- PR -

Sendmailのリレーについて

1|2 次のページへ»
投稿者投稿内容
たあ
会議室デビュー日: 2006/12/14
投稿数: 8
投稿日時: 2007-02-07 23:18
こんにちは

Sendmailについて質問させてください。

まずは、構成を...
----------------------------------------------------
社内メールサーバー(社内設置)と社外メールサーバー(DMZ設置)の2台構成です。
■外部からのメール
外部 ⇒ 社外SV ⇒ 社内SV ← POP
■外部へのメール
MUA ⇒ 社内SV ⇒ 社外SV ⇒ 外部
■内部間のメール
MUA ⇒ 社内SV ← POP

社内SV(naibu.example.jp:192.168.0.1) - redhat es4 sendmail 8.12
社外SV(gaibu.example.jp:192.168.100.1) - redhat es4 sendmail 8.12
MXドメイン(example.jp)
内部セグメント(192.168.0.0/24)
----------------------------------------------------

で、行いことですが...
大前提として「社外SVにて不正中継をされたくない」です。
いろいろ考えた結果、以下の社外SVのルールを考えました。
接続元IP  エンベFROM  エンベTO  ルール
--------------------------------------------
内部    内部      外部    OK
内部    外部      外部    NG
内部    内部      内部    NG
内部    外部      内部    NG
外部    内部      外部    NG
外部    外部      外部    NG
外部    内部      内部    OK
外部    外部      内部    OK
※外部への転送はしません
※外部からの転送が帰ってくるのはOK


以下が、とりあえず私が考えた設定です。

■社内SVの設定
1)accessにて
192.168.0 relay を追加
2)sendmail.mcにて
`SMART_HOST',`[192.168.100.1]'を設定
3)local-host-namesにて
example.jp を追加

■社外SVの設定
1)mailertableにて
example.jp SMTP:[192.168.0.1] を追加
2)accessにて
CONNECT:192.168.0.1 relay
TO:example.jp relay

とりあえず、大前提の「第3者不正中継」はこれで防げるかと思っているのですが、
出来れば上記のルールを実現したいです。
上記のような「組み合わせ」のルールを書くにはどうしたらよいのでしょうか?
そもそも可能なのでしょうか?

ご存知の方がいらっしゃいましたら
ぜひ、ご教授願えればと思います。

どうぞ、宜しくお願い足します。
lapahack
会議室デビュー日: 2007/02/07
投稿数: 7
投稿日時: 2007-02-08 16:17
も少しがんばれ。
せめてこのルール反映させたsendmail.mc作ってみるとか。
sendmailの設定を二つも1から作れなんて頼んでも誰もやってくれないぞ。多分。
俺やらない。めんどくさいし。

因みにこのルールを設定に反映させる事は可能。
でもこれだけじゃ不正中継は防げましぇん。
そ−スルーてィングでウハウハ。
たあ
会議室デビュー日: 2006/12/14
投稿数: 8
投稿日時: 2007-02-08 23:43
lapahackさま

ご返答ありがとうございます。

>せめてこのルール反映させたsendmail.mc作ってみるとか。
sendmail.mcでできるのですか...
ちょっと頑張ってみます。
私の持っている参考書などには、そのような設定の記述はなかったのですが
オライリーでも読んだほうがいいのでしょうか?

>でもこれだけじゃ不正中継は防げましぇん。
>そ−スルーてィングでウハウハ。
ルールはバッチリやと思ってたのに.... 怖いですね。。
どうやるのでしょうか?思いつきません。ぅーん..
非武装エリア
大ベテラン
会議室デビュー日: 2004/03/03
投稿数: 202
お住まい・勤務地: 日本・たこ部屋
投稿日時: 2007-02-09 00:30
内部メールアドレスの適当なユーザ宛でメール送信。
このとき、送信者として本当にメールしたい第三者のメールアドレスを詐称して送る。
こんな感じ:
---
From: xxxx@aaa.com
To: tekitou@example.jp
  
   xxxx@aaa.com宛に送りたい文書

---
で、これを受けた社外SVはどういう動作をするか注意が必要(実際には社内SVか)
当然、宛先不明のメールとして処理しますよね。
で、それを返す宛先は。。。。。。。。 
SMTPの仕様上、エンベロープ部だけでは迷惑メールの対処は難しいですね。
まあ、宛先不明メールは返信せずにブラックホール送りって手はありますけどね。


[ メッセージ編集済み 編集者: 非武装エリア 編集日時 2007-02-09 00:32 ]
たあ
会議室デビュー日: 2006/12/14
投稿数: 8
投稿日時: 2007-02-09 01:05
非武装エリアさま

ご返答ありがとうございます。

>内部メールアドレスの適当なユーザ宛でメール送信。
>このとき、送信者として本当にメールしたい第三者のメールアドレスを詐称して送る。
なるほど!DNSメールで送るのですね。
賢いというか、なんと言うか。。。

確かに勉強不足なのがよく分かりました。
このままサーバー立てたら危険ですね。。。
たあ
会議室デビュー日: 2006/12/14
投稿数: 8
投稿日時: 2007-02-09 01:06
すみません

DSNメールですね。。。
lapahack
会議室デビュー日: 2007/02/07
投稿数: 7
投稿日時: 2007-02-09 14:30
> 私の持っている参考書などには、そのような設定の記述はなかったのですが
> オライリーでも読んだほうがいいのでしょうか?

オライリさんはsendmail.cfそのものに重点を置いてるから
読んで理解してすぐ反映させるのは難しいので、暇な時に。
ぐぐる先生でsendmail.mcと聞いた方が効率はいいかもも。
信頼性はどーだかなので、テスト重要。

> ルールはバッチリやと思ってたのに.... 怖いですね。。
> どうやるのでしょうか?思いつきません。ぅーん..

持ってる武器の種類がわからなぃと、使い方はおろか存在にも気付かなぃね。

define(`confOPERATORS', `.:@!^/[]+')
ソスルチングはなんとこの一行をsendmail.mcに追加するだけ。素敵。
他にもセキュリティ的に必要なマクロは多々あるばば。
anights
ぬし
会議室デビュー日: 2003/05/22
投稿数: 277
お住まい・勤務地: 東京
投稿日時: 2007-02-09 17:57
sendmailにおいてsource routing機能が動くってことと
「第3者不正中継」されちゃうってのは別なんで誤解しないように。。。
sendmail使うならその違いぐらい理解した方が良いのでは。
それとも
FEATURE(`loose_relay_check')設定がはやってたりして。

_________________
桃李不言 下自成蹊
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)