 |
XMail/XMailCFG のセキュリティ機能は強力です。
このページでは XMailCFG のメインメニュー [セキュリティ] の設定を行います。
| セキュリティ |
|
XMail/XMailCFG のセキュリティ機能は強力です。
このページでは XMailCFG のメインメニュー [セキュリティ] の設定を行います。
XMail の SMTP サーバの利用時に IP アドレスベースのセキュリティチェックをまったく行わないホストの IP アドレスを登録/削除します。ここで指定するホストについては第三者中継チェックも行われません。
ホワイトリストには完全に信用できるホストまたはネットワークを登録します。ホワイトリストを利用することで [SMTP アクセス許可] や [SMTP リレー許可] などのセキュリティチェックに例外を設けることができます。
オプション [SSL/TLS 接続を要求しない(EaseTLS=1)] にチェックをつけると、XMail への SSL 接続においてクライアント証明書が必要な場合でもその必要がありません。
オプション [クライアントドメインチェックを行わない(SenderDomainCheck=0)] にチェックをつけると、[環境設定]-[XMail 環境設定] の [クライアントドメインをチェック (CheckMailerDomain)] が有効の場合でもドメイン名チェックを行いません。
XMail の SMTP サーバの利用時に IP アドレスベースのセキュリティチェックをまったく行わないホストのドメイン名を登録/削除します。ここで指定するホストについては第三者中継チェックも行われません。
ホワイトリストには完全に信用できるドメイン名を登録します。ホワイトリストを利用することで [SMTP アクセス許可] や [SMTP リレー許可] などのセキュリティチェックに例外を設けることができます。
オプション [SSL/TLS 接続を要求しない(EaseTLS=1)] にチェックをつけると、XMail への SSL 接続においてクライアント証明書が必要な場合でもその必要がありません。
オプション [クライアントドメインチェックを行わない(SenderDomainCheck=0)] にチェックをつけると、[環境設定]-[XMail 環境設定] の [クライアントドメインをチェック (CheckMailerDomain)] が有効の場合でもドメイン名チェックを行いません。
[SMTP アクセス許可] では、XMail の SMTP サーバへのアクセスを許可するホストの IP アドレスまたはネットワークを指定します。通常の運用ではとくに制限を行う必要はありません。制限を行わない場合の設定は以下のようになります。
"SMTP ホワイトリスト" に登録されたホストまたはネットワークについては本定義の制限を受けません。
[環境設定]-[XMail 環境設定] において [アクセス非許可クライアントへの対応方法] が [直ちに切断] になっている場合、[SMTP リレー許可] や [SMTP 認証アカウントの管理] における定義は本定義の範囲内で有効です。
一方、[アクセス非許可クライアントへの対応方法] が [直ちに切断] 以外になっている場合、リレーが許可されたホストや SMTP 認証に成功するホストについては本定義にかかわらずアクセスが許可されます。
デフォルトの指定 0.0.0.0 0.0.0.0 ALLOW 1 は、すべてのコンピュータまたはネットワークに SMTP サーバへのアクセスを許可しますが、セキュリティをとくに重視する場合はこれを削除し、新たな指定を行うことになります。
デフォルトの指定を削除して新たな指定を行う場合、すべてのアクセスを拒否し、その後に必要なコンピュータまたはネットワークに対してアクセスを許可することが基本になります。通常、セキュリティを重視する指定の先頭部分は以下のようになります。
| 0.0.0.0 | 0.0.0.0 | DENY | 1 | |
| 127.0.0.0 | 255.255.255.0 | ALLOW | 2 |
そして、ネットワーク上の特定のコンピュータまたはネットワークに対して許可の指定を追加します。たとえば、イントラネット内のコンピュータとインターネット上の特定の 1 台のコンピュータに対してアクセスを許可する場合は以下のようになります。
| 0.0.0.0 | 0.0.0.0 | DENY | 1 | |
| 127.0.0.0 | 255.255.255.0 | ALLOW | 2 | |
| 192.168.1.0 | 255.255.255.0 | ALLOW | 3 | |
| 210.196.149.170 | 255.255.255.255 | ALLOW | 4 |
優先順位は、それが大きいものが小さいものの定義内容を上書きします。(以降同様)
XMail を利用して外部のあて先にメッセージを送ることを許可するホストまたはネットワークを定義します。
[SMTP リレー許可] はきわめて重要です。XMail をインターネットで使う場合は必ず正しいリレー制限を行ってください。
"SMTP ホワイトリスト" に登録されたホストまたはネットワークについては本定義の制限を受けません。上のサンプルは、もしホワイトリストに同様の登録がある場合はいずれも登録の必要はありません。
[環境設定]-[XMail 環境設定] において [アクセス非許可クライアントへの対応方法] が [直ちに切断] になっている場合、SMTP リレーの定義は [セキュリティ]-[SMTP アクセス許可] による定義の制約を受けます。この場合、[SMTP アクセス許可] によって XMail の SMTP サーバにアクセスを許可されたホストのうち、ここで定義するホストのみがリレーを許可されます。
一方、[アクセス非許可クライアントへの対応方法] が [直ちに切断] 以外になっている場合はリレー許可については本設定のみが評価されます。
SMTP 認証を R オプションつきで利用すると、すべての SMTP リレーが禁止されている場合でも XMail を利用するリレーが利用可能です。この場合、SMTP リレーには何も指定する必要はありません。
関連ツール K4 を使用する場合は 127.0.0.0 255.255.255.0 の登録が必要です。
■サンプル 1
イントラネット(192.168.1.0/24)のすべてのコンピュータと、インターネットの 210.196.149.170 という IPアドレスを持つ特定のコンピュータからのみリレーを許可する場合の設定サンプルは以下の通りです。
| 127.0.0.0 | 255.255.255.0 | |
| 192.168.1.0 | 255.255.255.0 | |
| 210.196.149.170 | 255.255.255.255 |
■サンプル 2
ネットワークアドレスが 210.196.149.160 であり、IPアドレスを 8 個持つネットワークからのリレーのみを許可する場合の設定サンプルは以下の通りです。
| 127.0.0.0 | 255.255.255.0 | |
| 210.196.149.160 | 255.255.255.248 |
[SMTP 認証アカウントの管理] では、SMPT 認証によって XMail の SMTP サーバを利用できるローカルユーザ以外のアカウントを追加/削除します。
XMail のローカルユーザは本メニューに何も設定を行わなくても SMTP 認証を利用できます。メーラ側でそのためのオプションをオンにするだけです。この場合、認証 ID、パスワードは POP アクセス用のものが使われます。
[環境設定]-[XMail 環境設定] において [アクセス非許可クライアントへの対応方法] が [直ちに切断] になっている場合、 SMTP 認証は、[セキュリティ]-[SMTPアクセス制限] による定義の制約を受けます。つまり、SMTP アクセス制限によって XMail の SMTP サーバにアクセスを許可されたホストだけが SMTP 認証によるサービスを利用できます。
サーバの負荷を軽減するために、登録アカウント数はできるだけ少なくしてください。また、サンプルで登録されているアカウントがあれば必ず削除してください。
[スパムアドレスの管理] では、スパムメールの発信元メールアドレスを登録/削除します。スパムとは、幸福の手紙、不幸の手紙、メール爆弾、ダイレクトメールなど、無断で送りつけられてくる迷惑メッセージです。
到着メッセージの Sender アドレス(SMTP セッション時の MAIL FROM:の値。From: ヘッダタグの値とは限りません)がここに登録されたアドレスと一致する場合、XMail はそのメッセージの受信を拒否します。
なお、個別のユーザやメーリングリストに対する特定アドレスからのメッセージを拒否する場合はメインメニュー [ユーザの管理] またはメインメニュー [リストの管理] から [受信拒否] メニューを利用することができます。
[スパムホストの管理] では、スパム発信元コンピュータまたはネットワークの IPアドレスを登録/削除します。
[SMTP ホワイトリストの管理] で定義されるホスト・ネットワークはチェックの対象外です。
投げ捨てタイプのスパム(送信に失敗した場合に再送を行なわない)に対しては遅延処理が有効です。
複数の登録がある場合、チェックは行番号の若い順に行なわれ、最初にマッチした処理が実行されて終了します。
[スパムメッセージの管理] では、メーリングリストあてを含むすべての送受信メッセージに対するコンテンツフィルタリングを行い、メッセージのヘッダタグの値としてここで指定するキーワードが含まれるものを自動削除します。
ただし、この機能がうまく機能するためには XMailCFG の標準フィルタ機能が利用可能になっている必要があります。詳細は "フィルタの管理" ページを見てください。
フィルタリングのための検索はすべてのヘッダタグを対象に行われます。不適切なキーワードを指定すると対象外のメッセージが削除されるので注意してください。フィルタリングの開始からしばらくはブラックホールアドレスを指定し、担当者が削除メッセージの内容をチェックすることをすすめます。
フィルタリングはコンピュータに大きな負荷がかかります。ユーザ数が多い環境ではできるだけ高性能のコンピュータをメールサーバにしてください。
強力なアンチ・スパムツール GLST の環境設定を行います。GLST は XMail の作者 Davide Libenzi が公開しています。
GLST を利用するためには XMail のフィルタ定義ファイル filters.pre-data.tab に GSLT を起動するための適切な登録を行なう必要があります。XMailCFG の [フィルタの管理]-[SMTP DATA 前処理] を利用できます。
GLST の詳細については "Documentation" の "GLST" を参照してください。
[CTRL アクセス許可] では、XMail のコントロールサーバへのアクセスを許可するコンピュータまたはネットワークの IPアドレスを指定します。
[CTRL アクセス許可] の設定は重要です。XMail をインターネットで使う場合、もし 0.0.0.0 0.0.0.0 ALLOW 1 という定義があればそれを必ず削除し、新たに適切な指定を行ってください。
新たな指定を行う場合の基本は、すべてのアクセスを拒否し、その後に必要なコンピュータまたはネットワークに対してアクセスを許可するです。通常、セキュリティを重視する設定の先頭部分は以下のようになります。
| 0.0.0.0 | 0.0.0.0 | DENY | 1 | |
| 127.0.0.0 | 255.255.255.0 | ALLOW | 2 |
指定が上のものだけである場合がもっともセキュリティが高くなります。この場合、XMail をインストールしたコンピュータからしかそれをコントロールすることはできません。XMailCFG や K4 を利用して XMail をコントロールする場合、上の指定のほかに新たな指定を追加する必要はありません。
XMailCFG や K4 を使わず、インターネットの別の場所から XMail のコントロールコマンドを使いたい場合、たとえば以下のようになります。
| 0.0.0.0 | 0.0.0.0 | DENY | 1 | |
| 127.0.0.0 | 255.255.255.0 | ALLOW | 2 | |
| 210.196.149.170 | 255.255.255.255 | ALLOW | 3 |
優先順位は、それが大きいものが小さいものの指定内容を上書きします。
XMailCFG から XMail を操作するためのアカウントを管理します。
セキュリティ保護のため、アカウントの登録は最小限にしてください。 XMailCFG を使って XMail を管理する場合、ただ一つのアカウントを登録し、他のアカウントは削除するべきです。
管理アカウントは XMail のローカルユーザである必要はありません。
[FINGER アクセス許可] では、XMail の FINGER サーバへのアクセスを許可するコンピュータまたはネットワークの IP アドレスを指定します。FINGER サービスはユーザ情報提供サービスで、XMail のユーザ情報定義ファイル user.tab の内容を応答するものです。
XMail をインターネットで使う場合、もし 0.0.0.0 0.0.0.0 ALLOW 1 という登録があればそれを必ず削除してください。
現在のインターネットでは FINGER サービスは一般的ではないので、とくに必要がないのであれば以下のようにすべてのアクセスを禁止するか、[基本セットアップ]-[レジストリの登録] で FINGER サービスを停止することをすすめます。
なお、XMailCFG の [ユーザの管理] や関連ツール K4 では FINGER サーバを介さずにユーザ情報を取得します。
XMail の POP サーバへのアクセスを許可するコンピュータまたはネットワークの IP アドレスを指定します。
デフォルトの指定 0.0.0.0 0.0.0.0 ALLOW 1 では、すべてのコンピュータまたはネットワークにアクセスを許可します。
一般的なメールサービスではデフォルトのままで問題はありませんが、セキュリティをとくに重視するネットワークではデフォルトを削除し、新たな指定を行ってください。指定方法については他の設定を参考にしてください。
 |
|
