運用
|
|
|
今回想定しているネットワーク環境では、メールはプロバイダのメール・ボックス・サービスを利用することにしている。だがこの構成を少し変更して、インターネットから直接メールを受け取るようにすることはそう難しいことではないし、そうしたいと考える管理者も少なくないだろう。メール・サーバを自前で用意すれば、任意のメール・アカウント作成や、メーリング・リストの運営なども容易になるからだ。
これを実現するためには、DNSサーバに対して、自ドメイン(今回の例ではd-advantage.jpドメイン)のメール・サーバを表すMXレコードを登録し、さらにルータのサーバ公開機能(インターネットからのアクセスをLAN内の特定のサーバやポートにフォワードする機能)を使って、SBS 2003のSMTPポート(TCPの25番ポート)をインターネットからアクセスできるようにするだけである(セキュリティのため、SMTP以外のポートは公開しないように注意すること)。最近では常時接続回線サービスとDDNS(ダイナミックDNS)機能を使ってサーバを公開している個人ユーザーも少なくない。技術的にはWebサーバなどを公開するのと大して変わらない手間で、メール・サーバを公開することができる。
しかしメール・サーバを公開する場合は、「オープン・リレー(open relay)」対策だけは必ず行っておく必要がある。さもないと、メール・サーバがいわゆる「スパムの踏み台」にされて、世界中へスパム・メールをまき散らす行為に加担することになるからだ。SBS 2003をデフォルトの設定でインストールして、そのサーバを(ルータのポート・フォワード機能などを使って)公開した場合、そのままではオープン・リレーが可能な状態になっていることがある。もともと内部LAN上で使うことを想定しているため、このようになっているのだが、適切な設定を施すことによりオープン・リレーを禁止することができる。
オープン・リレーとは?
オープン・リレーとは、どのようなあて先にでも自由に送信することができる、インターネット上に公開されたメール・サーバのことである。スパム・メールを送信しようとする悪意のあるユーザーがオープン・リレーのメール・サーバに対して1通メールを送ると、いとも簡単に数百とか数千、場合によってはそれ以上のユーザーにメールを送ることができる。スパムを送信するユーザー(スパマー)は、このような管理の甘いメール・サーバを狙って利用している。スパムを送信するオープン・リレーのサーバであることが確認されると、さまざまな団体が管理しているオープン・リレー・ホスト情報を集めたブラック・リスト(ORDB.orgが著名)に登録され、そのホストからのメールの着信が拒否されることがある。その結果、ほかのドメインへのメールの送信ができなくなったりする。このように、スパムの送信に使われると、他人に迷惑がかかるだけでなく、自分でもメールの送受信ができなくなる、ネットワーク帯域が消費されるなどの問題が生じる。
オープン・リレーとは実際にはどのような状態なのかを次の図に示しておく。
オープン・リレー・メール・サーバ | ||||||||||||
あるメール・サーバを経由して、さらに別のメール・サーバへとメールを中継することをリレーするといい(もしくは)、インターネット側から着信して、そのままインターネットへと何の認証もなく中継することを特に「オープン・リレー」という。オープン・リレーが可能になっていると、スパムの送信用サーバとして利用されることがある。とは中継ではなく、このSBS 2003マシンがメールの最終的なあて先となっている(着信するのみということ)。 | ||||||||||||
|
メール・サーバを経由してメールを送信するという場合、この図のように全部で4つのパターンが考えられる。ここで「ローカルのユーザー」とは「〜@d-advantage.jp」というメール・アドレス(SBS 2003上のメール・ボックス)を持つユーザーであるとする。
- ―ローカルのユーザーから送信され、ローカルのユーザーに向けて送られるメール。
- ―インターネット上から送信され、ローカルのユーザーに着信するメール。
- ―ローカルのユーザーから送信され、インターネット上のユーザーに向けて送られるメール。
- ―インターネット上から送信され、インターネット上のユーザーに対して送信されるメール。ローカルのドメインとは何の関係もないメールの送信に利用される。
ととは一般的なメール送受信のケースであり、何ら問題はない。だがのパターン(インターネットからインターネットへの送信)において、何の認証もなくこのような送信方法が許可されている状態をオープン・リレーといい、本来許可してはいけないものである。これを禁止することにより、スパム・メールの送信に利用されることを防止できる。もともとSBS 2003のExchange Serverでは、ドメイン名に基づいたオープン・リレーの禁止は行っているのだが、スパム・メールでは送信者メール・アドレスを詐称するのが普通であり、ドメイン名だけに基づいて禁止することは現在ではあまり意味はない。必ずIPアドレスやSMTP認証なども組み合わせて中継を制御するようにしておきたい。
なおExchange Server 2003では、とのように、メールの最終的なあて先(送信先)がSBS 2003マシンではなく、さらにほかのメール・サーバとなっているものをまとめて「中継(リレー)」と呼んでいる。ローカルからインターネットへの中継はまったく問題ないので(これを禁止すると、インターネットへメールを送信することができなくなってしまう)、インターネットからインターネットへの中継だけを禁止する必要がある。
SBS 2003における不正中継の禁止
SBS 2003に限らず、メールの送信は一般的にはSMTPプロトコルを使用する。だがSMTPプロトコルではユーザー認証などを利用しないのが普通であり、設定を間違えると、容易にオープン・リレーが可能な状態になってしまう可能性がある。これを防ぐためには、ネットワークの構成をよく考え、無用なメールの中継を禁止するようにしておかなければならない。
※ メールの不正中継に関するExchange Server関連のドキュメント メールの不正中継に関する設定については、以下のマイクロソフト・サポート技術情報についても参照していただきたい。
|
SBS 2003のExchange Server 2003においてSMTPにおける不正な中継を制限するには、以下のような方法をはじめとしてさまざまな手段が提供されているので、ユーザーの環境に応じて適切な手段を(必要ならば複数組み合わせて)採用してほしい。
■方法1―メール・アドレスのドメイン名を基に中継を制御する
メール・アドレスに含まれるドメイン名などを基に中継を制御する。ただし現在の一般的なスパム・メールの送信システムでは、送信者アドレスのドメインを詐称しているのが普通なので、あまり効果は望めないことが多い。
■方法2―SMTP認証を利用する
SMTPプロトコルで認証機能を有効にし、認証されたユーザーからのアクセスの場合だけ中継を有効にする。これが最も望ましい方法であるが、メール・クライアント・ソフトウェアによってはSMTP認証機能をサポートしていない場合もある。その場合に備えて、SMTP認証を必須とするのではなく、次の方法3と併用するのがよい。
■方法3―中継可能なクライアントのIPアドレス/インターフェイスを制限する
SMTPサービスに接続するクライアントのIPアドレス範囲を限定し、ローカルのLAN上のクライアントからの接続の場合は中継を許可し、インターネット側からのアクセスの場合は中継を拒否する。またシステムにネットワーク・インターフェイスを複数装着し、インターネット側のインターフェイスでは中継を拒否し、ローカルのインターフェイスでは中継を許可するという設定を行ってもよいだろう。
インターネット・メールでは「POP before SMTP」という手法を使って中継を制御する方法もよく使われているが、SBS 2003(Exchange Server)では利用することはできない。SBS 2003では、メールにアクセスする手段はPOP3だけではないし、SMTP認証に基づく中継制御が望ましいと考えられているからだ。
INDEX | ||
[運用]実例で学ぶSBS 2003ネットワーク構築と運用 | ||
第2回 SBS 2003のメール設定 | ||
1.POP3/IMAPサービスの設定 | ||
2.POP3コネクタによるメールの取得と再配布 | ||
3.メールのオープン・リレー対策(1) | ||
4.メールのオープン・リレー対策(2) | ||
5.メールのログ機能の設定 | ||
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|