このページでは K4 やメールサービスについての関連情報を集めています。

• セキュリティについて
  
• エラー番号について
  
• IIS を使う場合の注意
  
• 1 つの XMail を複数の K4 から利用する方法
  
• [K4 0.7以降] 複数の XMail を運用する環境での K4 について
  

セキュリティについて

K4 をはじめとするいわゆるウェブメールシステムは、一般にセキュリティ上の弱点が生まれやすいと言われています。安全なサービスを行うために以下の情報を参考にしてください。

■盗聴に対する警戒について

適当なツールを持ち、技術のある人であればネットワーク上を流れるデータを観察することができます。つまり、何らかの暗号化通信を行わない限り、K4 上で行われていることは第三者に盗聴される危険があるということです。当然、ユーザが入力したパスワードも盗まれる可能性があります。

盗聴の多くは、(案外に思うかもしれませんが)イントラネット内で行われます。あなたのネットワークで何が行われているかについて常に注意を払うようにしましょう。また、有用な情報やツールについても関心を持つように心がけてください。

なお、K4 の場合、生のパスワードが必要なのはログイン時のみで、その後は逆算不可能な文字列に変換されたデータがサーバとクライアントとの間でやり取りされます。

■安全な環境

K4 を安全な環境で運用したければ VPN(Virtual Private Network) 環境を構築するか、あるいは SSL(Secure Socket Layer) に対応したウェブサーバ上でそれを利用してください。これらの場合、サーバとクライアント間のすべての通信データが暗号化されます。

SSL の場合、ウェブサーバが SSL に対応していない場合でも、stunnel (http://www.stunnel.org/) などのツールをあわせて使えば SSL 環境を容易に構築することができます。SSL 通信における公開キーや秘密キーの作成などには Easy Cert (http://www.vector.co.jp/soft/dl/win95/util/se144009.html) を使うと便利です。

■一般的な注意

1. 最新の K4 を使う。―― 既知の問題が解決されているバージョンの K4 を使ってください。一般に、最新バージョンのソフトウェアは古いそれよりも安全です。本サイトの情報を定期的にチェックするようにしましょう。

2. OS やウェブサーバを最新のものにする。―― K4 のプラットフォームとなるオペレーティングシステムやウェブサーバの脆弱性にも関心をはらってください。OS については最新のサービスバックやホットフィックスを適用するようにし、ウェブサーバは最新バージョンを使うようにしましょう。

3. 強度の高いパスワードを使わせる。―― 不正ログインを困難にするために、パスワードはできるだけ長く、しかも記号文字の含まれるものをユーザに使わせるようにしましょう。これらは環境設定によってそれを強制することができます。

4. K4 へのアクセス制限を行う。―― 環境設定ファイル config.local.cgi に allowip、denyip などの変数を指定し、K4 へのアクセスを許可(拒否)するコンピュータの IP アドレスを指定します(前記「K4 の環境設定」参照)。

5. ログイン有効時間を長くしない。―― ログイン後はユーザに長居をさせないための工夫をしましょう。ログイン前よりもその後の方がシステムに対する攻撃をやりやすいことは明白です。しかし、あまり短くするとシステムの利便性を損なうことになります。

6. 二重ログインを禁止する。―― K4 は config.local.cgi 中の変数 slogin を 1 にすることで同じアカウントでの複数人によるログインを許可できますが、管理上の必要がある場合など特別な場合を除きそのようにするべきではありません。

7. 添付ファイルの利用を禁止する。―― メッセージの送受信における添付ファイルの利用は、それを許すだけでもシステムに大きな負荷をかけてしまいますが、ウイルスやワームなどの脅威に対しても大きなリスクを負う可能性があります。

8. サーバ上に重要なデータを置かない。―― 未知のセキュリティホールによって万一システムに対する攻撃が成功した場合のことも考えておきましょう。つまり、サーバ上には必要最低限のデータのみを置くようにしましょう。

9. バックアップを確実に。―― システムに対する攻撃やシステム自身の障害によって重要なデータが失われることのないように、メールボックス内メッセージやサーバの設定ファイルなどは定期的にバックアップを取るようにしてください。

エラー番号について

何らかのトラブルによって K4 が動作不能になった場合、K4 は "システムエラーです" というメッセージと eXXX というエラー番号を表示します。XXX は 500 番台の数値です。詳細なエラー内容をユーザに見せないのはセキュリティのためですが、管理者はその意味するところを知っている必要があります。以下はその概要です。トラブル解決のヒントにしてください。

e501:　ローカル環境設定ファイル config.local.cgi が K4 の cgi フォルダに見当たりません。
e502:　XMail の関連ファイル ctrlclnt.exe が XMail インストールフォルダに見当たりません。
e503:　[K4 0.70未満] XMailCFG が出力するパスワードファイル passwd が XMail フォルダに見当たりません。
e504:　ローカル環境設定ファイル config.local.cgi の内容が正しくありません。
e505:　XMail の MailRoot フォルダにユーザリストファイル mailusers.tab ファイルが見当たりません。
e506:　送信トレイやアドレス帳などがあるべきフォルダが見当たりません。
e507:　XMail のユーザフォルダ内に temp フォルダを作成できませんでした。
e508:　ログイン時に XMail のユーザフォルダ内にパスワード検証用ファイル(*.crypt)を作成できませんでした。
e509:　ログイン時に K4 の temp フォルダを作成できませんでした。
e510:　XMail からの応答がありません。XMail が起動していない可能性があります。
e511:　メールボックスの管理を許可している環境で、ログイン時に K4 の temp フォルダ内に一時フォルダを作成できませんでした。
e512:　XMailCFG で [XMailCFG 環境設定] または [K4 環境設定] が正しく行われていないため、XMailCFG 標準のフィルタ機能を利用できません。
e513:　K4 が動作するコンピュータの名前に日本語(半角カタカナを含む)が使われているため、K4 を使うことはできません。
e521:　[K4 0.70以降] K4 の環境設定ファイル config.local.cgi 中に変数 admin、pass が見当たりません。対応する XMailCFG の [XMailCFG 環境設定]を再実行する必要があります。
e522:　[K4 0.70以降] XMail または XMailCFG のユーザ環境設定ファイル user.tab または config.tab が該当ユーザのメールボックスフォルダ内に見つかりません。または、K4 の環境設定ファイル config.local.cgi が K4 の cgi フォルダに見つかりません。
e523:　[K4 0.70以降] ActivePerl の Encode モジュールが見当たりません。バージョン 5.8 以降の ActivePerl をインストールするか Encode モジュールを追加インストールする必要があります。
e524:　[K4 0.83以降] K4 の環境設定ファイル config.local.cgi 中の変数 admin、pass の内容では XMail をコントロールすることはできません。対応する XMailCFG の [XMailCFG 環境設定]を再実行する必要があります。

IIS を使う場合の注意

率直なところ、マイクロソフト社製 WWW サーバ IIS は、K4 にとっては困ったサーバアプリケーションです。他のサーバに比べ、IIS を利用する場合はトラブルに見舞われやすいでしょう。そこで、IIS を利用するためのヒントをまとめてみました。

■.cgi 拡張子についてマッピングの定義が必要

ActivePerl をインストールすると、インストーラにより拡張子 .pl に対するマッピングの定義が行われますが、拡張子 .cgi については行われないので、インターネットサービスマネージャの [アプリケーションのマッピング] において perl.exe と拡張子 .cgi とのマッピングを追加定義する必要があります。詳細は XMailCFG の readme.html やヘルプを参照してください。

■507 番以降のエラーに見舞われる場合

前記 [エラー番号について] で示したエラーのうち、エラー番号が e507 以降のものについては IIS の実行ユーザ(通常は ISUSER_xxx)に対して該当フォルダに対する書き込みアクセス権を与えれば問題が解決する可能性があります。該当フォルダとは、(1) K4 の temp フォルダと、(2) XMail の MailRoot フォルダ以下との 2 ヵ所です。

あるいは、K4 のログイン画面に到達する前に IIS による認証を受けるようにすることでも問題を回避できる可能性があります。具体的には K4 の仮想ディレクトリに対して認証コントロールをセットアップします。詳細については XMailCFG の readme.html やヘルプを参照してください。

■ウイルススキャンを行いたい

通常、IIS 環境下では F-Prot を使ったウイルススキャンは成功しません。しかし、前記 [■507 番以降のエラーに見舞われる場合] で示したものと同様の措置によりウイルススキャンが可能になるものと思われます。

1 つの XMail を複数の K4 から利用する方法

K4 を複数の場所にインストール/セットアップし、1 つの XMail を異なる環境で利用することができます。たとえば、ドメインごとに異なる K4 にログインさせることができます。

具体的には以下のようにします。

1. まず 1 つ目の K4 の環境設定をそれに対応するバージョンの XMailCFG から行います。

2. 2 つ目の K4 を(ウェブサーバからアクセスできる)任意のドライブ/フォルダにインストール/セットアップします。ただし、ウェブサーバに IIS を利用する場合は K4 のインストール場所について注意が必要です。詳細は前項 "IIS を使う場合の注意" を見てください。

3. 1 つ目の K4 の cgi/config.local.cgi を 2 つ目の K4 の cgi フォルダに上書きコピーします。

4. あとは 2 つ目の K4 の config.local.cgi やスクリプト群を自由にカスタマイズして作業完了です。config.local.cgi についてはメニュー "環境設定" を参考にできます。その他のスクリプトのカスタマイズについてはメニュー "K4 のカスタマイズ" を見てください。

5. 個々の K4 でドメインを制限したい場合は K4(0.7以降) の config.local.cgi 中の変数 sndomain(シングルドメイン変数)でログインを許可するドメイン名を指定します。これにより、その K4 はそのドメインに所属するユーザからのみログインできるようになります。

[K4 0.7以降] 複数の XMail を運用する環境での K4 について

XMail はその 1.16 から 1 台のコンピュータ上で複数のサービスを共存させることが可能になりました。これにより、たとえば同じコンピュータ上で公開サービスのほかに私的なメールサービスをセットアップすることができます。

そのような環境で K4 を 運用する場合の注意点は以下の通りです。

• XMail、K4、XMailCFG はそれぞれ専用のインストールが必要です。つまり、2 つのメールサービスを実行する場合は 2 組の XMail/K4/XMailCFG をセットアップします。

• 1 つの XMailCFG/K4 は自分に割り当てられた XMail のみを管理します。

• K4 の環境設定は必ずそれに対応するバージョンの XMailCFG 2.x から行う必要があります。

Top ↑ Copyright(c) xmail.dojo.jp. All rights reserved.