このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

不正中継対策について

発言者:黒田
( Date Tuesday, March 07, 2000 18:38:34 )


こんにちは、黒田と申します.
以前にもこちらでとても有効なアドバイスをもらい感謝しています.

教えて下さい.
Appleshare IP を使ってメールサーバーを立ち上げていますが、
不正中継対策はどのような仕組みで行えるのでしょう?
具体的方法はアップルのSEのページなどに示してあったので
「こうするのか〜」と理解したつもりなのですが、
その仕組みについて、私にとっては難解で他の設定との関係も
よくわからないのです.

お時間を頂ける方がいらっしゃったらよろしくお願いします.

稲垣 さんからのコメント
( Tuesday, March 07, 2000 19:30:02 )

 たまちゃんさんのサイトで紹介されていますので、そちらを参考にして
下さい。

#他力本願モード(^^;;;



→  Anti Spam for Macitonsh

田中求之 さんからのコメント
( Tuesday, March 07, 2000 19:37:53 )

>不正中継対策はどのような仕組みで行えるのでしょう?

AppleShareIP のバージョンはいくつですか? バージョンによって
設定内容が多少異なるようですので…

黒田 さんからのコメント
( Tuesday, March 07, 2000 20:28:50 )

早速の返信ありがとうございます.
サーバーを複数台動かしているのですが、
マシンの能力に応じて、ASIP 6.1,6.2,6.3とバラバラです.
これは、バージョンによって異なる対策が立てられている
ということなんですね.

たまちゃん さんからのコメント
( Tuesday, March 07, 2000 22:02:36 )

> たまちゃんさんのサイトで紹介

すみません。ASIP の部分だけ本当に歯切れが悪いです。だって,持っていな
いんだもん。

自分で実際にテストをして書くのが主義なんですけど,5.x のベータのとき
に出来たテスト用のダウンロードも出来ないので,実際に製品を購入するし
かないんです。

#テスト用のためだけに,来年度は購入するか。といっても今年度は公言した
ORB ドライブは購入しなかった。(^_^;;

たまちゃん さんからのコメント
( Tuesday, March 07, 2000 23:05:40 )

Technical Note の 313 と 318,そして ASIP メーリングリストのここ半年
ほどのアーカイブを読み直して,疑問がふつふつと湧いてきました。

「利用者 & グループ内のローカルの"差出人"アドレスを必要とする」

をチェックする,とありますが,これは EIMS や SIMS でいうところの IP
アドレスベースでローカルのユーザを定義するのとは違うように思います。

ASIP の設定で,ローカルのユーザを IP range で定義するところがあるので
しょうか?

もしないとすれば,ORBS なんかのテストにはひっかかると思います。実際,
ひっかかったという報告を読みました。

どなたか,ASIP で ORBS のテストをパスなさった方はおられますか?そして
その場合の設定方法はどのようになさりましたか?

是非是非教えてください。

田中求之 さんからのコメント
( Tuesday, March 07, 2000 23:44:46 )

私もいくつか調べてみたのですが、どうも良く分からないんですよね。
メールサーバは動かしていませんし。

結局、不正中継対対策としては、たまちゃんさんがあげている
「利用者 & グループ内のローカルの"差出人"アドレスを必要とする」
というのと、DNS によってアドレスを確認するという2つになるんですが、
これで十分なのかな?

… AppleShareIP って、中途半端にカプセル化(低レベルの話を
見せないようにしてある)してあるんですが、それが裏目に出てますね、
かえって信頼できないんです。

たまちゃん さんからのコメント
( Thursday, March 09, 2000 10:05:54 )

少しですが分かったことを。

昨日,とある方のご協力で,ASIP の SPAM 対策についてテストが出来ました。
Technical Note に書いてあるような設定をすべてしていただきました。

結果は,

1.他ドメインから他ドメインへのリレーは拒否される
2.ASIP 上にないアカウントをよそおってのリレーも拒否される
3.ASIP 上にあるアカウントをよそおって(=なりすまして)他ドメイン
  へメールを配送することが出来た
  
ということでした。予想通りの結果でした。つまり,IP range でローカル
(=ASIP をメールリレーのサーバとして正式に利用できる)のユーザを定
義出来ないので,なりすましが可能なわけです。

致命的な問題というわけではありませんが,他のメールサーバがこういった
なりすましさえ防止する機能を持っているわけですから,少しがっかりしま
した。

後,メールのデータベースが壊れるというのは,以前から引き継いでいる既
知の問題のようで,ASIP のヘビーユーザであってもメールサーバだけは他の
ものを動かしておられる方も多いようです。

ニキ さんからのコメント
( Thursday, March 09, 2000 14:13:44 )

たまちゃんさん、いつも有益な情報をありがとうございます。
当方、ASIPでメールサーバを動かしています。
やっぱり・・と思うような結果ですね。
ところで、ASIP本体だけではIPの制限ができませんが、
TCP Filter を使っての制限ではだめなのでしょうか。

たまちゃん さんからのコメント
( Thursday, March 09, 2000 14:56:33 )

下記の TIL を見た限りでは,TCP Filter で制限できるのは,25番ポート
へのアクセス自体で,メールリレーに関して制限をかけることは出来ないと
思いますよ。

6.3 で出来るようになったのかな?

→  AppleShare IP 6.1: TCP Filtering

ニキ さんからのコメント
( Thursday, March 09, 2000 14:57:19 )

あ、他からメールが届かなくなるからだめですね。

ニキ さんからのコメント
( Thursday, March 09, 2000 14:59:19 )

いつも素早いたまちゃんさん、ありがとうございます。
つまらないことでお手を煩わせましてすみません。

黒田 さんからのコメント
( Thursday, March 09, 2000 15:37:02 )

こんにちは、黒田です.
1日チェックしてない間に「たまちゃん」「田中先生」
「ニキ」さんからとても有用な情報を頂き、ありがとうございました.

ところで、私は http://www.nanet.co.jp/rlytest/relaytest.html
というサイトで不正中継のテストを行いました.
結果は「シロ」だったんですが、他のサイト(たまさんの言う
ORBS のテストでは不合格かもしれませんね.
よろしかったら、そのサイトを教えて頂けるでしょうか?
よろしくお願いします.

チェックが遅れて申し訳ありませんでした.

たまちゃん さんからのコメント
( Thursday, March 09, 2000 16:14:24 )

ORBS は以下の場所にあります。

1.I want to report an open relay to ORBS

で ASIP の走っている IP アドレスを入力,ORBS によるテストが終われば

2.Is a machine in the ORBS database? 

のところで,また IP アドレスを入力

で結果が分かります。

もしよろしければ,ORBS のテストのログと,結果を是非ご報告下さい。



→  ORBS

黒田 さんからのコメント
( Thursday, March 09, 2000 16:36:24 )

たまちゃんさん、ありがとうございます.
早速試しているのですが...

xxx.xxx.xxx.xxx has just been nominated for ORBS tests and will be checked in the next few minutes. 

っていつまで待てばできるのかな〜
結果報告が遅れそうなのでひとまず無駄なコメントですが.

kamekichi さんからのコメント
( Sunday, March 12, 2000 03:14:25 )

便乗ですみませんが、例えば、MacjordomoなどのMLで
オープンディスカッションにした場合はリレー制限を
かけると、配信されないのでは、と思うのですが、、
何か対策はあるのでしょうか?

田中求之 さんからのコメント
( Sunday, March 12, 2000 17:49:19 )

>オープンディスカッション

というのは、誰もがすぐに参加でき、発言のモデレートは行わないという
ことですよね?

その場合、リレー制限によって配信が止まることはないですよ。というの
も、Macjordomo がメールを発信することになりますので、ローカルユーザ
からの発信ということになり、メールサーバはメールを中継します。

メールの中にかかれているアドレスが問題なのではなく、そのメールのデータを
実際に発信する処理を行うのは誰かということで制限が加えられるわけです。

非常に単純化していえば、kamekichi さんが、自分でメールをダウンロードして
そのメールを友人に転送するのと同じことを macjordomo はやっているに
すぎません(原理的には)。

リレー制限を加えたことで実際に配信ができないという問題がおきているの
でしょうか?

たまちゃん さんからのコメント
( Sunday, March 12, 2000 21:15:12 )

>MacjordomoなどのMLで
>オープンディスカッションにした場合はリレー制限を
>かけると、配信されないのでは、と思うのですが、、
>何か対策はあるのでしょうか?

購読者以外には配送されませんから,MacJ でのオープンリストでは問題は生
じないと思います。一度お確かめ下さい。

問題が生じるのは,メールソフトでのいわゆる「回送」でしょう。

たまちゃん さんからのコメント
( Sunday, March 12, 2000 21:16:43 )

田中さんのコメントの通りだと思います。後先になりました。

kamekichi さんからのコメント
( Monday, March 13, 2000 00:24:14 )

田中先生、たまちゃんさん、ありがとうございます。

弊社MLの立ち上げ時にリレーを制限したら上手くいかなかったような
記憶があったため、おたずねしましてみました。

検証しまして、またご報告致します。m(__)m


kamekichi さんからのコメント
( Monday, March 13, 2000 22:25:20 )

ということで、検証してみました。
Macjordomo 1.5fc10
EIMS1.3.1
です。

EIMSでリレー制限をしないと、問題はありません。

リレー制限をしますと、
Macjordomoのエラーログには

2000.3.13  7:34:12 PM  1294752  test - User XX@XXXXXXXX.to bounced and was made inactive
2000.3.13  7:34:12 PM  1294592  test550 Relay restricted

ということで、配送ができず、USERは自動的にinactiveとなります。
当然この場合配送できないアドレスはローカルのアドレスではないものです。

何か設定に問題がありますでしょうか??

田中求之 さんからのコメント
( Monday, March 13, 2000 23:25:53 )

Macjordomo と EIMS は同じサーバ(あるいは同じドメイン)内で
動かしているのですよね?

それとも、別々のところで動かしているのでしょうか?

kamekichi さんからのコメント
( Monday, March 13, 2000 23:31:21 )

コメントありがとうございます。
同じマシン上ですので、同じIPアドレスです。

list.aaa.co.jp

という感じです。

例えば、ここにメールアカウントを作り、
test@aaa.co.jp
としてメンバーとします。
このメンバーは問題なく動作します。(当たり前ですが、、。)

何か根本的に大きな間違いをしているのでしょうか?????


kamekichi さんからのコメント
( Tuesday, March 14, 2000 00:36:10 )

自己レスです。多分、、ですが。
大きな間違い(?)に気づきました。
MacjordomoのLISTのセッティング
Gneralの部分で
Problems To をローカルのアカウントにしないといけないようです。

てっきり発信元はList Addressだと思いこんでいたのですが、
Problems Toが発信元となっているようです。

これで上手くいけば良いのですが、、。

たまちゃん さんからのコメント
( Saturday, March 18, 2000 22:40:22 )

>MacJ でのオープンリスト

リストサーバでのオープンリストの扱いはいろいろですが,MacJ では,誰で
もが当該リストに投稿できるという意味のオープンとなっています。投稿者
自身もメッセージを受け取りたいときは,まず購読しないといけないようで
す。

リストサーバによっては,メッセージを投げかけると同時に登録と配信が同時
に行われるものもあるようです。

たまちゃん さんからのコメント
( Saturday, March 18, 2000 22:40:25 )

黒田さん,その後テストの結果はどうなったでしょうか?テストの仕方を
変えたりするので,以前私が確かめた(20近くのチェックをしていた)
ときと異なっている可能性があります。

なお,

http://www.nanet.co.jp/rlytest/relaytest.html

のテストは ORBS より緩いので,パスしやすいんだと思います。

kamekichi さんからのコメント
( Monday, March 20, 2000 13:41:21 )

追加レポートです。
Macjordomoで
Problems To をローカルのアカウントにしましたら、
問題なく動作しています。
EIMSのリレー制限をかけてもローカルからのメールとして、
配送できました。お騒がせ致しました。