このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

Mac OS X Serverのメール不正中継防止策について

発言者:島崎
( Date Tuesday, July 10, 2001 22:44:59 )


Mac OS X Server 10.0でインターネットサーバを構築しようと思って
います。
しかしMac OS X Serverの標準のメールサーバ(AppleMailServer)で
のメールの不正中継防止の方法がはっきりしません。
Tech Infoにも載っていないようですし、Appleのサポートに電話した
ところ、そのような機能はない(!?)と回答されてしまいました。
本当にメールの不正中継を防ぐ方法は用意されていないのでしょうか?
どなたかMac OS X Server 10.0でメールサーバを構築されている方で
不正中継を防ぐ方法をご存じでしたら教えていただけないでしょうか?

宜しくお願いします。

田中求之 さんからのコメント
( Tuesday, July 10, 2001 23:42:15 )

稲垣さんからの情報だと、OS X のメールサーバは sendmail を基礎とした
カスタマイズ版(?)のようですから、基本的には、 sendmail と同じ
考え方で不正中継対策ができるんじゃないですかね?

ただ、こうした処理になると terminal で config ファイルを書き換えると
いった、UNIX だよン〜〜んって世界へ入らないといけないのが OS X の
特徴(良くも悪くも)という気はします。

少なくとも、GUI のレベルでは、これといった特別な設定はないですよね。

たまちゃん さんからのコメント
( Tuesday, July 10, 2001 23:49:50 )

Admin ガイドのメールサービスの項を読まれるといいと思います。
すっぴんのまま AppleMail Server を動かすとオープンリレーにな
っています。

MXS_Admin_Guide.pdf の中にある「ローカル IP アドレスのみに
メールを配信する( SMTP リレーなし)」という記述(訳)は誤り
です。

→  管理者ガイド

今泉克美 さんからのコメント
( Wednesday, July 11, 2001 09:06:26 )

...(−−)

稲垣 さんからのコメント
( Wednesday, July 11, 2001 11:48:07 )

 今、マニュアルを見ながら書いています。以下の制限がかけられる様です。

・受信SMTP接続をチェックする
・SMTP名がIPアドレスと一致しない時にログを記録する
・ユーザとグループないのローカルの差出人アドレスを必要とする
・SMTPサーバからのメッセージを拒否する

 まあ、適切とは言いがたいですが、非常に最低限のことはできる様です。
#ただし、必要最低限かは別ですが・・。

 で、オプションとしては、SMPT名がIPアドレスと一致しない時にログを
とる中には、拒否することを設定できる様です。
 また、受信SMTP接続をチェックするでは、外部のリストを見て拒否する
ようにできる様です。

稲垣 さんからのコメント
( Wednesday, July 11, 2001 11:51:29 )

 マニュアルの日本語版は、アップルのサイトで公開されていますので、そちらも
参考にして下さい。



→  日本語管理者ガイド

稲垣 さんからのコメント
( Wednesday, July 11, 2001 11:51:48 )

 マニュアルの日本語版は、アップルのサイトで公開されていますので、そちらも
参考にして下さい。



→  日本語管理者ガイド

島崎 さんからのコメント
( Wednesday, July 11, 2001 23:29:54 )

皆様コメントありがとうございます。
Mac OS X Server 管理者ガイド読みました。
購入前に入手可能なのはよいですね(^^)

どうやらそれらしい機能はあるようですね。
でもすっきりしません(^^;

・受信SMTP接続をチェックする
これで某組織のデータベースにオープンリレーなメールサーバとして登録
されているメールサーバからのメール受信を拒否することができる。
但し取引先等のメールのやりとりが必要な相手のメールサーバがこのデー
タペースに登録されているとその必要な相手からのメールまで受信できな
くなってしまう。
とりあえず自分のメールサーバが不正中継に利用されることを防ぐ機能で
はないですね。

・SMTP名がIPアドレスと一致しない場合に接続のログを記録する
 (接続を拒否することもできる)
AppleShare IPのメールサーバ機能にも同様の機能があるみたいですね。
ローカルにNATやIPマスカレードを使っているとローカルのクライアント
からの接続も拒否されてしまう現象がここの会議室にもあげられてたよう
でちょっと不安です(^^;
まずはログを取って確認をしてみるんでしょうね。

・ユーザとグループ内のローカルの差出人アドレスを必要とする
これは不正中継の防止に有効っぽいですね。

・SMTPサーバからのメッセージを拒否する
これは予め不正中継の送り手がわかっていれば有効という感じですね。

・ローカルアドレスのみにメールを配信する(SMTPリレーなし)
これは不正中継の防止に有効っぽいですね。

このまま悩んでいても仕方がないので思い切って購入していろいろ試して
みようと思います。
その結果はまたここで報告したいと思いますのでそのときは宜しくお願い
します。

島崎 さんからのコメント
( Wednesday, July 11, 2001 23:49:53 )

Mac OS X Serverのメールサーバソフトは2つあるということがわかり
ました。
GUIで設定可能なもの(名前何て言うんだ?)はApple Share IPのメー
ルサーバソフトをCarbon化したものらしいです(アップルの人がセミナー
の時にそう言っていたらしいです。又聞きですが)。
だからApple Share IPの不正中継を防ぐノウハウが役に立つのではない
かと思います。でもけっこう違うところもありそうだけど(^^;
もう1つはsendmailですが、プロトコルの設定でメール配送にsendmail
を使用すると選んだ後、どうすればいいものやら。
とりあえずGUIの方でいろいろ試してみます。

たまちゃん@Mac OS X Server オーナー さんからのコメント
( Thursday, July 12, 2001 00:34:24 )

まだ購入されていなかったのですか。

<ひとりごと>
AppleMail Server やどう動いているのかも分からない OS X 
Server の Sendmail を動かしてみたいだけなら,購入をあきらめ
た方が賢明。GUI はともかくブラックボックスの世界です。
</ひとりごと>

今泉 さんからのコメント
( Friday, July 13, 2001 12:52:09 )

AppleMailServerの件。

私はユーザでないのでなんともいえないのですが
クラスC未満の場合に
AppleMailServer起動後
自分自身をローカルであると認識しないという
レポートが、アップルのほうの会議室に
あがってました。

昔のASIP時代に、私、DNS設定間違って
(ていうよりDNSへのラインが障害で
断続的におかしくなっていたとき
たまたまこうなってしまって)
DNS設定が起動時にのみ一時的に読めなくなり
OPENRELAY対策ができなくなったときと
症状が同じでした

先の会議室の情報では
DNSの設定(BIND?)
がひょっとしたらまずいのかどうかまでわかりません。
ですが、このせいで、OpenRELAYにせざるを
得ないのだそうです。

うーん、、、クラスC未満で
内蔵のBINDつかって
AppleMailServerでは
こうやるんだというFAQが
ひとつでも上がっていると
よろしいんですがねー。

−−−−−
なんとなく感じるだけなんですが
ASIP時代とGUIレベルで
そんなにかわっていないので
きめ細かい不正中継防止設定はできなそう<AppleMailServer
っていうより、あまりにIMPLICTなので不安。

REDHATでSendmailを使っている私が言うのも
おかしいのですが
Mac OS X Serverで
Sendmail使うのって、難儀みたいな気もします。


たまちゃん さんからのコメント
( Saturday, July 14, 2001 22:02:18 )

いろいろ分かってきたことがあるのですが,それはまた後にという
ことで,おかしい点を1点だけ。

SPAM メールのフィルタに

rbl.maps.vix.com

がデフォルトのサーバになっていますが,

http://mail-abuse.org/oldzones.html

にありますように,無効です。RBL を参照したいのであれば

blackholes.mail-abuse.org

を参照するようにすべきです。

KOY さんからのコメント
( Thursday, July 19, 2001 19:34:46 )

>RBL を参照したいのであれば
>blackholes.mail-abuse.org
>を参照するようにすべきです。

ASIPのメールサーバのデフォルトも同じでした。
旧いデータベースのままだったんですね。
教えていただいて助かりました。
どちらにしても、このフィルタに引っ掛かったのを見たことがありませんが。

KOY さんからのコメント
( Thursday, July 19, 2001 19:43:35 )

喜んだのも束の間、来月から有料になるんですか?!

たまちゃん さんからのコメント
( Saturday, July 21, 2001 19:50:03 )

メーリングリストを拝見していると純正のメールサーバを動かして
おられる方は非常に少ないようです。

Sendmail を選んでも,POP や IMAP が生きていることから分かる
ように,AppleMail Server が後ろで動いています。

GUI を求めるなら CommuniGate Pro or やがて出てくる PostOffice
ということでしょうか。もちろん Mac OS X Server の classic環境
で EIMS はきちんと働いてくれます。

PowerKey Pro の USB 版が今の予定では9月に出るようなので,楽
しみにしています。

#Mac OS X Server で EIMS のテストをしていて,悪さをしようと
したら,IP NetSentry がきちんとブロックしてくれました。びっく
りしました。

案浦浩二 さんからのコメント
( Friday, August 10, 2001 03:12:03 )

少なくとも、POP before SMTPくらいの機能は欲しいですね。

・SMTP名がIPアドレスと一致しない時にログを記録する
のところで、「接続を拒否する」を選択したのですが、docomo.ne.jpからのメールが拒否されてしまったようです(泣)
これでは、困るのでチェックをはずしました。再度テストします。