| (A) エイリアス設定で実アドレスとの関係をワイルドカードを使うことにより、既存メールサーバが管理しているドメイン名のついたすべてのメールアドレスを無条件に通すSMTPサーバを構築する方法→後述 |
| (B) エイリアス設定で実アドレスとの関係を1対1で設定することにより、セキュリティ面を考慮し、既存メールサーバが管理しているドメイン名の有効なアカウントのみ通すSMTPサーバを構築する方法→後述 |
| (C) 内側のメールサーバと同名のメールドメインを作り、同じ実アドレスのユーザーを作成することにより、セキュリティ面を考慮し、既存メールサーバが管理しているドメイン名の有効なアカウントのみ通すSMTPサーバを構築する方法→後述 |
| (A) エイリアス設定で実アドレスとの関係をワイルドカードを使うことにより、既存メールサーバが管理しているドメイン名のついたすべてのメールアドレスを無条件に通すSMTPサーバを構築する方法 |
(※1)エイリアス設定で実アドレスとの関係をワイルドカードを使うことにより、既存メールサーバが管理しているドメイン名のついたすべてのメールアドレスを無条件に通すSMTPサーバを構築する方法です。最低数の50user版のE-Post SMTP Serverを使い、エイリアス設定でワイルドカードを使うことにより、ドメイン名のついたすべてのメールアドレスを通過させるSMTPゲートウェイを構築するときは、この設定方法で行います。1. E-POSTコントロールセンターのメールサーバ管理から[システム管理メニュー]をクリック、[基本設定]を開き[フォルダ環境]でメールボックスフォルダの確認
ただし、この方法では、ドメイン名のついたすべてのメールアドレスを通すため、セキュリティ上は格段に甘くなりますので、注意が必要です。内部ドメインに設定したドメイン名+任意アカウントを使って、迷惑メールの不正中継がされる可能性が高くなります。いわゆる「踏み台」です。また、スパマーによって、勝手に存在しないアカウントを詐称して外部から大量に発信された場合、膨大なバウンスメールが入ってきますが、それらすべて後段の既存メールサーバに通します。
メールボックスフォルダ → /var/spool/epms/inbox/%USERNAME%2. [ドメイン管理]で[ドメインの新規作成・設定変更]を確認
[ドメイン管理]で[ドメインの新規作成・設定変更]から、既存メールサーバーと同じドメイン名のドメインは作らないで、別のドメイン名(サブドメインでも可)を作成し、任意名のダミー用アカウントを1つ以上作ります。この作業は無制限ライセンスが必要になる状態を避けるため必要です。3. [エイリアス設定]でエイリアスと実アドレスの関連設定
[エイリアス設定]にて下記のようにワイルドカード指定します。4.[ゲートウェイ詳細]から"gateway.dat"ファイルによってフォワード先を設定
エイリアス: *@[domain.jp]
実アドレス: *@[domain.jp]
(注)[domain.jp]は、後段にある既存メールサーバーが管理しているドメイン名です。
既存のメールサーバーである、実際のフォワード先マシンを設定します。5. E-POSTコントロールセンターのメールサーバ管理から[システム管理メニュー]をクリック、[SMTP受信詳細]でSMTP認証方法の設定
E-POSTコントロールセンターのメールサーバ管理から[システム管理メニュー]をクリック、[基本設定]を開き、SMTPゲートウェイ項目の[ゲートウェイ詳細]ボタンをクリックします。続いて表示される"gateway.dat"ファイル内にゲートウェイ先を登録して保存します。
(例)【gateway.dat】上記のように記述すると、届いた [domain.jp] 宛のメールは、192.168.0.2 のポート番号25へフォワードされるようになります。
対象ドメイン,ゲートウェイ先(FQDN or IP),接続ポート番号
domain.jp,192.168.0.2,25
なお、指定されていないこれ以外のすべてのドメインは、hostsファイルやDNSを参照して名前解決を行い、配送が試みられます。上記の"gateway.dat"ファイルでは明示的に記述されていませんが、プログラム内部で自動的に処理されます。
6. postmasterアカウントの受け入れ拒否の設定SMTP認証方法 → PLAIN LOGIN CRAM-MD5この設定をおこなうのは、次の手順でpostmasterアカウントの受け入れ拒否設定を行うため、SMTP認証を有効にする必要があるからです。
セキュリティレベル → 認証ファイル
ワイルドカード指定による *@[domain.jp] による設定を行った場合、ドメイン名のついたすべてのメールアドレスを無条件に通すことになります。その結果、postmasterアカウントも受けいれてしまい、postmasterアカウントによるなりすまし配信が自在にできる結果となり、ORDB(RBLサイト)による不正中継検査では、セキュアでないサーバとみなされ、NGになります。7.設定反映とサービスの再開
対策として、メールボックスフォルダ内に、"postmaster"というフォルダを作成、その中にSMTP認証用ファイルである"apop.dat"ファイルを作成します。"apop.dat"ファイルをviエディタで編集し、適当なパスワードを1行14文字以内で続けて入力し保存しておきます。
(例)作成ファイル:この設定によって、postmaster@
/var/spool/epms/inbox/postmaster/apop.dat
を送信元として送ろうとしても、SMTP認証を行わないと通過拒絶されるようになり、ORDBの不正中継検査をパスすることができます。
さらに、厳重を期すため、「中継の制限」にある「マシンごとの制限」【effect.dat】を開き、postmasterアカウントが通過しないように設定してください。
(例)postmaster@[domain.jp] false
[設定する]ボタンをクリックし、設定が反映された後、epstrd、epstdd のサービスを再開します。8. SMTPゲートウェイとしての踏み台対策
E-Post SMTP Server を SMTPゲートウェイとして設定を行うと、内部ドメインに設定したドメイン名+任意アカウントを使って、迷惑メールの不正中継がされる可能性があります。いわゆる「踏み台」です。踏み台にならないようにするためには、下記リンクによる設定方法を参照して、対策を取ってください。
●「SMTPゲートウェイとして構築したとき踏み台にならないようにする」
SMTPゲートウェイのエイリアス設定で、ワイルドカード指定でエイリアス設定を行っている場合、内部メールサーバからSMTPゲートウェイを経由するアウトバウンド方向の通信のうち、自動転送に対する対策が必要になることがあります。
(1)内部メールサーバでアカウント単位の自動転送を行っているとき、内部メールサーバのアカウントへはメールが届きますが、外部ドメイン宛への自動転送がされたときに、転送分が拒絶されてしまいます。外部ドメインへの自動転送を許可したいときは対策が必要です。上記を許可するには、「中継の制限」の「マシンごとの中継」を選択、表示される【effect.dat】ファイルに、内部メールサーバマシン(場合によっては他のネットワーク機器)のIPアドレスからの接続を無条件許可するように記述します。記述する個所は、優先順位高めるためにできるだけ前の方に入れてください。
(書式)
[内部メールサーバマシンのIP] true
(例)
192.168.0.x true
| (B) エイリアス設定で実アドレスとの関係を1対1で設定することにより、セキュリティ面を考慮し、既存メールサーバが管理しているドメイン名の有効なアカウントのみ通すSMTPサーバを構築する方法 |
(※2)エイリアス設定で実アドレスとの関係を1対1で設定することにより、セキュリティ面を考慮し、既存メールサーバが管理しているドメイン名の有効なアカウントのみ通すSMTPサーバを構築する方法です。この設定を行う前に、内側のメールサーバで運用するアカウントと同数分、すなわち有効なアカウント分のライセンス数が備わったE-Post SMTP Serverをご用意ください。1. E-POSTコントロールセンターのメールサーバ管理から[システム管理メニュー]をクリック、[基本設定]を開き[フォルダ環境]でメールボックスフォルダの確認
後段にある既存メールサーバが管理しているドメイン名のうち、存在する有効なアカウントのみ通すこの設定方法が「よりセキュア」な設定であり、弊社としてはこちらを推奨します。
存在する有効なアカウントのみ通すセキュアな設定になった結果、上記にあげた迷惑メールの不正中継がされる可能性を格段に下げ、「踏み台」になることを予防します。さらにバウンスメールへの対策になります。
スパマーによって、特定の(存在しない)アドレスがエンベロープ From:に使われたとき、無効アドレスに対するバウンスメールは、SMTPゲートウェイの位置で拒絶される結果になります。そのため、後段のメールサーバに届けられず劇的に軽減されることが期待できます。
メールボックスフォルダ → /var/spool/epms/inbox/%USERNAME%2. [ドメイン管理]で[ドメインの新規作成・設定変更]を確認
運用中のドメイン一覧から、既存メールサーバーと同じドメイン名のドメインは作らないで、空白にしておきます。別のドメイン名を運用している場合はそのまま残しておきます。3. [エイリアス設定]でエイリアスと実アドレスの関連設定
[エイリアス設定]にて、(内部メールサーバに実在する)有効なアカウントと関連づけて登録します。この設定により、「よりセキュア」な設定となります。4.[ゲートウェイ詳細]から"gateway.dat"ファイルによってフォワード先を設定
[エイリアス設定]にて "*@[domain.jp]"を指定せず、有効なアカウントのみを逐次登録すると「よりセキュア」な設定となります。
ユーザー1 user1@[domain.jp] と ユーザー2 user2@[domain.jp]だけ通過させる例
[設定1] エイリアス: user1@[domain.jp]
実アドレス: user1@[domain.jp]
[設定2] エイリアス: user2@[domain.jp]
実アドレス: user2@[domain.jp]
(注)[domain.jp]は、後段にある既存メールサーバーが管理しているドメイン名です。
前記までで指定した既存のメールサーバーである、実際のフォワード先マシンを設定します。5. E-POSTコントロールセンターのメールサーバ管理から[システム管理メニュー]をクリック、[SMTP受信詳細]でSMTP認証方法の設定
E-POSTコントロールセンターのメールサーバ管理から[システム管理メニュー]をクリック、[基本設定]を開き、SMTPゲートウェイ項目の[ゲートウェイ詳細]ボタンをクリックします。続いて表示される"gateway.dat"ファイル内にゲートウェイ先を登録して保存します。
(例)【gateway.dat】上記のように記述すると、届いた [domain.jp] 宛のメールは、192.168.0.2 のポート番号25へフォワードされるようになります。
対象ドメイン,ゲートウェイ先(FQDN or IP),接続ポート番号
domain.jp,192.168.0.2,25
また、これ以外のすべてのドメイン宛へのメールは、DNSを参照して配送される形になります。なお、指定されていないこれ以外のすべてのドメインは、hostsファイルやDNSを参照して名前解決を行い、配送が試みられます。上記の"gateway.dat"ファイルでは明示的に記述がされていませんが、プログラム内部で自動的に処理されます。
SMTPゲートウェイに実アカウントを一つも作らない場合6. postmasterアカウントの受け入れ拒否の設定
SMTP認証方法 → NOSMTPゲートウェイに(管理目的やダミー用途で)実アカウントを一つ以上作る場合
セキュリティレベル → なし
SMTP認証方法 → PLAIN LOGIN CRAM-MD5
セキュリティレベル → 認証ファイル
SMTPゲートウェイのエイリアス設定で、ワイルドカード指定を行なわず実在するアカウントのみ関連づけたエイリアス設定を行っている場合、あるいはpostmasterアカウントを含む実アカウントを一つも作らない場合は、(A)設定の6のようなpostmasterアカウントの受け入れ拒否対策は、あえて設定する必要はありません。postmasterアカウントでの受け入れはそのまま拒否されます。7. 設定反映とサービスの再開
なお、厳重を期すため、「中継の制限」にある「マシンごとの制限」【effect.dat】を開き、postmasterアカウントが通過しないように二重に設定しておいてもよいでしょう。
(例) postmaster@false
[設定する]ボタンをクリックし、設定が反映された後、epstrd、epstdd のサービスを再開します。8. SMTPゲートウェイとしての踏み台対策
E-Post SMTP Server を SMTPゲートウェイとして設定を行うと、内部ドメインに設定したドメイン名+任意アカウントを使って、迷惑メールの不正中継がされる可能性があります。いわゆる「踏み台」です。踏み台にならないようにするためには、下記リンクによる設定方法を参照して、対策を取ってください。9. 内部メールサーバからの一部送信・自動転送対策
●「SMTPゲートウェイとして構築したとき踏み台にならないようにする」
SMTPゲートウェイのエイリアス設定で、実在するアカウントのみ関連づけたエイリアス設定を行っている場合、内部メールサーバへのインバウンド方向の通信については、許可されるものと、拒絶されるものとが明確に区別されて設定されます。一方、内部メールサーバからSMTPゲートウェイを経由するアウトバウンド方向の通信については、少し対策が必要です。
(1)エイリアス設定に登録されていない内部メールサーバのユーザーがいるとき、インバインドはエイリアス設定に登録されていないので当然拒絶されますが、内部から外部へのアウトバウンド方向への通信も拒絶されます。アウトバウンドの通信を許可したいときは対策が必要です。たとえば、エイリアス設定は、aとbが設定されており、内部メールサーバには、a, b, c が存在していて、c が外部へ送信したいというケースです。上記の2つを許可するには、「中継の制限」にある「マシンごとの中継」を選択、表示される【effect.dat】ファイルに、内部メールサーバマシン(場合によっては他のネットワーク機器)のIPアドレスからの接続を無条件許可するように記述します。記述する個所は、優先順位高めるためにできるだけ前の方に入れてください。
(2)内部メールサーバでアカウント単位の自動転送を行っているとき、内部メールサーバのアカウントへはメールが届きますが、プロバイダやフリーアドレスなどの外部ドメイン宛への自動転送がされたときに、転送分が拒絶されてしまいます。外部ドメインへの自動転送を許可したいときは対策が必要です。
(書式)
[内部メールサーバマシンのIP] true
(例)
192.168.0.x true
| (C) 内側のメールサーバと同名のメールドメインを作り、同じ実アドレスのユーザーを作成することにより、セキュリティ面を考慮し、既存メールサーバが管理しているドメイン名の有効なアカウントのみ通すSMTPサーバを構築する方法 |
(※3)内側のメールサーバと同名のメールドメインを作り、同じ実アドレスのユーザーを作成することにより、セキュリティ面を考慮し、既存メールサーバが管理しているドメイン名の有効なアカウントのみ通すSMTPサーバを構築する方法です。この設定を行う前に、内側のメールサーバで運用するアカウントと同数分、すなわち有効なアカウント分のライセンス数が備わったE-Post SMTP Serverをご用意ください。1. E-POSTコントロールセンターのメールサーバ管理から[システム管理メニュー]をクリック、[基本設定]を開き[フォルダ環境]でメールボックスフォルダの確認
後段にある既存メールサーバが管理しているドメイン名のうち、存在する有効なアカウントのみ通すこの設定方法も「よりセキュア」な設定です。 この(C)の設定方法については、『SMTPゲートウェイ基本設定と応用』Rev2.3より記述を追加いたしました。メールサーバ構築ガイド[SMTPゲートウェイ]設定例に説明されておりながら、『SMTPゲートウェイ基本設定と応用』Rev2.2までは掲載されておりませんでした。
この設定も(B)の設定方法と同様、存在する有効なアカウントのみ通すセキュアな設定になった結果、上記にあげた迷惑メールの不正中継がされる可能性を格段に下げ、「踏み台」になることを予防します。さらにバウンスメールへの対策になります。スパマーによって、特定の(存在しない)アドレスがエンベロープ From:に使われたとき、無効アドレスに対するバウンスメールは、SMTPゲートウェイの位置で拒絶される結果になります。そのため、後段のメールサーバに届けられず劇的に軽減されることが期待できます。
メールボックスフォルダ → /var/spool/epms/inbox/%USERNAME%2. [ドメイン管理]で[ドメインの新規作成・設定変更]を確認
「ドメイン設定」にある運用するドメインから、内側のメールサーバと同じドメイン名のドメインを[追加]で作成し、さらに運用中のドメイン一覧から作成されたドメインを選択して[詳細]を選び、「共通ボックス(区別しない)」方式で設定します。3. アカウントの作成
続いて「サーバー設定」にある「全受信メールをSMTPゲートウェイに転送する」チェックボックスをオンになっていることを確認します。万が一オフのときは必ずオンに設定してください。この設定により、E-Post SMTP Server内に作成されるユーザーアカウントにはメールボックスは存在しないという意味になり、以後、自身のSMTP Server内はメールが着信することなく、常に振り向ける先のメールサーバにフォワードする動作を行うようになります。
設定が終わったら、[設定する]ボタンをクリックし、設定が反映された後、epstrd、epstdd のサービスを再開します。
アカウント管理を開き、作成したドメイン名を選択、内側のメールサーバに実在する有効なアカウントと同じアカウントを作成します。メールサーバで運用しているユーザーアカウントが多い場合は適宜、テキストファイルを使ってのインポート作業を行います。インポート可能なタブ区切りテキストファイルの項目については、関連記事を参照してください。4.[ゲートウェイ詳細]から"gateway.dat"ファイルによってフォワード先を設定
内側のメールサーバに実在する有効なアカウントが同名で作成されることにより、実在しないアカウント宛のメールは通さず、「よりセキュア」な設定となります。
前記までで指定した既存のメールサーバである、実際のフォワード先マシンを設定します。 [ゲートウェイ詳細]から、SMTPゲートウェイ項目の[テーブル編集]ボタンをクリックします。続いて表示される"gateway.dat"ファイル内にゲートウェイ先を登録して保存します。5. E-POSTコントロールセンターのメールサーバ管理から[システム管理メニュー]をクリック、[SMTP受信詳細]でSMTP認証方法の設定
(例)【gateway.dat】上記のように記述すると、届いた [domain.jp] 宛のメールは、192.168.0.2 のポート番号25へフォワードされるようになります。
対象ドメイン,ゲートウェイ先(FQDN or IP),接続ポート番号
domain.jp,192.168.0.2,25
また、これ以外のすべてのドメイン宛へのメールは、DNSを参照して配送される形になります。なお、指定されていないこれ以外のすべてのドメインは、hostsファイルやDNSを参照して名前解決を行い、配送が試みられます。上記の"gateway.dat"ファイルでは明示的に記述がされていませんが、プログラム内部で自動的に処理されます。
SMTPゲートウェイに実アカウントを一つも作らない場合6. postmasterアカウントの受け入れ拒否の設定
SMTP認証方法 → NOSMTPゲートウェイに(管理目的やダミー用途で)実アカウントを一つ以上作る場合
セキュリティレベル → なし
SMTP認証方法 → PLAIN LOGIN CRAM-MD5
セキュリティレベル → 認証ファイル
SMTPゲートウェイのエイリアス設定で、ワイルドカード指定を行なわず実在するアカウントのみ関連づけたエイリアス設定を行っている場合、あるいはpostmasterアカウントを含む実アカウントを一つも作らない場合は、(A)設定の6のようなpostmasterアカウントの受け入れ拒否対策は、あえて設定する必要はありません。postmasterアカウントでの受け入れはそのまま拒否されます。7. 設定反映とサービスの再開
なお、厳重を期すため、「中継の制限」にある「マシンごとの制限」【effect.dat】を開き、postmasterアカウントが通過しないように二重に設定しておいてもよいでしょう。
(例) postmaster@false
[設定する]ボタンをクリックし、設定が反映された後、epstrd、epstdd のサービスを再開します。8. SMTPゲートウェイとしての踏み台対策
E-Post SMTP Server を SMTPゲートウェイとして設定を行うと、内部ドメインに設定したドメイン名+任意アカウントを使って、迷惑メールの不正中継がされる可能性があります。いわゆる「踏み台」です。踏み台にならないようにするためには、下記リンクによる設定方法を参照して、対策を取ってください。
●「SMTPゲートウェイとして構築したとき踏み台にならないようにする」
SMTPゲートウェイに実在するアカウントのみ設定を行っている場合、内部メールサーバへのインバウンド方向の通信については、許可されるものと、拒絶されるものとが明確に区別されて設定されます。一方、内部メールサーバからSMTPゲートウェイを経由するアウトバウンド方向の通信については、少し対策が必要です。
(1)登録されていない内部メールサーバのユーザーがいるとき、インバインドは当然拒絶されますが、内部から外部へのアウトバウンド方向への通信も拒絶されます。アウトバウンドの通信を許可したいときは対策が必要です。上記の2つを許可するには、「中継の制限」にある「マシンごとの中継」を選択、表示される【effect.dat】ファイルに、内部メールサーバマシン(場合によっては他のネットワーク機器)のIPアドレスからの接続を無条件許可するように記述します。記述する個所は、優先順位高めるためにできるだけ前の方に入れてください。
(2)内部メールサーバでアカウント単位の自動転送を行っているとき、内部メールサーバのアカウントへはメールが届きますが、プロバイダやフリーアドレスなどの外部ドメイン宛への自動転送がされたときに、転送分が拒絶されてしまいます。外部ドメインへの自動転送を許可したいときは対策が必要です。
(書式)
[内部メールサーバマシンのIP] true
(例)
192.168.0.x true