このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

ASIPでSPAM対策をするとWinでメール送信できない

発言者:hiro
( Date Wednesday, March 14, 2001 11:59:13 )


ASIP6.3.2Jでサーバーを運用しています。最近SPAMが多いので対策として、
メールサーバーの詳細設定のSPAM対策内の「名前とアドレスが一致しない時は拒否する」
という設定にすると、Winからメールの送信が出来なくなります。
受信は出来るんですが、どうしてなんでしょうか

Joes浅倉 さんからのコメント
( Wednesday, March 14, 2001 12:16:02 )

似た状況は経験しました。Winだけかどうかは分かりませんが。

私の場合は、LOG確認すると個々の端末についても(逆引きで?)DNSに問い合わせていました。
ので、DNSにちゃんと登録されていない端末からは発信出来なくなっていました。


hiro さんからのコメント
( Wednesday, March 14, 2001 13:35:38 )

早々のレスありがとうございます。
社内ではローカルアドレス192.168.253.***を使っていて、ルーター側でグローバルに変換しています。
こういった場合の、ユーザー認証の為のDNSの設定はどうしたらいいのでしょうか
例)
単純にリバースを5.253.168.192.in-addr.arpa.  PTR  192.168.253.5
にしましたが駄目です。
よろしくお願います。

Joes浅倉 さんからのコメント
( Wednesday, March 14, 2001 14:11:06 )

え〜、実はよくわかりません。結局、「拒否」にまですると、少々具合が悪かったもので。
LOGをみると、この設定では外からのメールも結構受信出来ずに跳ね返してしまいます。
受信と送信のdomainが一緒でもServer名が違っていると、それだけで拒否してますので。

ホストの設定で、ルーターが使用するグローバルアドレスからのみリレーを許可、他はリレー禁止
ではダメですか?

hiro さんからのコメント
( Wednesday, March 14, 2001 14:19:59 )

何度もすいません、一応その設定にしているんですが、ねんにわねんおと
思ったもので...

今泉克美 さんからのコメント
( Wednesday, March 14, 2001 16:00:01 )

ASIP6.2-winクライアントユーザです。

解決できると信じています。
ためしてみていただきたいのですが。

ルータのIPマスカレード機能を使える環境であると
思いますけれど、それを使います。

ここではサーバはグローバルアドレスが与えられていると
考えます。(文面から見てそう判断しました)

1.
ローカルなIPを持つWinとの整合性を取ること。

2.
各クライアントのネットワークの設定方法

両者をうまくやればいいわけですよね?
そのために,今、お考え中の、
「ローカルアドレスでもって
DNSの逆引き設定する」
アイデアは捨てる方針でいきます。
たぶん ASIP はこれ、苦手なんです。

まず、1番。ローカルなIPを持つWinとの整合性を取ること。

サーバから見える、各クライアントは
全部ひとつのグローバルアドレスに
みえるようにIPマスカレードします。
NATとも言うのでしょうか。
このためのグローバルアドレスを
あらかじめ1個確保しておいてください。
次に、このアドレスでもって
DNSに登録します。
逆引きも正引きもできるように。

たとえば、ASIPで定義した、サーバ自身の
IPドメインが
myweb.co.jp
だったとすると
今度作る、クライアント用のマスカレードのIPに
つける名前は
client.myweb.co.jp
とします。
(clientの部分はお好きな名前で結構です。)

ここまでで
各クライントからのSMTP接続では
サーバから見ると、全部一様に
client.myweb.co.jp
からの接続になるはずです。
(サーバがDNSを見る限りにおいて、と
IPマスカレードによって)

次。項目2番。

ここにコツがあると思っています。
各クライアントのネットワークの設定方法ですね。

例としてWIN95をあげますが
win98でもWinNT4.0でも
以下遵守すれなOKです。
Win2000だけは試したことがありません。
(あしからず)

ではWIN95のネットワーク設定。
TCP/IPのプロトコルのDNS設定タブで
DNSを使うにしておいて
(注:DNSサーバの値をDHCPにまかせるときでも!)
ホストに設定する値をさきほどの
client
ドメインに設定する値をさきほどの
myweb.co.jp
とします。
これは、全クライアントとも同一にします。
各クライントごとに固有、一意にしないほうがいいです。

−−−−−−−−−−−−−−−−

ここまでの設定で
各クライアントは独自のローカルIPアドレスと
同じ client.myweb.co.jp でもって
SMTPのアクセスを行います。
ルータで、ネットワークアドレス変換されて
同一のグローバルアドレスと
同一のホスト名 client.myweb.co.jp
に姿を変えます。

サーバはこの情報をそのまま信用せず
SPAM中継拒否のチェックのために
DNSを見にいきますが
これらは、きちんと登録済みですから
OKとなります。
また、
サーバのホスト一覧には出てきません。
全部、myweb.co.jp
の扱いとなります。

−−−−−−−−−−−−−−−−−
なお、IPマスカレードの性質といったらよいのか
TCP/IPのパケットでアドレス以下の詳細情報の性質と
言って良いのかわかりませんが
きちんと区別され、混信することはありません。
−−−−−−−−−−−−−−−−−

お試しください。

−−−−−−−−−−−−−−−−−

追伸:メール関連ではありませんが。
以上の処置をした場合の関連話題。

smbを使って
サーバのファイル資源を共有し
クライアントから利用させると
クライアントからサーバが見えないハズです。

この場合、IPアドレスのサブネットが
違うためと解釈されます。

windowsが使っている
NBT (NetBIOS over TCP/IP)では
このような場合に
各クライアントから
サーバの名前解釈ができなくては困りますので
lmhostsなりwinsなりを使えばOKだと思います。

弊社では、クライアント数が少ないので(30台くらい)
winsを使うとかえってスループットが落ちるようなので
lmhostsを使っています。

上に書いた以外は全部DHCPサーバから
クライアントの各種設定を読みこませています。
これが一番取りまわしが簡単でした。
 
          以 上


今泉克美 さんからのコメント
( Wednesday, March 14, 2001 16:07:49 )

追伸:

WINDOWSのネットワークで使っている
PORTの
135,137,138,139くらいは
外側の世界から見えないように
ルータで無条件に遮断したほうがいいです。
内側からは使えるように。

本日聞いた話ですが
これをおこたっていて
しかもクライアントにグローバルアドレスを
与えている会社があって
ルータがなくて外にむき出しの環境があったそうです。

そこでは、共有フォルダを作るたんびに
そこにウイルスがどっさりこんと。。。

hiro さんからのコメント
( Thursday, March 15, 2001 13:36:26 )

ご教授ありがとうございます。
これから、色々試してみます。

しみず さんからのコメント
( Tuesday, April 03, 2001 21:56:56 )

#ASIP6.33+QuickDNS Pro2.1-Mac+winクライアントユーザです。

メールサーバーの詳細設定のSPAM対策内の「名前とアドレスが一致しない時
は拒否する」という設定にするとWinでメール送信できないという事態に直面
しています。
今泉克美 さんの設定でルータのIPマスカレード機能を使う方法はいまひ
とつよくわかりません。

送信不能はWINで使っているOutlookに起こります。Eudoraでも不能でした。
どういうわけか、PostPetでは送信できます。OutlookをPostPetみたいに
設定できないもんでしょうか?
Outlookの設定だけで上手くいっている方があれば教えてください。

今泉克美 さんからのコメント
( Wednesday, April 04, 2001 13:39:57 )

POSTPETについては
よくわかりません。
昔さわったときの
設定の感触では
OutlookExpressと
原則はかわらずでした。
OutlookExpressの
設定とPostpetの設定で
異なるところがあるのではないでしょうか?

クライアント側だけで不明ならば
サーバのログを見て比較すると
ある程度のヒントになるはずです。

【「名前とアドレスが一致しない時は拒否する」
という設定にするとWinでメール送信できない】
のですから
Winクライアントの名前とアドレスを一致させる
必要があります。
メールサーバに充てたIPアドレスが所属するサブネット内に
Winクライアントがあれば、話は簡単なのですが
いかがでしょうか?

WINだけでおかしくなるのは
ホスト名.ドメイン名の定義を
サーバにひきわたすからです。
MACではそうねはないはずです。

TCP/IPのプロパティで定義する、
ホスト名.ドメイン名
が、ASIPが認識する名前になります。
これが、IPから判定した名前と不一致か、
もしくはIPからみて、名前を引けないと
【名前とアドレスが一致しない】ことになります。

ASIP6.2で試したのですが
以下、裏ワザを。
WIN95とWIN98では
裏ワザが使えます。
クライアントがローカルなアドレスを
持っているならば使えるでしょう。

ホスト名.ドメイン名において
ドメイン名を空白設定しておいて
ホスト名に、WINクライアントに
あてられたIPアドレスをそのまま書きます。

たとえば、
ホスト名 192.168.100.17  (注:半角で)
ドメイン名 空白

こうすると
ASIP側では
名前=”192.168.100.17”
を受け取りますが
通常の名前ではないので
DNSサーバに検索しないで
いきなり、IPアドレスと比べて
一致しているとみなしてくれます。

なお、NT系のクライアント(2000含む)は
ドメイン名の省略ができませんし
ホスト名に数字ばかりの入力ができませんので
この裏ワザは使えません。

また、バージョンがあがったASIPで
どうなるのかもためしていません。

しみず さんからのコメント
( Thursday, April 05, 2001 17:30:29 )

今泉さん、ご返事ありがとうございます。


>>
たとえば、
ホスト名 192.168.100.17  (注:半角で)
ドメイン名 空白

<<
わたしとこは、ASIP6.33でクライアントはWIN98です。
この裏技は通用しませんでした(--"残念!

ネットワークのDNS設定でホスト名 、ドメイン名が決め手と思い、
いろいろ試してますがあきません。
サーバのログの比較では
PostPetの場合、
発信元のDNS名:"123.456.789.249
と表示されうまく送信されます。

OutLook等のメーラーではホスト名 、ドメイン名をどう設定しても
TCP/IP経由のSMTP受信の接続が拒否されました。
発信元のDNS名:"123([123.456.789.249])<DNS reverse-ip-error-[-3170]>)"
と表示されます。

ちなみに、OutLookで表示されるエラーメッセージは
TCP/IP接続はサーバーによって強制終了されました。(アカウント:"post",
SMTPサーバー"mail.aaa.or.jp"エラー番号:Ox800cccOf).

でした。
これは、DNSサーバーの設定をいじらないといけませんかね?





発信元のDNS名:"123.456.789.249


今泉克美 さんからのコメント
( Thursday, April 05, 2001 19:00:56 )

裏技、通用せずですか。。残念ですね。

まず、Win98はローカルアドレスでしょうか?
サーバはローカルアドレスでしょうか、グローバルでしょうか。

以下、サーバはグローバルで、クライアントはローカルだと
推測してお話します。

クライアントなのにホスト名というのも変なのですが
ホスト名前.ドメイン名
でDNSを検索したときに、アドレスがかえってこなくては
いけません。

DNSに登録されていなければ
いくらクライアントの名前=ホスト名や、ドメイン名を
いじっても徒労だと思います。

私のところでは
サーバが
mydomain.co.jp
クライアントが
client.mydomain.co.jp
として
外側にアウトソーシングしたDNSで調べると
両方とも、グローバルアドレスが
帰ってくるようにしています。
(当然、違うアドレスです)

外側の世界(DNSもこっち)
  |
ルータ
  |
【F/W】−−サ−バ(グローバルアドレス)
  |
-----------------------------LAN(ローカルアドレス)
|     |     |     |    |    |
ク    ク    ク    ク   ク   ク

各クライアントのTCP/IPのアドレス設定は
ローカルです。192.168.100.ほにゃらら
ひとつひとつ違うユニークなものですね。

で、あい異なる各クライアントのアドレスは
F/W(ファイアーウォール)を通過して
サーバ側にいくときには
全部同じIPアドレス(グローバル)に
ネットワークアドレス変換します。
他の機器をはさんで実現でもいいでしょう。
(NAT、IPマスカレード)

サーバから見れば、クライアントのアドレスは
全部同じで、グローバル。(混信しないので大丈夫)
これを、サーバがDNSで調べると
client.mydomain.com
で、クライアントが名乗っている「client.mydomain.com」と
一致するわけです。
一致することが最終目標でした。

−−−−−−−−−−−−−−−−−−
さて、サーバがローカルなアドレスを
持っていたときはどうなるか?
実例で検証したことがありませんが
APPLEのTILにヒントが
あったと思います。
アドレスは、こないだの
私のPCのクラッシュで
紛失しました。すみません。


しみず さんからのコメント
( Saturday, April 07, 2001 23:45:37 )

今泉克美 さん ご返事どうもありがとさんです。

サーバはローカルなアドレスを使っています。

WINがメールクライアントになることで、DNSの設定を変更しないといけない
ようですが、どうもうまくいきません。

「名前とアドレスが一致しない時は拒否する」という設定にすると、
SPAM対策は大分よくなるのですが携帯メールの受信を拒否されたり、
どうも支障がでてくるようですが、そんなことありませんか?


今泉克美 さんからのコメント
( Monday, April 09, 2001 18:18:55 )

>携帯メールの受信を拒否されたり、
どうも支障がでてくるようですが、
そんなことありませんか?

これについては、正直、わかりません。
障害は、あるとは思います。
固定の信頼できる携帯電話からの接続で
pppが自社内にあって
ローカルアドレスをもっているなら
DNSで名前解決できるように
しておいて
そこからのSMTPは
中継をOKにするように
する手が考えられます。
が、不特定多数では
発想からして無理です。

>WINがメールクライアントになることで、
>DNSの設定を変更しないといけないようですが、
>どうもうまくいきません。

サーバもクライアントもローカルなアドレスだとすると
IPアドレスや、DNSの設定を
こちらに書き込んでも、支障がないと思われます。
プライバシーは漏れないと思いますので。

また、ASIPメールサーバのSMTPのログを
こちらに書くと、対策が見えやすいかもしれません。

myasip.com
配下につなげたい
ある、ひとつの
winクライアントのホスト名が、client1
だとして、
client1.myasip.com
の名前に対して
winクライアントのIPアドレス、192.168.100.48
とかが、DNSに設定されていれば
OKのはずですが。
ただし、ローカルなアドレスですから
公の(外部の)DNSにはこの設定はできません。
内側のDNSだけに設定されることになりますが、、
192.168.100.48を調べればclient1.myasip.com、
client1.myasip.comを調べれば192.168.100.48
というふうに、一対一対応していればOKです。
ただし、
今回のここまでのカキコミでは、
あるひとつのクライアントは、IPアドレスを
固定で割り与えられている、ということになります。
そうでなければ、一対一の対応をDNSに持てません。

また、社内DNSがこけたときの
もうひとつのDNSを見に行ったとき
定義がなければ、Winクライアントの
SMTPはとまります。

さて、
IPアドレスの割り当てにあたって
DHCPを単純に使うと、DNSの定義は不可能に
なることがおわかりかと思います。
どうしてもDHCPを使いたければ
たとえば、5台のWinクライアントの名前が
client1
client2
client3
client4
client5
であると、だめでして
全部、同じ名前のclientにしてしまいます。
5台にDHCPが配布する
アドレスの範囲が
192.168.100.41 から
192.168.100.45
だとします。
このようにしておいて
IPマスカレード(ネットワークアドレス変換)を
かまして
192.168.100.200 (固定)
にします。
5台とも、サーバから見えるときには
192.168.100.200です。

かくして
サーバからは
client.myasip.com(192.168.100.200)
が見えるようになり、常に固定です。
この定義を、内部のDNSに設定しておけば
いいと思うのですが
いかがでしょうか?

以上は、ためしてみていません。
私どもの設定をもとに
サーバがローカルアドレスだった場合に
どうなるか推定してみただけです。
もうしわけありません。


しみず さんからのコメント
( Friday, April 13, 2001 21:30:46 )

#今泉克美 さん
ご返事ありがとうございます。
>>
IPマスカレード(ネットワークアドレス変換)を
かまして

<<
IPマスカレードがキーワードのようですね。
また、教えてください。まだ、未解決です。

今泉克美 さんからのコメント
( Monday, April 16, 2001 17:52:28 )

うーむ、、

NAT(もしくはIPマスカレード)以外で

サーバもクライアントもローカルアドレスで
簡単な設定方法、ないのかしらん?

識者求む!

あってもよさそうなのですけれど。

どちらかというと私のやりかたは
邪道ではないかと思っていますので。

>しみずさま
APPLEジャパンのTILで
natについて、検索してみてください。
いかがでしょうか?