このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

AppleShare IP のメールサービス(SPAM対策絡みで)

発言者:安川
( Date Monday, March 20, 2000 00:00:07 )


AppleShare IP の不正中継対策について、報告と質問です。

職場で急に必要になって、先日、AppleShare IPでメール・サーバの運用
を始めました。どうせやるならと、OS9 + ASIP 6.3 にアップグレードし
ました(この会議室のメッセージのお世話になりました・・・ただし
AppleShare Registry 6.3.1 をいれるとなぜかマシンそのものが起動でき
なくなり、これだけ古いバージョンに戻してあります)。

さて不正中継対策についてです。「設定」と「詳しい設定」で次のように
設定してあります。

1.メール受信の設定
  「利用者&グループ内のローカルの“差出人”アドレスを必要とする」

2.無差別(SPAM)メール対策の設定
  「SMTP受信接続を確認する」
     −「SPAMの受信拒否に標準サーバを使う」
  「SMTP名とIPアドレスが一致しないときは接続を記録する」
     −「名前とアドレスが一致しないときは拒否する」

ここ1週間ほど試験運用を続けています。メールサーバを簡単に開始で
きたのはいいのですが途中で気づいたことがあります。こともあろうに
私の自宅からプロバイダ経由でこのサーバにメールを送ろうとしても拒
否されてしまうのです。

最初は私の設定が悪いのだろうと思い、あれこれ試みていたのですが、
らちがあきません。そのうち、この現象は特定のプロバイダからの送信
にだけおこることがわかりました。そして「名前とアドレスが一致しな
いときは拒否する」のチェックをはずせば問題なくメール受信します。

これはきっとプロバイダの設定に何かあるのだろう、と連絡して調べて
もらってみました。
  (Apple の Tech Info Library にも "... it will also lock out
   email servers with misconfigured DNS settings (which happens
   very frequently)" とありましたし)
すると、プロバイダのSMTPサーバは "HELO 'domain'" を送っているがそ
の場合私の職場のメールサーバは接続を拒否する、プロバイダのSMTPサー
バの実際のホスト名を送れば接続を受け付ける、という回答をえました。
文字どおり、職場のサーバは「名前とアドレスが一致しないときは拒否す
る」をやっていることになります。

 (プロバイダは、"HELO 'domain'" で送信拒否されたことは過去に一
  度もない、適切に MX レコードを参照すれば問題は発生しないはず
  だ、と言っています)

困ってしまいました。結局この件は、プロバイダが設定を("HELO FQDN"
に)変更してくれて接続できるようになりましたが、プロバイダの認識
どおり「個人ユーザーの場合・・・ HELO にてドメイン名を名乗ること
は一般的」だとすると、このままでは、職場のサーバに接続しようとし
ても拒否されるサーバが出てくるものと思われます。(今のところ部内
者のみで使用する試験運用なので私以外に問題はでていませんが)

ASIPをメールサーバにしている皆さんは、どのようになさっているでし
ょうか?

田中求之 さんからのコメント
( Tuesday, March 21, 2000 17:13:14 )

安川さんのように、特定のプロバイダからのメールの配送がうまくいかないという
理由で「名前とアドレスが一致しないときは拒否する」のチェックをはずして
運用しているという話を聞いたことがあります。

SMTP の HELO でドメイン名を名乗ることは正当なことですから、やはり ASIP
の動作がおかしいと感じています。ただ、ASIP が DNS に MX の確認を行わない
仕様になっているのかどうか、確認はできていません(メールサーバは私は
運用していないため)。

昨今の状況から、メールサーバを運用するには、不正中継対策と、spam 対策
は不可欠といってもよいのですが、ASIP の場合だと、仕様や動作に関する情報が
少ないのが、こういう場合には不安ですね(EIMS だと、メーリングリストで
作者の Glenn が、仕様と原理を説明してくれるので安心できるんですが)。

たまちゃん さんからのコメント
( Tuesday, March 21, 2000 18:32:22 )

私も ASIP のメールサーバを動かしていないので,適当なコメントは出来ませ
んが,ASIP のメーリングリストでの発言を読んでいる限りでは,チェックを
外している方も多いようです(ということは,チェックをしたままの方もいる
ということです)。

要は管理者の方針次第だと思うのですが,不正中継対策がきちんと出来ていれ
ばメールサーバ運用についての「社会的費用」(←私的費用も含まれています)
は少なくて済むと思います。

Zephyros/さわむら さんからのコメント
( Tuesday, March 21, 2000 20:45:51 )

本店と支店がありまして、本店のサーバがASIPでして、「名前とアドレスが
一致しないときは拒否する」のチェックを外して使っています。

というのは、支店のダイヤルアップ・ルータから本店のRAS経由でASIPに
メールチェックするさいに、支店のパソコンがルータから降られたIPアドレスを
名乗るのに、実際にはRASサーバが割り当てるIPアドレスなので、上記の
「一致しない」に該当するとしてエラーが出るからです。
 RASサーバで自前のIPアドレスを通すようにできないもんで(NetEntrance)。

ASIPとEthernetで接続している本店内でも、ノートパソコンで、たとえば
起動時に192.168.0.2というアドレスを取得した後、移動して別のEtherポートに
接続したら192.168.0.3を振られている、という場合にも「一致しない」で
接続できませんでした。

やはり、今一つ不安なので近いうちに、メールサーバをEIMSに変えることも検討中です。

安川 さんからのコメント
( Tuesday, March 21, 2000 21:21:22 )

田中求之さん、たまちゃんさん、Zephyros/さわむらさん、コメントありがとう
ございます。

今のところはチェックをつけたままでも問題ないのですが、本格運用するとなると外すか、それともEIMSに替えるかを悩むことになりそうです。「利用者&グループ」を使った管理などは簡単でいいのですけど、細かいところに手が届かないというのがなんとも歯がゆいです。

たまちゃん さんからのコメント
( Tuesday, March 21, 2000 23:02:24 )

不正中継対策については,いままでこの会議室でたびたび出てくるので,そち
らにお任せするとして,SPAM メール自体の受け取りを拒否する方法について
まとめてみます。

私の勝手な命名ですが,SPAM メールの1次的な受け取り拒否と2次的な受け
取り拒否の2つに分けて話します。

1次的な受け取り拒否とは,はじめてメールを受け取ったときに,それが
SPAM メールであることを何らかの方法で判断して受け取りを拒否することを
指し,2次的な受け取り拒否とは,1度 SPAM メールを送りつけてきた相手か
らのメールの受け取りを拒否するということを指すとします。

それぞれにどう対処するかは,メールサーバの実装によるのですが,EIMS の
商品版や SIMS,ASIP,NetTen などでは2次的な受け取り拒否を行うことが
出来ます。

このスレッドで問題になっているのは,1次的な受け取り拒否の方で,「名前
とアドレスが一致しない」場合には,SPAM メールの可能性があると判断する
訳です(そうでない場合が多いのが,この設定の厄介なところです)。

1次的な受け取り拒否には,その他にも MAPS RBL や ORBS などの第3者機関
に SPAM メールの発送元を特定してもらい,怪しいメールの受け取りを拒否す
るという方法があります。EIMS の商品版,SIMS,ASIP,NetTen などがこの機
能を持っています。ただし,この場合でも legitimate なサーバからのメール
を拒否することが起こります。適当な設定をしなかったり,出来なかったため
に ORBS に登録されてしまったという場合などがそれにあたります。

SPAM メールの受け取りを拒否する場合も,この2つの受け取り拒否をどのよう
に考えるかで,打つ手が変わってくると思います。

たまちゃん さんからのコメント
( Monday, March 27, 2000 10:03:39 )

>1次的な受け取り拒否

の中には,EIMS の商品版が備えている各種のフィルターもあります。これら
の中には第3者機関に当該メールが怪しいかどうかを判断してもらうのでは
なく,EIMS 側で判断するものがあります。

性質は違いますが,NetTen のフィルターも同様に使うことが出来ます。

ひぐま さんからのコメント
( Monday, March 27, 2000 17:29:19 )

初めて書き込ませていただきます。
うちの会社もASIP6.2.1を使用しています。
以前、不正中継に使われていましたが、いろいろ設定を確認し、
現在は、すべての不正中継を拒否しています。
また、どこのプロバイダからもメールの送受信は可能です。

設定は、ほぼ皆さんの設定と同じですが、
「SMTP名とIPアドレスが一致しないときは接続を記録する」もチェックは
つけたままです。

解決のポイントは、90%以上DNSの設定にあるようです。
ASIPでは、ローカルアカウントとそうでないアカウントをDNSを使って判断
しているようですので、ローカルIPアドレスのホスト、MXレコードのホスト
の設定をきっちりすれば、不正中継メールを防げます。
肝心なのは、逆引き設定のほうでこちらを正しく設定しないとドメイン名から
IPアドレスの参照ができないので、ローカルアカウントかどうかを判断できない
ようです。

ご参考になるかどうか判りませんが、やってみてください。


たまちゃん さんからのコメント
( Monday, March 27, 2000 18:46:00 )

はじめまして,ひぐまさん。

朗報を有り難うございます。ひぐまさんのサーバでは,ORBS のテストはパス
されましたか?ASIP で ORBS のテストにパスしたという明示的な報告はまだ
知らないんです。

もしパスされたんでしたら,ひぐまさんのメールサーバの設定をかいつまんで
紹介していただけないでしょうか。

よろしくお願いします。

ひぐま さんからのコメント
( Tuesday, March 28, 2000 12:07:53 )

はじめまして、たまちゃんさん。

ORBSのテストはどこでできるのでしょうか?
VIXとNANETのテストではOKでした。

お手数ですが、教えていただけませんでしょうか。
よろしくお願いいたします。
P.S.
今朝も不正中継メールが約30件ほど来ていましたが
すべて、拒否できていました。

たまちゃん さんからのコメント
( Tuesday, March 28, 2000 12:39:08 )

ORBS は以下の場所にあります。この中の

I want to report an open relay to ORBS 

で,サーバの IP アドレスを入力するとOKです。どのようなテストを行って
いるかのログも(差し障りのない範囲で)教えていただけると幸いです。

頑張ってください。ひぐまさん。そしてひぐまさんの ASIP。

→  ORBS

ひぐま さんからのコメント
( Tuesday, March 28, 2000 13:13:00 )

こんなメッセージが帰ってきました。
どういう意味なんでしょうか?


Processing Open Relay Submissions 
--> thanks, xxx.xxx.xxx.xxx has been queued for testing 
There are currently 2187 entries in this test queue. 
Please visit the email submission page if you'd like to make 
regular submissions to ORBS. 
           
The current time is 2000-03-28 04:07:21 UTC (yyyy-mm-dd hh:mm:ss)

ASIPのログにも何も変化はありません。
 

たまちゃん さんからのコメント
( Tuesday, March 28, 2000 13:22:56 )

今からテストしにいくよーん,という意味です。テスト待ちのサーバが
2187もあるそうで,ひぐまさんのサーバを訪れるのはしばらく後になる
と思います。

気長にお待ち下さい。

ひぐま さんからのコメント
( Tuesday, March 28, 2000 13:51:20 )

すばやいレス、ありがとうございます。

気長に待ってみます。
1分1件ぐらいのペースみたいですね。

ひぐま さんからのコメント
( Tuesday, March 28, 2000 17:23:37 )

ORBSテスト終了しました。

特に問題はないようです。

アクセスは全部で18回ありました。
うち、ドメインにIPアドレスを使いローカルユーザに成りすまそうとした
SMTPが4回あり、それらは不明な利用者からのメールということでローカル
のメール管理人に転送されました。

それ以外は、
Recipient Rejected! 
From Address Rejected!
で受信拒否できました。

ログとサーバの設定を書き込もうと思いますが、明日にします。(激忙 涙)


たまちゃん さんからのコメント
( Tuesday, March 28, 2000 17:43:33 )

18回のテストだということは,以前と内容が変わっていない可能性が大です
ね。

いずれにせよ,よかったですね。

お時間の出来たときに書いてください。よろしくお願いします。

あまくさ さんからのコメント
( Tuesday, August 15, 2000 16:05:22 )

私はASIP6.3を使用しています。
色々と試すのですが SPAMメールに対しての設定がよくわかりません。
ひぐまさんの設定がどうなっているのか是非お教え願いたいと思っています。

しみず さんからのコメント
( Friday, August 18, 2000 18:38:02 )

ASIP6.2でサイト運営しています。SPAM対策は
「SMTP受信接続を確認する」−「SPAMの受信拒否に標準サーバを使う」
程度しかしてませんでした。

この度、お盆で留守にしてる間に、3万通程のSPAMメールに襲われサーバー
がダウンし、おまけにOCNからORBS及びRSSのブラックリストに載ったので
SPAM対策後、web上で登録解除するようにメールがありました。
ほんと、散々でした。リベンジしたいもんです。
90%以上DNSの設定でSPAMメールに対策ができるのなら私も是非お教え願い
たいですm(__")m

KOY さんからのコメント
( Friday, August 18, 2000 20:19:51 )

>90%以上DNSの設定でSPAMメールに対策ができるのなら

これは勘違いです。もとのひぐまさんの書き込みをちゃんと読んで欲しいと
思います。

>「SMTP名とIPアドレスが一致しないときは接続を記録する」をチェックした
ときの弊害を回避する方法だと思います。

うちでは6.3のとき問題があったのでこのチェックを外してあります。その後
6.31にしましたがそのままになっています。
確かにDNSの設定でチェックを活かす方法があるような気もするのですが、
良くわかりません。

ということで、あまくさ さんと同じく、DNSの設定を教えて欲しいという
希望があります。

nanetはクリアするのですが、ORBSは不明です。ブラックリストには載って
いないようですが。

田中求之 さんからのコメント
( Friday, August 18, 2000 23:25:14 )

>DNSの設定を教えて欲しいという
>希望があります。

ASIP の spam 防止用に DNS の特別な設定が必要なわけではないですよ。

ひぐまさんの発言の中に

>ローカルIPアドレスのホスト、MXレコードのホスト
>の設定をきっちりすれば、不正中継メールを防げます。
>肝心なのは、逆引き設定のほうでこちらを正しく設定しないとドメイン名から
>IPアドレスの参照ができないので、ローカルアカウントかどうかを判断できない
>ようです。

とありますが、何も特別なことを言っているわけではありません。ホストの
IP アドレスの設定、MX レコードの設定、逆引レコードの設定のどれを
とっても、サイトを運用するために当然きちんと設定しなければいけない
ことばかりです。

つまり、ASIP の spam 対策機能がきちんと働くためには、DNS サーバの
設定がきちんと行ってあることが必要、ということです。

あまくさ さんからのコメント
( Sunday, August 20, 2000 12:02:57 )

前回投稿の後、ASIP6.3でいろいろ試してみました。
現在の設定は、
[省略時のホストを編集]
    [メールの受信]
        ホストからのメールを許可する
            このホストからローカルアドレスだけにメールを配送する(SMTPリレーなし)
                受取人の受信拒否をエラーとして記録する
[メールサーバの設定]
    [メールの受信]
        不明なローカル利用者として配送されたメールを転送する
        利用者&グループ内のローカルの”差出人”アドレスを必要とする
[詳細設定]
    [ネットワーク]
        常にDNSを確認する
        [DNSリクエスト]
            MX-ListとA-Record
    [SPAM対策]
        SMTP受信接続を確認する
            SPAMの受信拒否に標準サーバを使う
        SMTP名とIPアドレスが

上記の設定で運用しております。
これまでの設定と違うところは、[省略時のホスト編集]です。
ASIPは、各メールホストから接続が合った場合、ホスト一覧に
登録していきますが、その登録の時[省略時のホスト編集]で指定した
設定が適用されるようです。
この設定をしないでデフォルトのままにしておくとすべてのホストからの
メールが許可されてリレーに使われるようです。

チェックはnanetはクリアしましたが、ORBSは辞書片手にトライしましたが
現在の設定前の状態がDBに入っていて再度テストする方法が解らないでいます。

最後に
上記の設定でほとんどうまくいったのですが、ある時、私が外部へのメールを
出したところメールサーバから接続を拒否されてしまいました。
原因は、メールホストの名前がaaa.xxx.co.jpになっているのですが
メールクライアントでのメールアドレスは、あまくさ@xxx.co.jpと
マシン名が記載されていないことから拒否されたものと思います。
対応として
ホスト一覧からホストを新規作成するでxxx.co.jpを作成し
[メールの受信]
        ホストからのメールを許可する
にだけチェックを入れて逃げています。


                                          

たまちゃん さんからのコメント
( Sunday, August 20, 2000 12:23:19 )

>現在の設定前の状態がDBに入っていて再度テストする方法が解らないでいます。

以下のURLで試してください。

→  Report a closed relay

あまくさ さんからのコメント
( Sunday, August 20, 2000 12:36:48 )

たまさんありがとうございます。

お教えいただいたところにIPアドレスを入力しNEXTボタンをクリックしたところ
下記のようなメッセージが表示されました。
これって何を言っているのでしょうか?

Database Check 

             STOP! Read this entire page before continuing. You must click on the link at the end of this page to confirm that the host is secured or it
             will not be removed from the database. 
               
             This host is relaying mail injected to the following addresses. Have the open SMTP relay(s) feeding into it from the following address(es)
             been fixed?: 
               
              xxx.xxx.xxx.xxx
                            2000-08-14 05:39:32 UTC (view relay)

               
             If these are not all fixed or blocked, please do so before submitting your relay for removal from our database. Thanks. 
               
             By submitting the host(s) as closed, you are accepting responsibilty for the fact that retesting will take place and any consequences which
             may arise from those retests. If you are not responsible for the hosts, do not submit them as closed. 
               
             Follow this link to see the vulnerabilties which ORBS checks for. 


たまちゃん さんからのコメント
( Sunday, August 20, 2000 12:50:09 )

全文を訳すのは勘弁していただくとしまして,要は「きちんとオープンリレーを
閉じることが出来てますか?閉じることが出来たというリクエストを出すことに
よって(当方は)再テストを行いますが,このテストによって生じるいかなる結
果に対してもあなたは責任をとることになります。」ということで,オープンリ
レーが無くなったよという報告をする前に再度確認してくれということです。

ということで「Follow this link」にしたがっていくといいと思います。

あまくさ さんからのコメント
( Sunday, August 20, 2000 13:01:15 )

たまちゃん早速ありがとうございます。
「Follow this link」をたどっていってみます。(また辞書が入りそうですね。ハハハ)

あまくさ さんからのコメント
( Sunday, August 20, 2000 16:41:42 )

「Follow this link」をクリックして下記のメッセージがでたところで
If you are looking for numbered tests, you're on the wrong site. ORBS describes vulnerabilities and doesn't number them. Try
             http://www.abuse.net/relay.html 

http://www.abuse.net/relay.html をクリックすると
ネットワーク接続をサーバから拒否されました
www.abuse.net
サーバは接続を受け付けていないか、大変混雑しているようです。
あとで、もう一度接続してみてください。

というメッセージが表示されてしまいます。
何回トライしても同じなのですがこれは選択しているところが
違うのでしょうか?それとも単にサーバが混んでいるだけかな?

たまちゃん さんからのコメント
( Monday, August 21, 2000 00:54:19 )

>「Follow this link」をクリックして下記のメッセージがでたところで
>If you are looking for numbered tests, you're on the wrong site. ORBS describes 

どうしてこのメッセージが出てきたか不明ですが,どうしても先に進めないときは

http://www.orbs.org/report_1.html

で一度テストしてみてください。

あまくさ さんからのコメント
( Monday, August 21, 2000 11:23:07 )

たまちゃんありがとうございます。
http://www.orbs.org/report_1.html
にいって操作するとDBに登録されているというメッセージが
表示されそこから操作を続けると結局は、ttp://www.abuse.net/relay.htmlに
いくことになり接続が出来ない状態になってしまいました。
時間をおいてまた、試してみます。

ゆうれい さんからのコメント
( Monday, August 21, 2000 17:41:45 )

脱線

(翻訳+評価などで検索してみてください)

機械翻訳
http://www.bekkoame.ne.jp/~oto3/

KOY さんからのコメント
( Friday, August 25, 2000 21:14:27 )

ORBSのチェックというのは、依頼してリレーしていると判定されると
データベースに登録されてしまうのですね。

これは怖いです。

たまちゃん さんからのコメント
( Monday, August 28, 2000 16:52:30 )

>これは怖いです。

リストが公表されているのが,私にはもっと恐ろしいです。

橋本真典 さんからのコメント
( Thursday, January 25, 2001 17:11:22 )

20世紀末から、弊社のASIP6.3メールサーバがSPAMのリレーに使用されていま
したが、大した件数ではなかったので放っておいたところ、ORBSに登録され
てしまい、業務に支障を来すようになりました。
そこで、以前からお世話になっているこの会議室の情報を頼りにSPAM対策を
実施したのですが、前々から話題になっております「名前とアドレスが一致
しない時は拒否する」をチェックしますと、WINDOWSユーザがメールの送信
をすることが不可能となってしまいます。
Macユーザは何ら問題なく、メールの送信を実施することができます。
上記チェック以外は、AppleのTeck Info Libraryに掲載されております
AppleShare Mail Server:How To Prevent Unauthorized Mail Relayingの
通りに対処を行い、その後のメールサーバは不正に利用されることなく順調
に稼働しておりますが、WINDOWSユーザーのためにチェックをはずしている点
が、どことなく不安です。
どなたか対処方法がございましたら、御指導の程をお願い致します。
また、今回の被害に関する情報を情報処理振興事業協会(IPA)
セキュリティセンター 不正アクセス対策室に申請したところ、迅速なご案内
をいただくことができました。
同じような被害に遭われた方は、ネットワークユーザー全体の為に、格好悪
いとか考えずに、被害の申請等をなさった方がよろしいかと感じました。

→  http://www.ipa.go.jp/security/

田中求之 さんからのコメント
( Thursday, January 25, 2001 17:31:27 )

>WINDOWSユーザがメールの送信
>をすることが不可能となってしまいます。

すべての Windows ユーザーですか? それとも、特定のメールソフトを
使っている Windows ユーザーですか?

OS に依存するとは思えないので、おそらく、メールソフト側の問題のような
気がするのですが…(メールソフトの SMTP サーバの設定の仕方かな??)