不正アクセスホストの管理2(S25Rチェック) - 基本設定
基本設定 | ホワイトリスト | ホワイトリスト2 | ブラックリスト | スパムログ

接続元ホストの IP アドレスまたは逆引き FQDN(完全修飾ドメイン名) を監視し、エンドユーザ PC からと判断される接続を拒否またはマークします。
本機能はスパム対策に有効ですが、正規接続を拒否してしまう危険性があります。ホワイトリストの運用が必要です。

■DNS動作テスト
S25R チェックでは DNS(Doamin Name System) を利用してアクセス元ホストのドメイン名を取得します。もしあなたのホストから DNS が正常に利用できないのに S25R チェックを実行した場合、XMail の運用に重大な支障が出る可能性があります。DNS が正しく利用できるかどうかを確認するため、www.xmailserver.org の正引き名(IPアドレス)を問い合わせ、その結果からさらに逆引き名を問い合わせた結果が右の表です。どちらかの結果が正しく得られない場合、S25R チェックを実行するべきではありません。
正引き結果 64.71.152.41
IPアドレスが表示されればOK
逆引き結果 x35.xmailserver.org
***.xmailserver.org なら OK
■フィルタリングの実行
フィルタリングを実行する。(*1)
■フィルタリングのタイプ
SMTP RCPT 後処理でフィルタリングを実行する。(*2)
SMTP DATA 後処理でフィルタリングを実行する。(*2)
■フィルタリング詳細
DNS 逆引き名が得られないホストからの接続は拒否する。(*3)
XMail のホワイトリストを参照する(smtp.ipprop.tab)。(*5)
XMailCFG/K4 のホワイトリストを参照する。(*5)
ブラックリストを参照する。(*5)
接続拒否の記録(スパムログ)を残す。(*6)
■フィルタリング基本条件(拒否対象 FQDN または IP アドレスの正規表現)(*7)
■不正アクセス判定後の対応方法 - SMTP DATA 後処理の場合で有効
直ちに接続を切断し、メッセージも保存しない(*8)。
迷惑メールフォルダ機能を利用してメッセージを保存後、接続を切断する(*9)。
Subject:にタグ (日本語不可) をつけてそのまま行かせる(*10)。
ヘッダに拡張フィールド をつけてそのまま行かせる(*11)。
■切断時の SMTP 応答コードとメッセージ(*12)
基本条件にマッチするホストには以下の応答をする。
   
DNS 逆引き名を得られないホストには以下の応答をする。
   
ブラックリストにマッチするホストには以下の応答をする。
   
■迷惑メールフォルダ機能の設定(*13) - K4を利用すると便利です
Subject:とボディ双方が空のメッセージは保存しない。
非ローカルユーザあてメッセージは以下の場所に保存する。
   
非ローカルユーザあてメッセージは以下のアカウントの迷惑メールフォルダ(spam)に保存する。
   


S25R (Selective SMTP Rejection)チェックについて
S25R チェックは浅見秀雄氏(webmaster@gabacho-net.jp)により提案されたスパム対策方式で、"メールサーバがメール中継サーバからの SMTP アクセスは受け入れるがエンドユーザーコンピュータからの直接の SMTP アクセスは拒絶する" というコンセプトを持つものです。詳細情報は以下のサイトを参照してください。
» 阻止率99%のスパム対策方式の研究報告 (http://www.gabacho-net.jp/anti-spam/anti-spam-system.html)
この方式は強力なスパム対策が可能ですが、運用には注意が必要です。正規の接続を拒否してしまわないために以下の作業を行ってください。
  • 可能なら正規ユーザに SMTP 認証による接続を強制してください。XMailCFG は SMTP 認証に成功する接続に対しては S25R チェックを行いません。
  • ホワイトリストとブラックリストのメンテナンスを継続してください。とくにホワイトリストのメンテナンスは重要です。
  • S25R チェックでは DNS の逆引き問い合わせを行うため、DNS が適切に利用できない環境では XMail によるサービスに遅延や障害が発生する可能性があります。DNS が問題なく利用できる環境であるか継続的に監視してください。
XMailCFG