このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

EIMS3.0.2で踏み台防止のために色々制限をしたらおかしくなった!

発言者:Hiramac
( Date Thursday, December 14, 2000 10:59:22 )


皆様いつも参考にさせていただいております。

abuse.netに掲載されてしまったので、spam防止をしようと
思いました。

外出先からプロバイダー経由で、社内のメールにを受信する
必要なないので、「社内での送信、受信に限定した」EIMSの
設定を行おうとしました。

現状では、defaultのままの設定です。

1.まずPreferencesのRelay restrictionsで
「Only relay if for local domains or the following domains
  AND if from a valid IP:」を選択、弊社で使っているメールサーバ
用のドメイン「mail.XXXXX.co.jp」をAdd。

2.PreferencesのPOP3 & IMAP4で
「Only allow access from these addresses」を選択、
弊社に割り当てられているIPアドレスをfromからtoに入力、Add。
(メール受信は社内の指定されたIPアドレスからのみ、ということですよね?)

3.PreferencesのSMTPで
「Only allow access from these addresses」を選択、
弊社に割り当てられているIPアドレスをfromからtoに入力、Add。
(メール送信は社内の指定されたIPアドレスからのみ、ということですよね?)

4.最後にPreferencesのMail relayで
「Only allow access from these addresses」を選択、
弊社に割り当てられているIPアドレスをfromからtoに入力、Add。

以上のように設定したのですが、
社外からのメールをまったく受信できなくなってしまいました。

私の理解が間違っているのでしょうか。

とりあえず、社外からのrelayは出来なくなっていることは確認したの
ですが。

たまちゃん さんからのコメント
( Thursday, December 14, 2000 12:04:04 )

>3.PreferencesのSMTPで
>「Only allow access from these addresses」を選択、
>弊社に割り当てられているIPアドレスをfromからtoに入力、Add。
>(メール送信は社内の指定されたIPアドレスからのみ、ということですよね?)

これは SMTP のセッションをどのアドレスから認めるかという項目
ですから,社内だけに限定すると外部からのコネクションが確立で
きなくなります。したがって純粋にイントラネット的に用いるので
ない限りは,ここのチェックを外してください。

送信(リレー)の制限は次のメールリレーのところで行います。

Hiramac さんからのコメント
( Thursday, December 14, 2000 12:14:58 )

たまちゃん、レスありがとうございます。

SMTPのIPアドレスは削除しました。

試しにiモードのメールで自分宛にメールを送って見たのですが、
やはり受信できません。

他にチェックする項目があるのでしょうか。

Hiramac さんからのコメント
( Thursday, December 14, 2000 12:19:55 )

こうなると、PreferencesのMail relayのIPアドレスの指定が
おかしいような気がするのですが、このIPアドレス(つまり
from toに指定するIP)は、クライアントで使っているIPアドレス
なのでしょうか?
私は、弊社に割り当てられているIPを全部指定してしまいましたが。

たまちゃん さんからのコメント
( Thursday, December 14, 2000 12:21:42 )

EIMS の再起動は行いましたか?

Hiramac さんからのコメント
( Thursday, December 14, 2000 12:52:50 )

たまちゃん、ありがとうございます。
お昼だというのに..

再起動を行ったら、たまっていたメールが受信できるように
なりました。

結局PreferencesのMail relayで
「Only allow access from these addresses」を選択、
弊社に割り当てられているIPアドレスをfromからtoに入力、Add。
ということだけで、良いと言うことですね?!

ただ非常に心配なことがあります。

1.プロバイダーDionのミニミニコースに入っていますので
(http://www.dion.ne.jp/dialup/service/mini/index.html)
ラップトップとPHSでインターネットにアクセスします。

2.Eudoraの設定を受信用は「pop.XXX.dion.ne.jp」のように
プロバイダーのサーバを設定します。送信用は「mail.dion.ne.jp」
ではなく、弊社のサーバ「mail.XXXXX.co.jp」と設定します。

3.それでメールを出すと、何とメールが送れてしまうのです!

たまちゃん さんからのコメント
( Thursday, December 14, 2000 13:08:58 )

>3.それでメールを出すと、何とメールが送れてしまうのです!

SMTP 認証を使って送っているのなら,リレーの制限の設定は無視
されますので,動作としてはおかしくありません。

Hiramac さんからのコメント
( Thursday, December 14, 2000 13:18:22 )

たまちゃん、ありがとうございます。

少し理解しにくいのですが、

>SMTP 認証を使って送っているのなら,リレーの制限の設定は無視
>されますので,動作としてはおかしくありません。

ということは、私と同じ設定にすれば、外部の人間が誰でも弊社の
メールサーバを介してメールを送れてしまうということになりませんか?

たまちゃん さんからのコメント
( Thursday, December 14, 2000 13:21:08 )

>ということは、私と同じ設定にすれば、外部の人間が誰でも弊社の
>メールサーバを介してメールを送れてしまうということになりませんか?

認証に失敗するので,送信することは出来ません。

Hiramac さんからのコメント
( Thursday, December 14, 2000 16:57:04 )

たまちゃん、ありがとうございます。

理解できました。

いろいろとありがとうございました。

田中求之 さんからのコメント
( Thursday, December 14, 2000 18:54:26 )

直接は関係ないことですが…

>理解できました。

これって重要なことだと思うんですよ。

spam 対策/セキュリティ対策は、結局のところ、仕組みや対策の方法について
ちゃんと理解するということに尽きるとおもいます。「どうすればいいのか」
だけ分かっているよりも(分からないよりはましですが)、「なぜそうするのか」
を理解することの方が、私はむしろ重要なのではないかと思います。

たまちゃん さんからのコメント
( Thursday, December 14, 2000 21:49:34 )

>理解できました。

私の前のコメントは(もうお分かりだと思いますが)非常に不正確
なものでした。不正確であること,そしてどんな答えが正確である
のかをじっくりと考えられたことと思います。

Relay に関する設定は 2.2.2 と 3.0.2 でそう変わらないのですが,
セキュリティ対策については,これから 3.x バージョンは徐々に強
化されていく模様です。残念ながら 2.2.2 にそのような機能が実装
される見込みは低いです。

別のスレッドで紹介した Stopping Spam and Trojan Horses with BSD
という文章を読んでいて,EIMS がいかに優れているかがよく分かりま
した。優れているというのは,機能面ではもちろんのことですが,メー
ルサーバはこうあるべきだという Glenn さんの強い思想のようなものが
製品にきちんと反映されているからです(例えば POP before SMTP など
は「穴」をあけることになるので,実装はされないでしょう)。

このような製品をもつことができて,本当に幸せです。