洩した認証情報をただちに取り消し、新しい認証情報を発行し、将来のインシデントを防ぐために漏洩の原因を調査します。
新しい認証情報による Exim 構成の更新を自動化するにはどうすればよいですか?
シェルスクリプトを使用して、 sed -i Exim 構成ファイルを更新するコマンドと systemctl restart をクリックして変更を適用します。

SMTP 資格情報の保護に関する最終的な考え方

SES SMTP 認証情報のセキュリティを維持することは、不正アクセスや悪用を防ぐために非常に重要です。資格情報を暗号化し、セキュリティグループを通じてアクセスを制限することで、脆弱性を大幅に軽減できます。さらに、資格情報を定期的にローテーションし、システムのアクティビティを監視することは、セキュリティ侵害の検出と防止に役立ちます。これらのプラクティスを実装すると、電子メール通信システムの安全性が高まり、ドメインの評判を保護することができます。