23-4. FortiMail をメ−ルストアとして `2d/10〜 (1) FortiMail の導入と設置プラン `2d/10 * 導入内容 FortiMail のラインナップは。80C というモデルはもうないみたい。 2013/05/14 入手の パンフレットでは FortiMail 200D < 400C < 2000B などとなる。 2000B にハ−ドディス ク1本追加で RAID5 に。200D を予備機兼検証用に購入する。2000B は2Uで2電源あり、 200D は1U。2000B の価格はぐっとお勉強してくれた。 定価が900万円ぐらいするの だが6掛けぐらい?、本当かよと思った。しかし次年度からの保守費用はちょっとばかり 高い。もっとも 24時間365日オンサイト保守にしたから、ぐっと高くなるのだが。200Dは 予備機なのでセンドバックの標準保守とした。実はいざ購入という段階になって出入りの SI業者はオンサイト保守をやってないことが判明した。先出センドバックもやってない という。そうなると装置が壊れたら送って、直って戻って来るまで待つということになる。 こりゃ困る。メ−ルサ−バのようなクリティカルな製品は、あくまでも壊れたらすぐにか けつけて修理してもらう。そうでないことには。 購入の窓口業者と設置業者ということになった。この形態は別に特殊な話ではない。それ で設置業者に東京から来てもらって、物をラックに装着して基本的な設定をして稼働とな った。それで説明を受けるはずだったが、ユ−ザ認証の Active Directory 連携のところ で時間をくってしまった。帰り際にざくっと説明を受け、もう一度来てもらうことにして その日はそれでお仕舞いとなった。その説明によれば、スパムメ−ルのチェックはかなり の信頼性があるようだった。AD のユ−ザ認証はサンプルの OUを作り、その中にサンプル のメ−ルアドレスを記載したアカウントを作った。これで FortiMail と AD連携のテスト 環境は一応できたのでその後、自分でいろいろ動作検証してみた。ユ−ザ認証の挙動はど うもすっきりしてないというのが感想である。そして最後までよく分からなかったがア− カイブの機能である。本当にいざという時にユ−ザのメ−ルが取り出せるのかしゃん。 * FortiMail 導入設置時のメモ ラックマウントして、UPSから電気をとること。APC の 1500RM でランプが3つまでつ いていた。電源を1つとったがランプはそのままだった。全然電気をくわない?。電源は 2重化になっているので別のUPSからもう1つの電源をとった。 ラックに装着した。付属品のガイドレ−ルを先にラックにつけること。ネジ止めはしなく てよい。ラック専用のメスネジ受けは使わなかった。FortiMail-2000B は起動時には結構 音がした。30秒ぐらいでまま静かになった。HPの2Uの仮想サ−バ並みかな。 FortiMail-2000B は標準でハ−ドディスクは2本で、ミラ−構成になっている。ハ−ドデ ィスク1本追加して RAID5 で稼働させる。1TB 3本で、RAID 5 で 1861.63 GB の実質容 量になった。追加ハ−ドディスクは小さいのかと思いきや結構大きかった。 メ−ルア−カイブの容量は。装置のディスク容量の20%をログとア−カイブで利用でき るとのこと。ディスク容量が 1.8 テラなら 360 GB。ア−カイブ用のアカウントを作って 利用する、10個位しか作れないとのこと。メ−ルユ−ザのアカウントとは別である。 Mail-Relay の /etc/hosts に FortiMail に付けたホスト名とIPアドレスを記述するこ と。これがないと FortiMail から Mail-Relay にメ−ルが行かない。 FortiMail には現 行 Mail-Store とは別のIPアドレスを付けて、外ヘのメ−ル送信もテストしてみる。 装置はデフォルトでオ−プンリレ−になっている。リレ−にすると次のポリシ−が適用さ れる。IPポリシ−を見たあと受信者ポリシ−に行って見る。受信者ポリシ−はWebメ −ルを使えるようにするかうんぬんの制御もある。 スパムのチェックで。隔離するか [SPAM]と件名を付けるか。SI業者の推奨は件名の方。 クラウドのサ−ビスではだいたい隔離して、Webで自分で確認するというのが普通のよ うである。それにならって、とりあえずの設置ではそう設定してもらった。 Maildir 形式のメ−ルはそのまま他のマシンにコピ−しても読めないと書かれているのを 読んだことがある。FortiMail は装置のIPアドレスを変えたらどうなのか。ちゃんとメ −ルは読めるのか取れるのか。SI業者の回答でも問題なし、動作確認もやってみた。 アンチウィルスのチェックには HTTPS を利用。スパムのチェックにはDNSのUDP/53 を 利用する。スパムチェックの中でヒュ−リスティックのチェックはお勧めでないとのこと。 ファイアウォ−ルでこれらのパケットを通すようにすること。 Webメ−ルのこと。ユ−ザのカウントを作るとWebメ−ルも自動的に使えるようにな る。メ−ル転送の設定が各自でできる。スパムメ−ルの隔離されたのを各自で見たり消し たりできる。Webメ−ルはタブレットなんかでは使いずらい。IMAP4 の方がいいとの話。 AD 連携の確認をした。1つの OU でオブジェクトが 500以上あると FortiMail でリスト できなかった。試しに別に OU を適当に作って、そこにオブジェクトを2、3作ってみた らリストできた。何日かして警告が出たのを再度試したら、特に問題はなかった。 ユ−ザのアカウントを作ると POP3 と IMAP4 が使えるようになっている。 装置の方では IMAP4 設定について何もやることはない。メ−ルソフトの方で設定するのみ。メ−ルソフ トで両方設定すると、メ−ルは POP3 に入って行くので両方の利用は実質的に意味なし。 メ−ルアドレスは xxx@sub.nix.co.jj というのも扱うことができる。 しかしホスト名で の認識ではなく、サブドメインとしての扱いになる。社内のいろいろなサ−バからホスト 名の入ったメ−ルアドレスのメ−ルが出るのは、この際ホスト名部は無しにした方がいい。 ホワイトリストは [アンチスパム] のところでやること。ホワイトリストは他にもあるが、 ここが最初にチェックされる。 [アンチスパム]->{システム} で全部の指定ドメインに適 用される。各自のホワイトリストもあるが、全員適用の方がいいだろうという話だった。 FortiMail のWebメ−ルは独自プロトコルかも。一般的にWebメ−ルは、メ−ル受信 の仕組みは IMAP4 が使われる。内部的な操作は IMAP4 サ−バとWebメ−ルソフトがや る。メ−ルの操作画面の表示をWebブラウザ−でやっているだけ。 スパムメ−ルとして隔離されたのは、IMAP4 利用ではユ−ザ隔離領域は見ることができな い。各ユ−ザはWebメ−ルでアクセスして見ること。メ−ルを消去する解放(リリ−ス) する。管理者は管理画面でスパムメ−ルのこれらの操作ができる。これは仕様。 最大サイズを超えたメ−ルは拒否される。社内のパソコンからメ−ルを送った瞬間に拒否 画面が出て来る。外部からのメ−ルには送信者にエラ−メ−ル、"差出人: Mail Delivery Subsystem [MAILER-DAEMON]、Message size is over limit" を返す。これは仕様。 最大サイズを超えたメ−ルのこと。内外の送信者に大きくて送れませんでしたとメ−ルを 出すことはできない。FortiMail ではこのエラ−メ−ルの文面を作ることはできない。隔 離もされない。InterScan はそういうことができるのだが。これも仕様とのこと。 ユ−ザのディスク容量が一杯になったら。ユ−ザ宛にディスクが一杯ですと警告メ−ルが 出てくる。そうなるとユ−ザ自身もメ−ル送信できない、他からも受けることができない。 社内でメ−ルソフトでメ−ルを送った瞬間に拒否画面が出てくる。これは仕様。 スパムメ−ルについてはエラ−メ−ルを内外の送信者に返すことができる。文面もあらか じめ作っておくことができる。隔離とか破棄とかは関係ない。文面は HTML で記述するこ とになっている。これについては InterScan と同等のことができると、まま言える。 スパムメ−ルについては警告メ−ルを内外の送信者に返すことができる。文面もあらかじ め作っておくことができる。文面は HTML とテキスト両方で記述ができる。これについて は InterScan とほぼ同等のことができる。テキストだけを書いた方がいいのか?。 FortiMail はIPアドレスを変えると、中のメ−ルはちゃんと読めるか、取れるか。以前 IMAP4 のメ−ルを別なマシンに移すと、メ−ルが読めなくなると書いてあるのを見た覚え がある。UNIXマシンのファイルID がメ−ルのデ−タに埋め込まれているかして。 * SI業者とのやりとりで得た知見 エイリアスでのメ−ル転送は、かつては 20 から 30 位だった。伝統的にたくさんは列挙 しない。多くを記載する場合はメ−リングリスト用のソフトを使う。FortiMail ではエイ リアスはただのファイルでデ−タベ−スは使わないので、数の制限はないとのこと。 クラウドのメ−ルサ−ビスへの利用も視野に入れておくこと。メ−ルサ−バのメ−ルデ− タは移行はできないと考えた方がいい。 Exchange から Office 365 への移行ならできる ようだが。先々のため、メ−ルはユ−ザのパソコン内に今後も保存しておくのが望ましい。 お犬様の会社の事例、Exchange から Gmail に変えた。メ−ルデ−タは移行はできなかっ た。Gmail は社内からしか利用できないようにしている。 ユ−ザ認証は Gmail でやって AD でもやる2段階実施。社外からの利用は ActiveSync で同期をとって iPhone を使用。 * FortiMail の運用についての検討 ウィルスとスパムメ−ルのチェックをやる。導入検討の当初、これらはやらないと考えた。 ウィルスはいいとしてもスパムのチェックの信頼性が未知数だったから。大丈夫でしょう。 ユ−ザから誤検知してないか問い合わせがあったら、先ずは管理者がチェックしてリリ− スする。おいおいユ−ザ自身でWebメ−ルでチェックしてもらうようにしていく。 メ−ル受信は POP3 でこれまでのままとする。希望者には Mail-Store を入れ替えした後 に IMAP4 に変更する。POP3 と併用はできるが、メ−ルは POP3 に入るので意味なし。 メ−ルソフトの IMAP4 の設定で、メ−ルサ−バと同期という機能で、 パソコン側にもメ −ルを取り込むことができる。IMAP4 でもメ−ルはパソコンに取り込んでおくことにする。 メ−ルのホワイトリスト。個人用のホワイトリストを作るのはやらない。一括でいい。お かしなメ−ル、スパムメ−ルは共通の敵とみなしていい。 * スパム検知の性能をチェックした 現行Mail-Store の InterScan で自分宛のメ−ルはチェックせずにスル−させると考えた がチェックはやる。Mail-Store の /etc/aliases で "user1: \user1,user1@hostF" とす る。hostF は FortiMail である。 InterScan でスパム判定され隔離されたのを解放する とエイリアスの記述で FortiMail へ行き、こちらでもスパムチェックをする。 そうすれ ば InterScan と FortiMail 両方でチェックができ性能を比較することができる。 InterScan のスパムメ−ルの検出レベルは 高/中/低 の 低 でずっと運用している。せめ てこのレベルでの検知は必要である。 自分宛のメ−ルで InterScan でスパム判定された メ−ルは1日に10通ぐらい。FortiMail では "FortiGuardスキャン" だけに〆した、先 ずはこれだけで運用してもらいたいということである。他にもオプションや検知メニュ− があるが、それらはより精度を高めるために利用する場合であるとの話だった。 [プロファイル]->[アンチスパム]->{アンチスパム} 内で | --▲スキャン設定---------------------------- | |〆▼FortiGuardスキャン | | □ブラックIPスキャン << レピュテ−ションとの違いが今一つだが。 | | □フィッシングURI << フィッシングサイトへの誘導をブロック。 FortiGuard スキャンは何をやるかというと、レピュテ−ションの FortiIP とシグネチャ によるチェックの FortiSig ということらしい。FortiGuard Center という世界6ヶ所に 設置された監視拠点があって、常に不正なメ−ルを監視し分析している。そして最新のシ グネチャを提供している。アンチスパムは10分毎、アンチウィルスは6時間毎に。それ で結果は非常に良好だった。InterScan で見逃したスパムメ−ルも検知していた。 (2) FortiMail の機能を詳らかにする `2d/12 * FortiMail での"受信"、"送信"の意味 "保護ドメイン" と言うのが FortiMail での専用の用語で、自社ドメイン名を意味し、本 書では nix.co.jj ということになる。user1@nix.co.jj 宛のメ−ルは "受信"、それ以外 のドメイン名へのメ−ルは "送信" という解釈になる。FortiMail の仕様である。"受信" のメ−ルはユ−ザ隔離することができる。"送信"のメ−ルはユ−ザ隔離はできない、シス テム隔離に入れることができる。FortiMail の設定で最初にとまどう所である。 社外から社内 --- "受信" << 保護ドメイン宛のメ−ル。 社内から社内 --- "受信" << これも保護ドメイン宛のメ−ルとなる。 社内から社外 --- "送信" * 最大メッセ−ジサイズの振る舞い メ−ル送受信の最大サイズの設定をしてみる。サイズは生デ−タではなく ASCIIエンコ− ドされた後である。処理できるところは2つある。1) [メ−ル設定]->[ドメイン] の最大 メッセ−ジサイズ(KB)、入って来るのも出てくるのも適用される。2) [ポリシ−]->[ポリ シ−] の セッション で例えば nix-session とか作って、その中で値を記載する。1) で やればいいだろう。[メ−ル設定]->[ドメイン] 例えば 204800 KB これは 200 MB。 外部から社内へ送ったメ−ルは、送信者にエラ−メ−ルが返える。差出人:Mail Delivery Subsystem [MAILER-DAEMON]、件名:Returned mail: see transcript for details、 こん なのが。仮設置なので実際の Mail-Relay からメ−ルを FortiMail に送れない。 それで 現行の Mail-Store から FortiMail へメ−ル転送してやってみた。 社内から外部へ送ったメ−ル、社内から社内へ送ったメ−ルは、FortiMail から直ちに拒 否しましたというメッセ−ジの画面がでる。社内のユ−ザがメ−ル送信する際は、メ−ル ストアである FortiMail に直接アクセスするので、こういう処理になる。 管理者にも知 らせるメ−ルが InterScan では出せるがこちらではできない。隔離もされない。 * エイリアスでのメ−ル転送 エイリアス名は AD に登録したアカウント、装置ロ−カルで作ったアカウントである必要 はない。UNIXの /etc/aliases 相当のメ−ル転送の設定。[メ−ル設定]->[ドメイン] では nix.co.jj は AD を見るようにしてある。[ユ−ザ−]->[ユ−ザ−エイリアス]->{ユ −ザ−エイリアス} の {新規} をクリックして。 エイリアス名 | メンバ− ---------------|------------------------------- kkk@nix.co.jj | user@nix.co.jj 1) kkk@nix.co.jj | kkk@nix.co.jj,user@nix.co.jj 2) 自分にも送る。 1) はともかく kkk@nix.co.jj 宛のメ−ルが来たら user@nix.co.jj へ送る。 2) は自分 にも送る、というかエイリアス名のメ−ルにも送る。"メンバ−"は "有効なユ−ザ−" か ら選んでもいいし、そこになければ "外部メ−ルアドレス" の所で任意のを書いてもいい。 ただし "メンバ−" のメ−ルアドレスは登録または作成されてないと届くことはない。 * フォワ−ドでのメ−ル転送 ※フォワ−ドでの指定メ−ルは4つまでしか記述できない。 UNIXの ~/.forward 相当の各ユ−ザでのメ−ル転送。Webメ−ルで各ユ−ザが設定 できる。管理者画面でもやることができる。メ−ルストア移行には、管理者があらかじめ 設定しておかないといけない。フォワ−ドの設定は[ユ−ザ]->[ユ−ザ]->{ユ−ザ−設定} にできた "ユ−ザ−名" を編集してやれる。しかし最初はユ−ザのエントリはできていな い。メ−ルを送ればエントリができる、その場で {新規} 作成してもできる。 {ユ−ザ−設定} にまだ user1 エントリがない状態で。{ユ−ザ−設定}の{新規}で user1 と記入すれば、user1 の設定画面がでてくる。ここで転送を記述できる。 "自動転送アド レスの設定" で "◎On"、自分にも送る場合は "〆コピ−をメ−ルボックスに保存"とする。 初めて user1 を作成した場合、"自動転送アドレスの設定" の所は灰色である。{作成}を をやっていったん抜けて、また作成したエントリ user1 を選んで {編集} やるといい。 * 管理者によるユ−ザのメ−ルの操作 テストでいろいろメ−ルを送ったり受けたりしている。自分宛のメ−ルなら放置していて も問題ないが、他の社員宛になったメ−ルは放置ではいけない。本番稼働する前にそれら のメ−ルをクリアしておきたい。 UNIXマシンなら /var/mail/user1 とかメ−ルボッ クスのファイルがあるので、# rm user1 で消せばそれでおしまいだが。 AD 登録のユ−ザのアカウントでメ−ル送受信すると、[ユ−ザ]->[ユ−ザ]->{ユ−ザ−設 定} に "ユ−ザ−" の名前が出る。例えば user1 という名前が出ていて、選択し {編集} 画面を開いてもメ−ルを見たり消したりはできない、そういうメニュ−がない。 {メンテ ナンス} はホワイトリストの制御の画面が出てくるのみである。 この時点で [ユ−ザ−]->[ユ−ザ−]->{ユ−ザ−} には "ユ−ザ−名"に user1 エントリ はない。{新規} で "ユ−ザ−名" に user1 と入れて、メ−ルアドレス user1@nix.co.jj を作る。それに LDAP である AD を参照するようにする。これで user1 を〆して{メンテ ナンス} をクリックすれば、user1 さんのメ−ルのディレクトリが出てくる。 ---------- |ユ−ザ−|ユ−ザ−設定 このユ−ザのディレク | ------------------------------------------------- トリを出す手順を忘れ | 新規 編集 削除 メンテナンス CSVエクスポ−ト ... てしまい、出すまで数 |--------------------------------------------------------- 日ああだこうだ試考錯 | □ ユ−ザ−名 | 表示名 | タイプ | ディスク使用量(KB) 誤してしまった。 |----------------|---------|----------|------------------- | □ test1 | | ロ−カル | 0 | 〆 user1 | tekitou | LDAP | 9 ---------- |ユ−ザ−| テスト稼働の間は3日ぐらいでメ−ルは消え | ------------------------- るようにしておくというのも一つの手である | user1@nix.co.jj [プロファイル]->[リソ−ス] の {リソ−ス} |--------------------------------- "▲メ−ル保存、一般フォルダ(日): [ 3 ]"。 | 削除 空にする 戻る サイズ(KB) |--------------------------------- Inbox を選んで {空にする} でこの中のメ− | ディレクトリ ルを全部消去する。 "フォルダを空にすます | [-] Inbox 9 か?" と聞いてくる。 フォルダ単位で消すこ | [-] Drafts 0 とができるということ。メ−ルの中身を見る | [-] Sent 0 ことは管理者であってもできない。 | [-] Bulk 0 | [-] Trash 0 {削除}は灰色になっていた、何かのメニュ− | [-] SecureMail 0 として使えるのか疑問。 ---------------------------------- {ユ−ザ−} のエントリ user1 を {削除} すると、{ユ−ザ−設定} にあった user1 エン トリも消えた。{削除} する際 "選択されたレコ−ドを削除します。よろしいですか?" と 聞いてきた、?。user1 の FortiMail にあったメ−ルは全部消えた。Webメ−ルにアク セスして user1 でログインしたら、{ユ−ザ−設定} に user1 エントリはまた出てきた。 * "受信"メ−ルの隔離のテスト1 手元パソコンから user1@nix.co.jj へ "人妻" と書いたメ−ルを送信。 ユ−ザの隔離領 域に入るかを確認した。[ポリシ−]->[ポリシ−] 画面で <受信ポリシ−> の設定をした。 ドメイン:[--すべて-- ▽] 方向[受信 ▽] -------------------------------------------------------------------------------- 有効 ポリシ 方向 送信者パタ−ン 受信者パタ−ン ドメイン名 アンチスパム リソ−ス -------------------------------------------------------------------------------- 〆 1 受信 *@* * nix.co.jj AS_Inbound <受信ポリシ−> の アンチスパムに AS_Inbound を選択した。 AS_Inbound では "禁止用 語スキャン [設定]" で "人妻" を書いた、件名〆 本文〆。 AS_Inbound はデフォルトア クションで UserQuarantine_Inbound が選択で 〆ユ−ザ隔離 になっていて、そのままと した。"システム隔離" もあってどちらかの選択になる。Quarantine は隔離という意味。 Webメ−ルで user1 でログイン。[システムフォルダ]->[隔離] を見るとこのメ−ルは あった。[モニタリング]->[隔離]->{ユ−ザ−隔離} の user1@nix.co.jj メ−ルボックス に入った。メ−ルの内容をみることができる。それぞれのメ−ルアドレス毎に格納される。 これで管理者がチェックすることができるが、1人ずつ見て行くことになる。 メ−ルを隔離してますというレポ−トのメ−ルを各ユ−ザに出すかという話。レポ−トを 出さないように設定してみた。不用意な知らせはしないという考えで。ユ−ザのWebメ −ル画面の [設定] のアンチスパム管理をみると、"隔離レポ−トの受信◎"になっていた。 これはレポ−トを出す設定になっている場合に、自分で受取り制御ができるということ。 * "受信"メ−ルの隔離のテスト2 手元パソコンから user1@nix.co.jj へスパムメ−ルを送信。 自分宛に来たバイアグラな んたらという怪しいメ−ルを FortiMail へ送ったらスパムと判定してくれた。 [ポリシ−]->[ポリシ−]->{ポリシ−} の <受信ポリシ−> の所で1つ作って、"アンチス パム" に AS_Inbound を選択。AS_Inbound のアクションを SysQuarantine_Inbound に変 更した。SysQuarantine_Inbound はデフォルトで "〆システム隔離"になっていた。"ユ− ザ隔離" もある、隔離の他は UserQuarantine_Inbound と項目に設定は同じでないか。 [モニタリング]->[隔離]->{システム隔離} を見た。フォルダ:[コンテンツ ▽] になって いて何も表示なし。フォルダ:[スパム ▽] にする、画面メニュ−の <メ−ルボックス>内 の Inbox/Bulk をクリックすると、隔離されたメ−ルがあった。解除したらメ−ルは出て 行った。これで InterScan と同じく管理者が誤検知のメ−ルがないかチェックできる。 -------------- ユ−ザ−隔離|システム隔離| ※隔離にあるメ−ルは ------------- ----------------------------- 中身の表示はできる。 | ペ−ジ[1 ]/1 フォルダ:[スパム ▽] |----------------------------------------------------- | □メ−ルボックス サイズ(KB) |----------------------------------------------------- | □Inbox/Bulk 4 << これクリックすると隔 | □2013-10-15-00-00-00.2013-10-22-00-00-01/BULK 1 離されたメ−ルがある。 * "送信"メ−ルの隔離のテスト user1@nix.co.jj から ikken@tcp.or.jj へ送信した、禁止キ−ワ−ドの "迷惑"と書いて。 [ポリシ−]->[ポリシ−]->{ポリシ−} の の所で1つ作って。 有効 ポリシ− 送信元 宛先 セッション アンチスパム アンチウィルス --------------------------------------------------------------------------- 〆 1 0.0.0.0 0.0.0.0 NIX-SEND "NIX-SEND" をクリック、アンチスパムアクションプロファイルで、方向:[送信]。〆禁止 用語スキャンに "迷惑" を書いた。デフォルトアクション:[ACT-NIX-SEND] を作った、こ れは 方向:[送信]、〆システム隔離。ユ−ザ隔離の項目はそもそもなかった。仕様として "送信" メ−ルは個人の隔離に入れることはできないということ。 [モニタリング]->[隔離]->{システム隔離} のフォルダ:[スパム ▽] でのメ−ルボックス Inbox/Bulk に入った。ユ−ザ毎のメ−ルボックスではなく全ユ−ザのメ−ルが入る。 ロ グは [モニタリング]->[ログ]->{ヒストリ} で "分類 Banned Word、処理 Quarantine to Review、方向 out" と出ていた。{アンチスパム} のところにもログがでていた。 * ポリシ−の適用順序について 禁止用語を AS_Inbound で "迷惑"と設定、NIX-RECIVE は設定なしで。 user1@nix.co.jj 宛のメ−ルでポリシ− 2 で合致するか。どうもポリシ− 1 で合致して普通にメ−ルは届 いた。ポリシ−は上からが適用される。後から特定のユ−ザに特定のポリシ−を適用した いとなると、ポリシ−の順番を入れ替えないといけない。 ▲受信者ポリシ− -------------------------------------------------------------------------------- 新規 編集 移動 削除 ドメイン:[--すべて-- ▽] 方向[受信 ▽] -------------------------------------------------------------------------------- 有効 ポリシ 方向 送信者パタ−ン 受信者パタ−ン ドメイン名 アンチスパム リソ−ス -------------------------------------------------------------------------------- 〆 1 受信 *@* * nix.co.jj NIX-RECIVE 〆 2 受信 *@* user1 nix.co.jj AS_Inbound 例えばポリシ− 2 番を1番上にしたい。 user1@nix.co.jj 宛のメ−ルは AS_Inbound を 適用したい。"ドメイン:[--すべて-- ▽]"のままでは、ポリシ−の順番は入れ替えること はできない。{移動} は何をやっても灰色のままである。"ドメイン:[nix.co.jj ▽]"にす れば {移動} メニュ−は有効になる。FortiMail のメニュ−にはちょっとした癖がある。 * いろいろ メ−ルサ−バを運用していると、送ったかどうか等調べてくれということがある。正常な ログは [モニタリング]->[ログ]->{ヒストリ} に "分類 Not Spam 処理 Accept"。 隔離 されたメ−ルの場合は "分類 FortiGuard AntiSpam、処理 Quarantine、方向 in" と出る。 [ユ−ザ−]->[アドレスマップ]->{アドレスマップ}、kero@temp.nix.co.jj で入ってきた メ−ルを kero@nix.co.jj に変換するとか。temp.nix.co.jj は FortiMail ではサブドメ インを作って対応する。sub のところはホスト名という解釈はだめである。 免責文というのは。[メ−ル設定]->[ドメイン] の <高度な設定> メニュ−で、"▼免責文 設定:[無効 ▽] 灰色"。これは例えば Fortinet 社からのメ−ルで、 メ−ルの最後 に自動的につけた英語の文面がある。 [メ−ル設定]->[アドレス帳]->{連絡先}{連絡先ウル−プ}{LDAPマッピング}。これは一体 なに?。こんなの、いるのか。メ−ルソフトで来たメ−ルからアドレス帳を作っていくと いうの。多分 FortiMail のWebメ−ルでメ−ルでアドレス帳が利用できるのでないか。 (3) FortiMail のユ−ザ認証について `2d/12 * Active Directory と装置のアカウント AD に user1(1234) というアカウントが登録されているとする。user1 はユ−ザ名、1234 はパスワ−ドとする。更にAD の user1 エントリには、メ−ルアドレス user1@nix.co.jj を記載してあるとする。ここに書くメ−ルアドレスは user1 でなくても構わない。AD 登 録のユ−ザ名とメ−ルアドレスは独立している。henomohe@nnn.com でも何でもいい。 FortiMail では [メ−ル設定]->[ドメイン] で、nix.co.jj は AD を参照するようにした とする。FortiMail ではユ−ザのアカウント情報を何も登録する必要はない。アカウント が AD に登録されていれば、 ただちに user1@nix.co.jj 宛にメ−ルを送ることができる。 user1 のWebメ−ルにもアクセスができる。 Webメ−ルには https://xxx/mail で user1,1234 と入れれば、user1 さん用のWeb メ−ル画面がでてくる。[ユ−ザ−]->[ユ−ザ−]->{ユ−ザ−設定} に user1 のエントリ ができているはずである、ここでは管理者が各ユ−ザのメ−ル転送の設定やブラックリス ト/ホワイトリストの記載ができる。 [ユ−ザ−]->[ユ−ザ−]->{ユ−ザ−} のところには user1 エントリはできていない。こ こでも user1 アカウントを作ってみる。同じユ−ザ名の user1 でパスワ−ドは異なるの を abcd と付けたとする。AD は見ないようにする。すると user1 というユ−ザは AD の アカウントを見るのではなく、装置内のアカウント user1 を見るようになる。 そして [ユ−ザ−]->[ユ−ザ−]->{ユ−ザ−} のロ−カルの user1 エントリを消してみ た。すぐに AD の方を見るようになった。Webメ−ルは user1,1234 でアクセスできた。 ロ−カルのアカウントはパスワ−ドは AD を見るようにもできる。 [メ−ル設定]->[ドメ イン] で、nix.co.jj は AD 参照としてても、ロ−カルにあるアカウントが優先される。 メ−ルのアカウント参照として、通常は全部 AD を見るようにして運用する。ロ−カルに もアカウントを作っておきパスワ−ドも AD のと同じのを記載しておく。 そうすれば AD が止まってもロ−カルをバックアップに切り替えることができる。あるいは FortiMailの AD のキャッシュ機能を利用すれば、溜めたアカウント情報でメ−ル利用は継続できる。 AD 登録のアカウントを消去するには。先ず AD からエントリを削除する。{ユ−ザ−} に 仮のエントリを作る、パスワ−ドは何でもよし。{ユ−ザ−}からエントリを削除する、メ −ルデ−タもそのまま消える。{ユ−ザ設定} にあるエントリも同時に消える。 この順番 でやらないと {ユ−ザ設定} のユ−ザとユ−ザのメ−ルを消すことができない。 メ−ルユ−ザの登録を装置から AD に変更するには。 AD には先にユ−ザのアカウントを 登録する。そして {ユ−ザ} に溜まっていたメ−ルをその人に取ってもらう。その連絡を 受けて装置に登録したユ−ザを削除する。その間のタイムラグは生じてしまうが。いきな り装置登録からユ−ザを削除すると溜まっているメ−ルは消去されてしまう。 * メ−ルソフトと FortiMail と Active Directory これまではメ−ルソフトでメ−ル受信の POP3 アカウントは Mail-Store の /etc/passwd ファイルを参照していた。パソコンのログオンのアカウントとは別ものだった。 パソコンのログオンで AD を参照するようにしている場合、下記では AD にはアカウント "kuser1 1234" が登録されている必要がある。ユ−ザ名 kuser1、パスワ−ド 1234。 パソコンのメ−ルソフトで AD を使う設定にしないといけないか?。メ−ルソフトにディ レクトリサ−ビスというメニュ−があるのでそう思ったが、メ−ルソフトにADは関係ない。 Outlook Express の [ツ−ル]->[アドレス帳] で {人の検索} で AD 登録情報をみること ができる。探す場所の指定がいるが。"名前" を入れると "電子メ−ル" が検索される。 ----------------------- ----------------- Windows Server |パソコン | |FortiMail | -------------------------------- | | | ------------ | |Active Directory | |ログオン kuser1 1234 | | | ADを参照 |--|--->| | | | | ------------ | | kuser1 1234 user1@nix.co.jj | | メ−ルソフトPOP3 | | | | luser2 xxxx user2@nix.co.jj | | -------------- | | ------------ | | muser3 xxxx user3@nix.co.jj | | | user1 1234 | | | | 装置LOCAL| | -------------------------------- | -------------- | | ------------ | メ−ルアドレスは AD の管理項目。 ----------------------- ----------------- AD にこのようにアカウントを登録したとする。 パソコンのログオンのパスワ−ドは ユ−ザ名 パスワ−ド メ−ルアドレス 1234。メ−ル受信 POP3 のパスワ− kuser1 1234 user1@nix.co.jj ドも 1234 ということ。共通使用!。 AD に登録したアカウントのメ−ルアドレスを変更する。 kuser1 1234 user1.ikken@nix.co.jj  ̄ ̄ ̄ ̄ ̄ ̄ FortiMail での解釈は、パソコンのメ−ルソフトの POP3 もこれを記載すること。 user1.ikken (ユ−ザ名はAD登録の) 1234 (パスワ−ドはAD登録の)  ̄ ̄ ̄ ̄ ̄ ̄ * AD 登録のアカウントのメ−ルアドレスを変更する AD に kuser1 というアカウントがあって、メ−ルアドレス user1@nix.co.jj と記載。こ れでメ−ルを送受信してたとする。{ユ−ザ−設定} には user1 というエントリができて いる。AD 登録の kuser1 アカウントのメ−ルアドレスを変える、user1.ikken@nix.co.jj。 {ユ−ザ−設定} の user1 エントリはそのまま、新しく user1.ikken@nix.co.jjができた。 [ユ−ザ−]->[ユ−ザ−]->{ユ−ザ−設定} ------------------------------------- □ ユ−ザ− 表示名 言語 ... -------------------------------------- □ user1 << これは [ user1 ] @ [ nix.co.jj ] に対応。 □ user1.ikken << これは [ user1.ikken ] @ [ nix.co.jj ] に対応。 メ−ルソフトの設定の変更 ------------------------------------------------ | サ−バ情報 受信メ−ル(POP3) [ 192.168.1.x ] | | 送信メ−ル(SMTP) [ 192.168.1.x ] | | 受信メ−ルサ−バ | | アカウント名 [ user1.ikken ] | << 元は user1 だった。 | パスワ−ド [ 1234 ] | | 電子メ−ルアドレス [ user1.ikken@nix.co.jj ] | << 元は user1@nix.co.jj だった。 ------------------------------------------------ * 元のメ−ルアドレス user1 のメ−ルはどうなったか 装置でロ−カルのアカウント user1 を作ると、 user1@nix.co.jj で来ていたメ−ルが見 れる。ロ−カルでのアカウント登録画面では、メ−ルアドレスはそもそも途中で変えるこ とはできない。つまり FortiMail はメ−ルが来ると AD 登録情報に、 このメ−ルアドレ スがあるか調べる、メ−ル受信に関してはこれだけである。メ−ル受信の場合はメ−ルソ フト登録のユ−ザ名をもって、 AD 登録情報のメ−ルアドレスのユ−ザ名部と合致するか 調べる。そしてさらにメ−ルソフト登録のパスワ−ドと AD 登録のが合致するか調べる。 [ユ−ザ−]->[ユ−ザ−]->{ユ−ザ−} ※メ−ルソフトの設定もこれに合わせること。 ------------------------------------------------ | ユ−ザ−名: [ user1 ] @ [ nix.co.jj ] | << "user1" 部は灰色で変更できず。 | ◎パスワ−ド: [ abcd ] | nix.co.jj はあらかじめ記載さ | ○LDAP: [ --なし-- ▽] [新規][編集] | れていた。nix.co.jj は [メ− | 表示名: [ ] | ル設定]->[ドメイン] で記載し | | たのを取って来ている。 | [OK] [キャンセル] | ------------------------------------------------ (4) FortiMail を本番稼働用に設定 `2e/01 * 本稼働の設定仕様 メ−ル送信の際のユ−ザ認証はしない、SMTP AUTH はしない。POP before SMTP はしない。 送信ドメイン認証の DKIM も時期尚早と判断してやらない。暗号化 POP3S、SMTPS は有効 にする。IMAP4 を有効にする、Webメ−ルを有効にする、利用したいユ−ザには使って もらう。ただしメ−ルのデ−タはパソコンに先ず保存することにする。 送受信でウィルスチェック、スパムチェックをする。ウィルスは破棄するのみで隔離も警 告メ−ルも出さない。個人のメ−ルボックスのサイズ、ディスククォ−タは 10GB とかに する、ユ−ザの数とハ−ドディスクの容量から算出してみること。メ−ルの最大サイズは 3MB 位に、(1024KBx3)。大きなメ−ルの添付ファイルはクラウドサ−ビスを利用しよう。 スパムメ−ルの処理は、社外からのメ−ルには送信者に警告メ−ルは返さない。社内の受 信者にも出さない。社外からのメ−ルは社内のユ−ザの隔離に入れる、社内から社内のも 同様とする。社内から社外ヘのメ−ルはシステム隔離に入れる。どうしてもの時は管理者 が解除する。これら隔離レポ−トはユ−ザである受信者には送らない。 スパムメ−ルのまとめ、"受信"でメ−ルはユ−ザ隔離に、"送信"はシステム隔離に入れる。 * スパムメ−ルの処置の検討 社内から外部へ送るメ−ルがスパム判定された場合、そのメ−ルを隔離する必要があるか。 例えばサイズがでかいメ−ルは送信者に駄目だよと何らかの形で知らせればいい。送信者 本人がエッチであるとかおかしなメ−ルをだすことは、通常ではない。しかしパソコンが ボットに感染しスパムメ−ルを送ったり、社内情報を添付ファイルで社外に送ろうとした りする可能性はある。これを止めることができれば有難い。この場合でもユ−ザ隔離しな くてもいい。システム隔離していれば管理者が調べることができる。もっとも FortiMail では "送信" に関してはユ−ザ隔離はできず、システム隔離しかできない仕様になってい る。それで社内から社外は送信者にスパムメ−ルだったとメ−ルし、システム隔離する。 * スパムメ−ルの警告メ−ルの文面 社内から外部へ送ったメ−ルがスパムと判定された場合に、社内の送信者にスパムメ−ル でしたと警告メ−ルを出す設定。メ−ルはシステム隔離とする。 [ポリシ−]->[ポリシ−] の 画面で "アンチスパム" の "NIX-SEND" をクリック。すると {アンチスパムプロファイル} 画面がでてくる。 有効 ポリシ− 送信元 宛先 セッション アンチスパム アンチウィルス --------------------------------------------------------------------------- 〆 1 0.0.0.0 0.0.0.0 NIX-SEND "デフォルトアクション:[ACT-NIX-SEND ]" 並びの [編集] をクリックして出た、{アンチ スパムアクションプロファイル} 画面の中の "〆通知プロトコル [Spam-Mail ]" 並びの [編集] をクリックすると下記の画面が出る。"〆システム隔離" もしておく。 ------------------------------------------------------- | 通知プロファイル | 先に [プロファイル]->[通 |プロファイル名: [Spam-Mail ] | 知]->{通知} で作成してお |通知先 〆送信者 | く。"名前 Spam-Mail","通 | □受信者 | 知テンプレ−ト spam-fail | □その他 [ ] | -notify" で作っておいた。 |通知テンプレ−ト: [spam-mail-notify ▽] [新規][編集] | "コンテンツ: Html"部はシ |□元のメ−ルを添付ファイルに含める | ンプルな HTML 記述にした。 ------------------------------------------------------- "spam-mail-notify" は FortiMail から出る警告メ−ルの文面になる。初期設定の文面が あって "コンテンツ" には "Html" のところだけに書かれている。メニュ−の"Html"、そ の下に "Text" というのがありこちらは空である。1つのメ−ルの本文に HTML とテキス トを記述できるようになっている。Outlook Express ではデフォルトでメ−ル本文はHTML で表示しようとする、"〆メッセ−ジはテキスト形式で読み取る" とすると、 テキストの 文面部が表示されて HTML 部は表示されない。"メッセ−ジはテキスト形式で読み取る"は [ツ−ル]->[オプション]->{読み取り} の "メッセ−ジの読み取り" にある。 ここら辺り のこと気を付けないと、Webメ−ルではスパムでしたと文面が見えるのに、Outlook な どメ−ルソフトで見ると文面なしということになる。差し出し人は postmaster である。 * メ−ルストアとしての基本的な設定 [メ−ル設定]->[ドメイン]->{ドメイン} ---------------------------------------------------- | ドメイン名:[nix.co.jj ] | LDAPユ−ザ−プロファイル:[NIX-AD ▽] | | 高度な設定 | ウェブメ−ルテ−マ: [システム設定を使用] | ウェブメ−ル言語: [システム設定を使用] | 最大メッセ−ジサイズ(KB): [3072 ] << 3 MB まで許可。 | アドレス帳への自動新規ユ−ザ−追加: [ドメイン ▽] | IPプ−ル:[--なし-- ] | | | SMTPグリ−ティング ◎このシステムホスト名を使用 | | * メ−ルのブラック&ホワイトリストの設定 [アンチスパム]->[ブラック/ホワイトリスト]->{システム} で設定する。これらリストは 他にもあるがここが最初にチェックされる。全部の指定ドメインに適用される。ブラック リストをクリックし、systemのリストに例えば [ *@asahi.com ] と記述すればasahi.com からのメ−ルは 拒否 or 廃棄 or その他 で処理されることになる。 {システム} の ブラックリストのメニュ−で "リストのバックアップ/リストア:" の "バ ックアップ" をクリックすると systemblacklist、HTML と出る。もう1ヶ所[メンテナン ス]->[アンチスパム]->{ブラック/ホワイトリスト管理}、bwlist_backup.fml 不明なファ イル形式、というのがあるが、こちらは別な機能なのではないか。 {システム} ブラックリスト ホワイトリスト -------------- -------------- {ドメイン} ドメイン | ブラックリスト | ホワイトリスト ------------------------------------------------- nix.co.jj □ □ {ユ−ザ−} ドメイン: [ nix.co.jj ▽] ユ−ザ−名:[ ] 〇 デフォルトは◎拒否、ブラックリス トのは黙って捨てればいい、"廃棄" {ブラックリストアクション} にした。 ○拒否 ◎廃棄 ○アンチスパムのプロファイル設定を利用 * [システム]->[カスタマイズ] ____________________ 外観 |カスタムメッセ−ジ| カスタム通知 ---------- ------------------------------------- |名前 | 記述 |----------------------------------------------------------------- |[-]システム | ログイン免責事項 ログイン免責事項テキスト | |[-]拒否 | 添付ファイルフィルタリングメッセ−ジ 禁止添付ファイル.... | コンテンツフィルタリングメッセ−ジ ... | エンドポイント評価メッセ−ジ ... | スパムメッセ−ジ ... | | * [ポリシ−]->[アクセス制御] メニュ−のところ [ポリシ−]->[アクセス制御]->{受信} {受信} の方は設定した。 ----------------------------------------------------- {送信} は何も設定しな | アクセス制御ル−ル かった。 | 有効 〆 | 送信者パタ−ン: [ ユ−ザ−定義 ▽] | [ * ] □正規表現 | [ --なし-- ▽] 灰色 | 受信者パタ−ン: [ ユ−ザ−定義 ▽] | [ * ] □正規表現 | [ --なし-- ▽] 灰色 | 送信者IP/ネット [ ユ−ザ−定義 ▽] | マスク: [ 0.0.0.0 ] / [0 ] | [ --なし-- ▽] 灰色 | リバ−スDNSパタ−ン: [ * ] □正規表現 | 認証ステ−タス: [ 不問 ▽] | TLSプロファイル: [ --なし-- ▽] | アクション: [ リレ− ▽] [ポリシ−]->[アクセス制御]->{送信} の方は新規作成はしてない。試しに {送信}を新規 作成してみた。これで [ポリシ−]->[ポリシ−]->{ポリシ−} 画面で、<IPポリシ−>と <受信者ポリシ−> 項目に {送信者ポリシ−} が追加されるかと思ったがなかった。 [ポリシ−]->[アクセス制御]->{送信} テストの後これは消した。 ------------------------------------------------- | アクセス制御ル−ル | 有効 〆 | 送信者パタ−ン: [ * ] | 受信者パタ−ン: [ * ] | 送信者IP/ネット | マスク: [ 0.0.0.0 ] / [0 ] | TLSプロファイル: [ --なし-- ▽] | 暗号化プロファイル: [ --なし-- ▽] * [プロファイル]->[アンチスパム]->{アンチスパム} --------------------------------------------------------------------- | アンチスパムプロファイル | | ドメイン: [ --システム--- ] 灰色 | プロファイル名: [ NIX-RECIVE ] 灰色 | 方向: [ 受信 ▽] 灰色 | デフォルトアクション:[ ACTION-NIX-RECIVE ▽] [新規..][編集..] | | --▲スキャン設定--------------------------------------------------- | |〆▼FortiGuardスキャン アクション:[-デフォルト- ▽] | | □ブラックIPスキャン アクション:[-デフォルト- ▽] | | □フィッシングURI アクション:[-デフォルト- ▽] | |□グレ−リストスキャン 以下同じ | | | | |□IPスプ−フスキャン アクション:[-デフォルト- ▽] | ------------------------------------------------------------------- | --▲スキャン状況--------------------------------------------------- | | 最大スキャンメッセ−ジサイズ: [ 600 ]KB(0は,限度なし) << メ−ルの本文の | |□SMTP認証によりスキャンをバイパス サイズのこと。 | |□PDFファイルスキャン | ------------------------------------------------------------------- | --▲その他の設定--------------------------------------------------- | |□個人用ホワイトリストを自動更新 --------------------------------------------------------------------- --------------------------------------------------------------------- | アンチスパムプロファイル | | ドメイン: [ --システム--- ] 灰色 | プロファイル名: [ NIX-SEND ] 灰色 | 方向: [ 送信 ▽] 灰色 | デフォルトアクション:[ ACTION-NIX-SEND ▽] [新規..][編集..] | | --▲スキャン設定--------------------------------------------------- | |〆> FortiGuardスキャン アクション:[-デフォルト- ▽] | |□DNSBLスキャン [設定] 以下同じ | | | | |□IPスプ−フスキャン アクション:[-デフォルト- ▽] | ------------------------------------------------------------------- | --▼スキャン状況--------------------------------------------------- --------------------------------------------------------------------- * [プロファイル]->[リソ−ス]->{リソ−ス} ---------------------------------------------------------------------------- | リソ−スプロファイル | | ドメイン: [ --システム-- ] 灰色 | プロファイル名: [ NIX-Resource ] 灰色 | ディスククォ−タ(MB): [ 2000 ] << 2 GB ということ。4GB が最大。 | ユ−ザ−アカウントステ−タス 〆有効 | ウェブメ−ルアクセス 〆有効 | ウェブメ−ルユ−ザ−の | アドレス帳アクセス 〆ドメインアドレス帳 □グロ−バルアドレス帳 | | ---▲メ−ル保存 ----------------------------- | | 一般フォルダ(日): [ 0 ] << 0 は制限なしという意味。メ−ル保存は無期限。 | | ゴミ箱(日): [ 14 ] << デフォルトでこうなっていた。これでいいか?。 | --------------------------------------------- ----------------------------------------------------- Webメ−ルで受信したメ−ルを削除したらゴミ箱に入った。デフォルトでは14日で消 去されるということだろう。現状の一般ユ−ザのメ−ルソフトの設定はどうなっているか 確認すること。自分で消さない限りずっと残っているのでないかと思うのだが。 * メモ FortiMail から出るメ−ルは何かあるのか。sendmail からは MAILER-DAEMON 宛てのメ− ルがでる。Postmaster はどうか、スパムメ−ルでしたの警告メ−ルが postmaster だ。 [プロファイル]->[セッション]->{セッション}。メ−ルのプロトコルの挙動みたいなのを チェックするということか。DDoS 攻撃の防御とか。とりあえず使わない。 [プロファイル]->[コンテンツ]->{コンテンツ}{アクション}。コンテンツでメ−ルをチェ ックするかということ。添付ファイルの拡張子をみるとか。とりあえず使わない。 以上の設定では添付ファイルの拡張子は見ないのでないか。PDF ファイルはできれば内容 のスパムチェックやウィルスチェックはやれるならやりたい。 InterScan では承認済み送信者リストに記載なし。ブロックする送信者リストには数人を 列挙、メ−ル送信で何度も誤検知したとかで特別に無条件で送信できるようにした。 ユ−ザのディスククォ−タを途中から減らしてみた。それまでのメ−ルはそのままあった。 制限容量を超えたら古いメ−ルから消すことができないか、答えはできんそうです。 * メ−ルのホワイトリストの設定 `2h/04/m 追記 [アンチスパム]->[ブラック/ホワイトリスト]->{システム} の {ホワイトリスト} -------------------------------------------------------------------------------- |systemのリスト |------------------------------------------------------------------------------- |ホワイトリスト:これらアドレス/ドメイン/IPから送信されたメ−ルは常に受信されます。 | [ *@asahi.con ][ 追加 ] | -------------------------------- | |*@iij.co.jj 外から社内に来たメ−ルがスパム判定されてしま | |192.168.1 うのを許可する設定。まま起きる現象である。こ | |192.168.1.0 れまで数十を登録した。 現時点の FortiMail の | |ikken@tcp-ip.or.jj バ−ジョンは v5.3.1 である。 | -------------------------------- [アンチスパム]->[URL除外リスト] 社内から外へ送ろうとしてスパム判定される場合。 -------- メ−ルの文面にkato@henomohe.con などとあるだ | 除外 | けで引っかかる。ユ−ザからおかしいと調べてと |-------------------------------- 送ってもらったメ−ルも、現状の設定では自身に | 除外パタ−ン | パタ−ンタイプ ユ−ザ隔離された。 その人は postmaster@ から |-------------------------------- スパム判定されたとのメ−ルが来たというのだが、 | henomohe.con 正規表現 自身にメ−ルを送ってのテストでは postmaster@ | momotarou.jj 正規表現 からはメ−ルは来なかった。ん?それでいいのか。 (5) FortiMail のメ−ルア−カイブ `2e/01 * メ−ルをア−カイブする準備 ア−カイブしたメ−ルはメ−ルソフトの IMAP4 でアクセスできる。Webメ−ルと POP3 ではアクセスできない。 先ずはア−カイブ用のアカウントを FortiMail のア−カイブの メニュ−で作成する。そのアカウントで IMAP4 アクセスができる。 専用のアカウントを ユ−ザ名 hozon、パスワ−ド hozon で作成してみた。 このアカウントは10位しか作れ ないとのことである。[ユ−ザ−]->[ユ−ザ−]->{ユ−ザ−} のアカウントとは別である。 [メ−ルア−カイブ]->[設定]->{ア−カイブアカウント} の {新規} ---------------------------------------------- | ア−カイブアカウント設定 だいたいこんなような設定メニュ−。 |アカウント名 [hozon ] |メ−ルア−カイブステ−タス 〆有効 ファイルサイズまたは期間どちらか |IMAPアクセス 〆有効 に達した際にロ−テ−ションされる。 |ロ−テ−ションサイズ [100 ]MB ロ−テ−ション期間は無制限のつも |ロ−テ−ション期間 [7 ]日 上書き りで 0 は指定できない。 メ−ルア |宛先 [ロ−カル] −カイブの容量は装置容量の20% |ロ−カルディスククォ−タ [300 ]GB 位までということで 300GB にした。 ---------------------- |ア−カイブアカウント| |--------------------------------------------------------- |ステ−タス | アカウント | インデックス形式 | ストレ−ジ |--------------------------------------------------------- |□ archive なし ロ−カル archive は既にあった |〆 hozon なし ロ−カル ように思う。 アカウント名=1つのア−カイブに対応する。hozon1 は1週間毎に、hozon2 は1ヶ月毎 に保存するようにとか、送信したメ−ルアドレスこれこれとか、そんなようにア−カイブ を取り分けることができる。保存容量でア−カイブを取るか期間で取るか、保存容量で取 るならどれ位にするのか、少し考えないといけない。例えば30日毎に取るようにすると いうことで、容量が先に一杯にならないよう十分大きなサイズを指定しておくとか。また 十分大きなサイズというのをどう見積るかも問題だが。 [メ−ルア−カイブ]->[ポリシ−]->{ア−カイブポリシ−} の {新規} で作成。 ---------------------------------------------------- | メ−ルア−カイブポリシ− |ポリシ−ID: [1 ] |アカウント: [hozon ▽] [新規][編集] |ポリシ−タイプ: [送信者アドレス ▽] << 受信者アドレス、件名キ−ワ−ド、 |パタ−ン: [* ] 本文キ−ワ−ド、添付ファイル名 |ポリシ−ステ−タス:〆 有効 が選ぶことができる。 |[ OK ][キャンセル] ※パタ−ン:[*]というのは、つまり流れているメ−ルは全て対象になるということ。パタ −ン:[*@nix.co.jj] とすると、ポリシ−タイプ:[送信者アドレス] が効いてきて、 送信 者アドレスが *@nix.co.jj のメ−ルが対象になる。 -------------------- |ア−カイブポリシ−| |------------------------------------------------------------------- |ステ−タス | ポリシ−ID | アカウント | タイプ | パタ−ン |------------------------------------------------------------------- |〆 1 hozon 送信者アドレス * * ア−カイブされたメ−ルは [モニタリング]->[ア−カイブ]->{アカウントア−カイブ} --------------------------------------------------------- |アカウント | ストレ−ジ | ロ−カルディスク容量(KB) |-------------------------------------------------------- |archive ロ−カル 0 |hozon ロ−カル 11 << クリック、hozon の中が出てくる。 ---------------------- |アカウントア−カイブ| |-------------------------------------------------------- |メ−ルボックス | サイズ(KB) |-------------------------------------------------------- |Inbox 11 << 保存されているメ−ルが列挙される。 * ア−カイブされたメ−ルからそのまま取り出す ---------------------- |アカウントア−カイブ| | --------------------------------------------------- | 表示 | 送信..| エクスポ−ト..▽ | ベイジアンデ−タベ−ス学習.. | 戻る |----------------------------------------------------------------------- | 件名 From To 受信 |----------------------------------------------------------------------- |□ test1 ikken@tcp.or.jj tarou@nix.co.jj 2013年10月24日... |□ test2 ikken@tcp.or.jj tarou@nix.co.jj 2013年10月25日... | 以下ア−カイブされたメ−ルがある メ−ルの取り出しその1。リストされたメ−ルを選んで、メ−ルとして送る。受信者アド レスを指定する。送信者アドレスは hozon@nix.co.jj となる。 送ってもここにはそのま まメ−ルはある。ここではメ−ルは消すことはできない。 メ−ルの取り出しその2。リストされたメ−ルを選んで、{エクスポ−ト}をクリックする と一括してファイルとして作成できる。"MBOXファイルへエクスポ−ト" または "TARファ イルへエクスポ−ト" を選ぶ。MBOX だと export_mail.mbx と言うファイル名が出てきた。 * ア−カイブされたメ−ルから検索して取り出す ------------------------ | アカウントア−カイブ | ア−カイブメ−ル検索 |--------------------------------------------- | ア−カイブメ−ル検索 (hozon) |コンテンツ: |From: [ ikken@tcp.or.jj ] << これらは検索項目である。例えばikken@tcp.or.jj |To: [ ] からのメ−ルを検索するとか。該当条件: でANDか |Cc: [ ] OR 指定できる。誰それからでかつ件名が至急とか。 |件名: [ ] |文字列:[ ] | |時間: [1日 ▽] AND [ 0 ▽] 時間前 ※時間: [1日 ] は 0日,1日,3日,1週間, | [01/10/14 ▽] [15 ▽] 2週間,1ヶ月,2ヶ月,3ヶ月,6ヶ月,1年。 |該当条件: [AND ▽] | ※[01/10/14 ▽] は2014年1月10日とい |ア−カイブ検索方式: うこと。次の [15 ▽] は0〜23 でど |フォルダ: [インデックスと隔離 ▽] うも時刻を意味するのでないか。 |検索形式: [ ▽] << 灰色 | [キャンセル] ---------------------------------------------- 1月10日現在で 時間:[2週間 ▽] にしてみた。 ---------------------------------------------------------------- |アカウントア−カイブ ア−カイブメ−ル検索 検索サマリ:138xxx |--------------------------------------------------------------- | archive |------------------------------------------------------ |ディレクトリ カウント |----------------------------------------------------- |Inbox 3 << 現在の週の分。 |Inbox_archive/2014-01-01 -- 2014-01-08 10 << 1週間前の分。 |Inbox_archive/2014-12-25 -- 2014-01-01 6 << 2週間前の分。 どういうように検索するか、その指示を {新規} で作成する。その指示は日付の名前で作 成される。{検索結果を表示} をクリックすると結果が、すぐ上のように表示される。 2 週間分のメ−ルと今週のメ−ルの領域3つが出ている。この3つに対して検索をかけてリ ストされたメ−ルを選択して、送信するか、MBOX または TAR 形式のファイルを作成する。 * FortiMail のメ−ルア−カイブ機能ほか ア−カイブ対象を指定するのは、 内外で xxx@nix.co.jj のメ−ルを全てとするには次の ようにする。しかしこれだと root@localhost とか言うようなメ−ルは対象から外れてし まう。面倒なのでともかく全部のメ−ルということでパタ−ンは "*" でいいと思う。 [メ−ルア−カイブ]->[ポリシ−]->{ア−カイブポリシ−} ----------------------------------------------------------------------- ステ−タス | ポリシ−ID | アカウント | タイプ | パタ−ン ----------------------------------------------------------------------- 〆 1 hozon 送信者アドレス *@nix.co.jj 〆 2 hozon 受信者アドレス *@nix.co.jj パソコン内のメ−ルが無くなって、消してしまって、そんな場合。メ−ルを元に戻したい。 FortiMail のメ−ルア−カイブから特定ユ−ザのメ−ルを取り出すには。archive という ユ−ザで IMAP4 アクセスする。上記では 100MB になるか1週間たてば1つのかたまりが できる。これが1つのア−カイブで、FortiMail から取り出したメ−ルのデ−タである。 FortiMail のメ−ルア−カイブから特定ユ−ザ宛のメ−ルだけ全部取り出して、メ−ル形 式の1つのファイルとして作成する。export_mail.mbx と言うファイル名でセ−ブはでき た。Outlook Express でインポ−トしようとしたが、ファイル名さえ認識してこなかった。 Outlook Express はこの形式をサポ−トしてないらしい。他メ−ルソフトでやってみたい。 ------------------------------------------------------------------------------------ [ 付録 ] FortiMail と Active Directory で困ったかも * どうも変だよ `2f/03/E AD にユ−ザのアカウントにメ−ルアドレスを作成。FortiMailは何も手を付けず。これで もうメ−ルソフトでメ−ルの送受信ができる。メ−ルソフトには昔から設定しているのが 記述されているとする。SMTP サ−バのIPアドレス、POP3 サ−バのIPアドレス、POP3 サ−バへ渡すアカウント名とパスワ−ド。特に難しいようなことはどこにもない。それが 新しく AD にアカウントを登録したので、動作確認でそのメ−ルアドレスにメ−ルを送る と失敗する場合が起きたのだ。ログには "Recipient Verification" と出た。送信者には "User Unknown" のエラ−メ−ルが返える。何回メ−ル送信してもダメで。 メ−ルソフト でメ−ル受信もだめ。Webメ−ルは使えるという。そのアカウントについては AD 参照 を諦めて FortiMail にアカウントを作成して対応する。そんな事が何回か起きた。 FortiMail 装置のCPU使用は数%を推移していて、大きな負荷がかかっているように思 えない。Active Directory が動いている Windows Server の負荷はどうか。 GUIの画 面で負荷の状態を見ることができることは知っているのだが、自身でその操作をしたこと がない、見せてもらったことがあるだけで。 Active Directory はNASサ−バのユ−ザ 認証でもがんがん使っている、問題はないことから Windows Server は白ということにし よう。FortiMail の AD 参照のキャッシュは関係しないか。 当初 FortiMail 設置した際 には AD キャッシュはオフにしていた。 Windows Server を置き換えかなんかで一時使え なくなるというのが休日にあった。その間もメ−ルが使えるよう AD キャッシュを有効に したのだった。12時間位情報を保持するようにしたのでなかったか。 FortiMail [プロファイル]->[LDAP] --------------------------------------------------------------------- | LDAPプロファイルの編集 | | プロファイル: [NIX-ActiveDir ] | サ−バ−名/IPアドレス:[192.168.1.x ] ポ−ト:[389 ] | 代替サ−バ−名/IP: [192.168.1.y ] ポ−ト:[389 ] | セキュアコネクションを使用[なし ▽] [LDAPクエリテスト...] | |--△拡張オプション ------------------------------------------------- || ベ−スDN: [dc=ad1,dc=nix,dc=local ] | || バインドDN: [admindesu ] | || バインドパスワ−ド:[●●●●● [ブラウズ...] | |-------------------------------------------------------------------- |--▽ユ−ザ−クエリオプション --------------------------------------- | | 特にこの間は設定なし。 | |--△拡張オプション ------------------------------------------------- || タイムアウト(秒): [10 ] || プロトコルバ−ジョン: [LDAPバ−ジョン3 ▽] || キャッシュ有効 〆 [キャッシュ消去...] || TTL(分): [60 ] || ウェブメ−ルのパスワ−ド変更を許可 □ || パスワ−ドスキ−マ [OpenLDAP ▽] || サ−バが有効でない場合に受信者検証をバイパス □ << 以前は"未証明バインド |------------------------------------------------------- 許可" だったものか。 | [ 適用 ][ OK ][ キャンセル ] --------------------------------------------------------------------- もう AD キャッシュは持つ必要はないのだが、問題が一回起きてキャッシュ時間を60分 に上記のように変更した。それから数ヶ月ほどしてまた起きた。ADでアカウントを例えば ユ−ザ名 newuser1、メ−ルアドレス newuser1@nix.co.jj とか。 これでおかしい状況が 出た。その時に newuser2 とか s.newuser1 とかアカウント作ったみたら、別に問題はな い。すったもんだやって1時間程経ったところ、もう一度メ−ル送ってみたらできた。ひ ょっとして AD のキャッシュ情報が FortiMail から消えたからなのか。 今度おかしくな ったらキャッシュ時間は0にしてみよう。それでどうなるか様子をみることにしよう。し かし理解に苦しむ、おかしいではないか。 送信メ−ルのメ−ルアドレスが FortiMail に 存在しているか調べる、FortiMail から AD に問い合わせることになるのだが。 参考は "24-1.ネットワ−クでネット又ネット、(3) Active Directory もやっぱり" の章、 "* Outlook Express で Active Directory を利用してみる" とのところ。 * ひょっとして解決しているかも `2h/01/m あるアカウントにメ−ルに送ろうとするとできない。とりあえず hanako@nix.co.jj とす る。"サ−バ−エラ− : '550 5.11 ... User unknown'" というよう になった。2年位前に起きたことだが、もう問題は解決しているのでないか。以下のよう に FortiMail と FortiGate の LDAP の検索で hanako はでてくる。 先ず FortiMail のバ−ジョンは v5.3 にて。[プロファイル]->[LDAP] の {LDAPプロファ イルの編集} の [LDAPクエリテスト...] --------------------------------------------------- | LDAPクエリテスト ----テスト結果-------------- | |メ−ルアドレス(キャッシュ)| | クエリタイプ選択 [ユ−ザ− ▽] |合致するユ−ザ−DNを検出で| | プロファイル名 NIX-ActiveDir |きません。 | | サ−バ−名/IP: 192.168.1.x ---------------------------- | サ−バ−ポ−ト 389 ↑ |--クエリオプション ---------------------------- Active Directory には hanako || ベ−スDN: dc=ad1,dc=nix,dc=local | のエントリにはメ−ルアドレス || バインドDN: admindesu | は書いてないので検出されない。 |----------------------------------------------- | メ−ルアドレス[ ] << ここに hanako@nix.co.jj と入 | [ テスト ][ キャンセル ] れて[テスト]をクリック。出た --------------------------------------------------- 結果が上。 FortiMail の [プロファイル]->[LDAP] の {LDAPプロファイルの編集} の "バインドパス ワ−ド:[●●●●● [ブラウズ...]" をクリックして、hanako を探したらあった。 [+]OU=SEEKEI,DC=ad1,DC=nix,DC=local この中に "CN=hanako,OU=SEEKEI,DC=ad1,DC=nix, DC=local クリックすると Active Directory に登録されている情報が表示される。 次は FortiGate v5.2.8 で Active Directory の hanako アカウント登録の様子を調べた。 [ユ−ザ&デバイス]->[認証]->[LDAPサ−バ] ここは "25-6.FortiGateで ---------------------------------------------------- リモ−トとサンド、(3) 尚 | LDAPサ−バの編集 FortiGate でSSL-VPN通信" |--------------------------------------------------- に記述してあるのを書いた。 | 名前 [test-actived ] | サ−バ名/IP [192.168.1.x ] 識別名などの記載に問題が | サ−バポ−ト [389 ] なければ[テスト]クリック | コモンネ−ム識別子 [sAMAccountName ] すると"Successful"と出る。 | 識別名 [dc=ad1,dc=nix,dc=local ] | [ DNをフェッチ ] [DNをフェッチ]をクリック | バインドタイプ ○シンプル ○匿名 ◎レギュラ− すると "LDAP識別名のクエ | ユ−ザDN [cn=admindesu,cn=users,dc=ad1, リ"が表題。下に"LDAPツリ | dc=nix,dc=local] − [+]-〇 dc=ad1,dc=nix, | パスワ−ド [●●●●● ] dc=local"。[+]をクリック | □セキュアな接続 すると CN や OU など階層 | 構造のデ−タが出てくる。 | [ テスト ] | [ OK ][キャンセル] ---------------------------------------------------- [ユ−ザ&デバイス]->[ユ−ザ]->[ユ−ザ定義] {Create New} (2)で [test-actived]を選 ---------------------------------------------------- 択して(3)へ行くと"LDAPツ | ユ−ザ/グル−プ作成ウィザ−ド リ− 再帰検索( ON )"画面 |--------------------------------------------------- が出て "[+]-〇 dc=ad1,dc |(1)ユ−ザタイプ > (2)LDAPサ−バを指定 > (3)リモ−ト =nix,dc=local"階層以下の |○ロカ−ルユ−ザ ユ−ザ ユ−ザの一覧が右側に出て |○リモ−トRADIUSユ−ザ くる。"ID 名前 FirstName |○リモ−トTACAS+ユ−ザ LastName Telephone Mail"。 |◎リモ−トLDAPユ−ザ 表示は ID でアルファベッ | [ < 戻る ][ 次へ > ] [ キャンセル ] ト順番に出てくる。 ---------------------------------------------------- ID は hanako、名前も hanako。Mail は空欄だった、メ−ルアドレスは書いてないという こと。`2f/03/E の時に Fortinet 社に問い合わせた。 向こうでも再現実験をしてくれた りしたが問題はなかった。2ヶ月ぐらいしてすったもんだやって、 Active Directory の アカウントの登録を部署毎に入れ直した。そしたらできなかったメ−ルは送信できるよう になった。以前は Active Directory では特に階層構造はとらず、同じところに一括して 入っていた。どうもエントリ数が5百とか千とかはまずいのでないか。多分プログラムの バッファが関係するのかも知れない。適当にエントリ数はグル−プを作りばらすのが無難 ということだろう。hanako は FortiMail の装置ロ−カルにアカウントを作った。メ−ル が溜まっている時に FortiMail でユ−ザ hanako を消すと、メ−ルもなくなる。