23-3. FortiMail アプライアンスを触る `2d/06〜08 (1) FortiMail を触ってみて感じてみた * FortiMail を触ってみる1 FortiMail-100C を触ってみる機会を得た。自分の机の上に置いた。 音は少しするがほと んど気にはならない。ファ−ムウェアバ−ジョン v4.0 MR3 Patch 4。ログディスク185GB Used 33MB、メ−ルボックスディスク 743GB Used 175MB。最初の作業として、装置のIP アドレスがデフォルトで 192.168.1.99 になっているのを 192.168.1.10 にする。 # show system interface << RS-232C 接続してデフォルトの設定を見る。 port1 は 192.168.1.99 になっていた。 # config system interface << port1 を 192.168.1.10 にしてみる。 (interface) # edit port1 interface は省略して int でもいい。 (port1) # set ip 192.168.1.10 255.255.255.0 (port1) # end << これで https://192.168.1.10/admin アクセス。 [Monitor]->[System Status]->{Status} の "Operation mode: [Server ▽]" になってい たのを Transparent にして Yes をクリックすると再起動した。画面メニュ−を英語から 日本語にする、[System]->[Administrator]->{Administrator} に admin というユ−ザが ある、これをマウス右クリック {Edit} でメニュ−がでる、そこの "Select language"で 日本語を選択する。画面右上の方にあるメニュ− [ クイックスタ−トウィザ−ド.. ] で 設定してみた。1日触ってみた。透過型の設置なら、すぐになんらか動きが見えるかと思 ったがどうしてどうして。とりあえず外に送ったメ−ルの様子がログに出た。多分DNS サ−バもちゃんとしたのを指定しないといけないのでないか。 [モニタリング]->[メ−ルキュ−] にメ−ルが溜まった。 Deferred: atom.tcp-net.ad.jj. : No route to host Deferred: Name server: smtp3.nix.co.jj. : host name lookup failure [ FortiMail を透過型で設置する ] ------------------> SMTP Mail-Relay と Mail-Storeの間に FortiMail 外部 受信 送信 内部 PC を設置する。透過型で実際に運用する場合の --> --> ○ 設置。これは実際にメ−ルが流れている所に ---- ---- ---- | 装置をかますことになる。一瞬メ−ルがとぎ ------|MR|-----|FM|-----|MS|-------- れることになる。まあほとんど影響はないと ---- (1)----(2) ---- 思うが、テストのためとはいえ、できるだけ やりたくはない。そういうことで、次のよう SMTP <------------------ な配置でテストをやってみた。 * FortiMail を触ってみる2 [ 手元でのテストするための構成 ] ---- FortiMail を透過型で設置する --- SMTP <------------------ 外からやって来て抜けた怪しいメ−ルをパソ 送信 受信 PC コンのメ−ルソフトで保存している。これを <-- <-- ○ SPAMのサンプルのメ−ルとして自分宛に ---- ---- ---- | 送ってみる。送る動作は SMTP な訳で、これ ------|MR|-----|MS|-----|FM|-------- で FortiMailが受信する際にスパムチェック ---- ---- (2)----(1) させることができる。これを一つの突破口と 内部 内部 して FortiMail の動作を見ていこう。 [システム]->[ネットワ−ク]->{インタ−フェ−ス} -------------------------------------------------------------------------------- |名前 タイプ ブ IPv4アドレス アクセス SMTPプロキシ | |------------------------------------------------------------------------------| |port1/管理IP 物理 〆 192.168.1.10/24 HTTPS.. プロキシ /パススル− /許可| |port2 物理 〆 -- HTTPS.. パススル−/プロキシ /許可| -------------------------------------------------------------------------------- ブ:ブリッジメンバ−。SMTPプロキシ:受信SMTP接続[プロキシ]、 送信SMTP接続[パススル−]、ロ−カルSMTP接続[許可] [ポリシ−]->[アクセス制御]->{受信} -------------------------------------------------------------------------------- |有効 ID 送信者パタ−ン 受信者パタ−ン 送信者IP リバ−スDNS アクション | |------------------------------------------------------------------------------| |〆 1 内部 内部 0.0.0.0/0 * リレ− | |〆 2 ユ−ザ−定義 ユ−ザ−定義 0.0.0.0/0 * 拒否 | -------------------------------------------------------------------------------- リバ−スDNS:リバ−スDNSパタ−ン [ポリシ−]->[ポリシ−]->{ポリシ−} のところの設定は勝手になっていたまま。 [モニタリング]->[ログ]->{ヒストリ} 日付毎に1つの表示になるみたい。クリックする とだ−とログが出てくる。マウス右クリックでそのメ−ルの詳しい情報が出てくる、メ− ルの本文が見える訳ではない。ここではメ−ル配送の記録が見えるだけである。 スパムメ−ルは 分類 FortiGuard AntiSpam、処理 Quarantine、方向 in、メ−ラ− mta 正常なメ−ルは 分類 Not Spam、 処理 Accept、 方向 in、メ−ラ− mta [モニタリング]->[隔離]->{ユ−ザ−隔離} -------------------------------------------------------------------------------- | 表示 削除 リリ−ス... | |------------------------------------------------------------------------------| | From 件名 日付 受信 エンベロ−プFrom | |------------------------------------------------------------------------------| |〆 "zatou" Test1 2013年06月... 2013... zatou@nix.co.jj | -------------------------------------------------------------------------------- ここにはスパムメ−ルと判定されたメ−ルが、メ−ルアドレス毎に保管されている。マウ ス右クリックでメニュ−が出てくる、"表示 解除 削除" などがある。"表示" でそのメ− ルの本文が表示される。管理者が誤検知のメ−ルがないか調べることができる。しかしメ −ルアドレス全部でいちいちクリックしてリストを出して調べることになる訳で、ちょっ と繁雑な話になる。社内に500人のメ−ルユ−ザがいれば、500回やるということ。 * FortiMail を触ってみる3 以上で社内の自分宛に送ったのは返ってきた、外へ送ろうとするとメ−ルソフトでエラ− になり外へ出て行ってない。ヒストリでは Access Control、Reject だったし、アンチス パムでは Recipient Rejected となっていた。[メ−ルキュ−]には無かった、[隔離]にも 無かった。メ−ルソフトの送信トレイに溜まっていた。内部から外部へも〆をしたら外へ 出て行ったように見えたが、出ていってないし、かえって来なかった。ヒストリでは Not Spam、Accept になっていた。[モニタリング]->[メ−ルキュ−]->{デッドメ−ル} にメ− ルが溜まっていた。1時間毎にメ−ルの再送信を試みて失敗したログが出ていた。 postmaster から Warning: could not send message for past 1 hour ----- Transcript of session follows ---- ... Deferred: Name server: atom.tcp.ad.jj. : host name lookup Warning: message still undelivered after 1 hour failure Will keep trying until messages is 1 day old [モニタリング]->[ログ]->{ヒストリ} には Not Spam Accept 方向out 処理OKと出ている。 [モニタリング]->[システム]->{コンソ−ル} fortimail1 # exec nslookup name www.tcp.or.jj DNSサ−バにはちゃんとアクセス は出来ている。名前解決できている。 Non-authoritative answer: Name: www.tcp.or.jj Address: xxx.xxx.xx.xxx * FortiMail を触ってみる4 [メ−ル設定]->[設定]->{メ−ルサ−バ−設定} でリレ−サ−バ−の所、"リレ−サ−バ− 名" が空欄だったのを、本番機の Mail-Store のIPアドレスを入れた [ 192.168.1.1 ]、 "リレ−サ−バ−ポ−ト" は [25 ] のままで。この設定にてメ−ルは外にも出て行けた。 [メ−ル設定]->[ドメイン]->{ドメイン} ----------------------------------------------------------------- |ドメイン:[nix.co.jj ] |リレ−タイプ: [ホスト ▽] | SMTPサ−バ−: [192.168.1.1 ] ポ−ト:[25 ] SMTPSを使用□ | 代替SMTPサ−バ−: [ ] ポ−ト:[25 ] SMTPSを使用□ [ポリシ−]->[アクセス制御]->{受信} -------------------------------------------------------------------------------- |有効 ID 送信者パタ−ン 受信者パタ−ン 送信者IP.. リバ−スDNS.. アクション | |------------------------------------------------------------------------------| |〆 1 内部 内部 0.0.0.0/0 * リレ− | |〆 2 内部 外部 0.0.0.0/0 * リレ− | |〆 3 ユ−ザ−定義 ユ−ザ−定義 0.0.0.0/0 * 拒否 | -------------------------------------------------------------------------------- ・しつこく動作確認で 内部 外部 の〆を外してみた。メ−ルはメ−ルソフトに溜まった。 ・内部 内部 の〆を外して外に送った。かえってきた。外に送るのは 内部 外部 で制御。 ・内部 内部 の〆を外して社内の自分宛に送った。メ−ルはメ−ルソフトに溜まった。 [ポリシ−]->[ポリシ−]->{ポリシ−}の "受信者ポリシ−" ウィザ−ドでこうなっていた -------------------------------------------------------------------------------- |有効 ポリシ 方向 送信者 受信者 ドメイン名 スパム ウィルス コンテンツ 認証| |------------------------------------------------------------------------------| |〆 1 受信 *@* * nix.co.jj antispam antivirus content auth | |〆 2 受信 *@* * nix.co.jj antispam antivirus content | -------------------------------------------------------------------------------- ポリシ−ID 1 の中身 ------------------------------------------------ [編集]をクリックして出た内容 |認証とアクセス | 認証方式: [SMTP ▽] プロファイル名 auth_basic_ | 認証プロファイル:[auth_basic_predef ▽] [編集] predefined_nix.co.jj | 〆SMTP認証を使用 サ−バ−名/IP 192.168.1.10 | 〆認証情報と異なる送信者アドレスの使用を許可 〆一般的なLDAPホストを使用 | □POP3による隔離メ−ルへのアクセス許可 〆ドメイン名を含むメ−ルアド | □ウェブメ−ルによる隔離メ−ルへのアクセス許可 レスで認証 ポリシ−ID 2 の中身 ------------------------------------------------- |認証とアクセス | 認証方式: [POP3 ▽] | 認証プロファイル:[--なし-- ▽] [編集] | □SMTP認証を使用 | 〆認証情報と異なる送信者アドレスの使用を許可 | □POP3による隔離メ−ルへのアクセス許可 | □ウェブメ−ルによる隔離メ−ルへのアクセス許可 * FortiMail を触ってみる5 透過モ−ドでもWebメ−ルは使える様なことが入手したマニュアルに書かれてあったの でやってみた。でも、どうもうまくいかなかった。Webメ−ルの画面は出たもののログ インできなかった。 FortiMail、透過型のモ−ドというが完全に透過ではなくて透過型ブ リッジと説明されている記述も見る。内部ではブリッジということなので、メ−ルのログ を見ると FortiMail 装置のIPアドレスの通過ログがあった。 自分が個人で入っている プロパイダのメ−ルを見ると、スパムメ−ルのチェックなのか幾つもの装置を通っている のがメ−ルのヘッダ−部に出ている。多分、どこのメ−カのメ−ルアプライアンス製品で も、透過型というのは正確には透過型ブリッジなのだろう。もう1つどうしても書いてお きたいこと、透過型で設置してスパムメ−ルなんかを捕獲する様子がゴキブリホイホイみ たいに思えた。ゴキブリホイホイはゴキブリが通る所に罠をしかけておく、それと同じで メ−ルが通る所にこの FortiMail を設置するのが似ていると思った。`2d/07/E (2) FortiMail のWebメ−ルを触った * 装置の設定状態を保存しておく 動作モ−ドをトランスペアレントからサ−バ−に変更する。その前に現在の装置の設定状 態を保存しておく。[メンテナンス]->[システム]->{設定} の [バックアップ]、次のファ イルを開こうとしています fml.cfg がデフォルトのファイル名。 ファイルのセ−ブ場所 はアクセスしているパソコンになる。 設定のリストア ◎ロ−カルPC、"マイ ドキュメン トのダウンロ−ド" にセ−ブされた。D:\My Documents\ダウンロ−ド。 * 動作モ−ドはサ−バ−モ−ドに 動作モ−ドをサ−バ−にする。初期化するうんぬんといってリブ−トする。やはり動作モ −ドを変えるのはどうもすんなりいかない。管理IPというのはサ−バ−モ−ドにはない。 [メ−ル設定]->[設定]->{メ−ルサ−バ−設定} "ホスト名:[fortimail1]、"ロ−カルドメ イン名:[nix.co.jj]"。[メ−ル設定]->[ドメイン] では nix.co.jj を記載。 [ユ−ザ−]->[ユ−ザ−]->{ユ−ザ−} でメ−ルのアカウントを作成する、LDAP サ−バを 指定もできる。"ユ−ザ名:[zatou]"、"◎パスワ−ド:[henomohe]"。 [ユ−ザ−]->[ユ−ザ−]->{ユ−ザ−設定} でWebメ−ルの画面を日本語表示にできる。 英語表示のままでよければ {ユ−ザ−設定} はいじらなくてもWebメ−ルは使える。 [ポリシ−]->[アクセス制御]->{受信} 内部 内部 のル−ルが肝だった -------------------------------------------------------------------------------- |有効 ID 送信者パタ−ン 受信者パタ−ン 送信者IP リバ−ス 認証 アクション | |------------------------------------------------------------------------------| |〆 1 内部 内部 0.0.0.0/0 * 不問 リレ− | |〆 2 ユ−ザ−定義 ユ−ザ−定義 0.0.0.0/0 * 不問 拒否 | -------------------------------------------------------------------------------- リバ−スDNS:リバ−スDNSパタ−ン 認証:認証ステ−タス [ポリシ−]->[ポリシ−]->{ポリシ−}の "IPポリシ−" ウィザ−ドでこうなっていた -------------------------------------------------------------------------------- |有効 ポリシ 送信元 宛先 セッション スパム ウィルス コンテ IPプ−ル 排他| | ンツ | |------------------------------------------------------------------------------| |〆 1 0.0.0.0 0.0.0.0 session_basic_predefined | |〆 2 ::/0 ::/0 Inbound_Session | -------------------------------------------------------------------------------- [ポリシ−]->[ポリシ−]->{ポリシ−}の "受信者ポリシ−" ウィザ−ドでこうなっていた -------------------------------------------------------------------------------- |有効 ポリシ 方向 送信者 受信者 ドメイン名 スパム ウィルス コンテンツ リソ−ス| |------------------------------------------------------------------------------| |〆 1 受信 *@* * nix.co.jj antispam antivirus content misc | -------------------------------------------------------------------------------- ポリシ-ID 送信者パタ−ン 受信者パタ−ン アンチスパム antispam_basic_predefined_medium アンチウィルス antivirus_basic_predefined コンテンツ content_basic_predefined リソ−ス misc_basic_predefined * Webメ−ル画面での操作 -------------------------------------------------------------------------------- | https://192.168.1.10/mail |------------------------------------------------------------------------------- | □ FortiMail 100C zatou@nix.co.jj [次のテ−マ][ヘルプ][ログアウト] |------------------------------------------------------------------------------- | メ−ル確認 メ−ル作成 | 受信トレイ | | ○[ ]検索 | --------------------------- | [-]システムフォルダ | | 受信トレイ | 注. | 送信済みアイテム | | 隔離 | {受信トレイ} Webメ−ルに来たメ−ルは読んでも | ゴミ箱 | そのままあった。Webメ−ルにログインし直しても | 暗号化メ−ル | そのままあった。他メ−ルソフトの POP3 で読んだら、 | [-]個人用フォルダ | Webメ−ルを見たらそのメ−ルはなくなっていた。 |---------------------------| | アドレス帳 | |---------------------------| {隔離}スパムメ−ルなんかはここに入った。エッチな | カレンダ− | 内容の文面のメ−ルを自分宛に送って確認した。既存 | 設定 | 設置の InterScanによるスパムチェックをすり抜けて | | 来た、いやらしいメ−ルをサンプルにしてみた。 | ディスク使用量: 3 KB | | ディスク使用率: [ 0% ]| | ディスククォ−タ: 100 MB | | | -------------------------------------------------------------------- Webメ−ルの [個人用フォルダ] は何かに使えるのでないか。ここでフォルダ名をつけ て作成する、test1 とか作ってみた。メ−ルを保存するところだ。送受信メ−ルを触って メニュ−を出して移動で test1 にコピ−できた。 Webメ−ルから送ったメ−ルは、Webメ−ル内にある。そりゃそういうことになるわ な。これは自分が意図的に消さなければずっと残っている。以上の確認で透過モ−ドでア −カイブしWebメ−ルもやれるのでないか。もう一度、透過モ−ドにしてやってみるか。 メ−ルボックスのメ−ルは読んだら消すこと。そうしないとWebメ−ルで、メ−ルボッ クスに溜まっているメ−ルを全部もってきて表示することになる。こりゃ大変なことにな る。Webメ−ルが手軽に使えなくなってしまう。 読んだメ−ルはア−カイブの方に移すようにするのがいいのでないか。保管期間でやるの かファイルのサイズの総容量でやるのか。Webメ−ルでア−カイブしたメ−ルを読むこ とができる?。しかし、どうもア−カイブには移せそうにない。 https または http でのアクセスは、[システム]->[ネットワ−ク]->{インタ−フェ−ス} の port1 の "アクセス" 項目による。HTTPS,PING,SSH なら http ではアクセスできない。 admin でも各ユ−ザのWebメ−ルでも http ではアクセスできない。 * メ−ルのア−カイブのこと 先ずは注意、[ユ−ザ] の "ユ−ザ−名" と [メ−ルア−カイブ]の "アカウント" は別に すること。 "ユ−ザ−名" が zatou だから "アカウント" も zatou でいいような気がす るがだめ。"アカウント" zatou で作って https://192.168.1.10/mail に zatou でログ インするも跳ねられた。 Archive ということで a_zatou でア−カイブ用のアカウントを 作ってみた。名前は大文字を入れても小文字になる。 テストは zatou でWebメ−ルで ログインして、自分宛にメ−ルを送ってア−カイブされるのをみた。 [メ−ルア−カイブ]->[設定]->{ア−カイブアカウント} "アカウント名:[a_zatou]"、"パ スワ−ド:[henomohe]"、"メ−ルア−カイブステ−タス: 〆有効"。以上、新規で作成。 [メ−ルア−カイブ]->[ポリシ−]->{ア−カイブポリシ−} "アカウント:[a_zatou ▽]"選 択、"ポリシ−タイプ:[送信者アドレス]"、"パタ−ン:[*]"、"ポリシ−ステ−タス:〆 有 効"。zatou 宛のメ−ルだけ対象にするには "パタ−ン:[zatou@*]" とかするのかな。 [モニタリング]->[ア−カイブ]->{アカウントア−カイブ} "アカウント a_zatou、ストレ −ジ ロ−カル" のとこをクリックすると "メ−ルボックス Inbox" があって、 さらにク リックすると zatou に送ったメ−ルが保存されていた。 どうもユ−ザ個人用としてのア−カイブはできないみたい。メ−ルの仕分けでア−カイブ して、その人用のア−カイブをそれらしく作るということみたい。Webメ−ルは個人用 だから、Webメ−ルにはア−カイブのメニュ−はないということでないか。 ひょっとしてア−カイブ用のアカウントを作ったら、Webメ−ル画面のメニュ−にア− カイブが追加されて出て来るかもと思ったが、出てこなかった。Webメ−ルは "ユ−ザ −名" に対応するもので、ア−カイブの "アカウント名" には対応していない。 [メ−ルア−カイブ]->[設定]->{ア−カイブアカウント} の "ア−カイブアカウント"。 --アカウント名 ---------------------------------- | アカウント: [azatou ] | パスワ−ド: [ ] | 転送先: [ ] ※あれ?、ア−カイブのアカウ | インデックス形式: [ ▽] ントでWebメ−ルにログイ | メ−ルア−カイブステ−タス:〆 有効 ンできなくなってしまった。 | IMAPアクセス: □ 有効 ------------------------------------------------- * トランスペアレントにまたした 以上の確認で透過モ−ドでア−カイブしWebメ−ルもやれるのでないか。もう一度、透 過モ−ドにしてやってみよう。工場出荷値に戻すがいいかとでてきた。でもIPアドレス は変わってなかった、DNSのIPアドレスもそのままだった。画面表示は英語になった。 [ユ−ザ−]->[ユ−ザ−]->{ユ−ザ−設定} の画面、アカウントを作成する画面ではない。 メ−ルアドレスのユ−ザ名を入れるとこ、"ユ−ザ名:[ zatou ] @ nix.co.jj"。これ でWebメ−ルでログインできない。メ−ルア−カイブのアカウントを作ってもだめ。 [プロファイル]->[認証]->{認証} 画面で"新規" をクリックすると下の画面がでてくる。 ------------------------------------------------- | 認証サ−バ− |ドメイン: [--システム-- ▽] << nix.co.jj を選択。 |認証タイプ: [SMTP ▽] << POP3 を選択、メニュ−は少し変った。 |プロファイル名: [ ] << Tekitou 名前を適当に書いた。 |サ−バ−名/IP: [ ]〆一般的なLDAPホストを使用 << 192.168.1.1 を記入。 |サ−バ−ポ−ト番号:[25 ] << 110 になっていた。 |ドメイン名を含むメ−ルアドレスで認証□ |セキュア認証 □ |SSL □ |TLS □ << TLS( Transport Layer Security )。 |[作成] [キャンセル] ------------------------------------------------- [ポリシ−]->[ポリシ−]->{ポリシ−} で "認証とアクセス" で "認証方式:[POP3 ▽]"、 "認証プロファイル:[Tekitou▽]"、"〆ウェブメ−ルによる隔離メ−ルへのアクセス許可"。 [メ−ル設定]->[設定]->{メ−ルサ−バ−設定}の"認証用デフォルトドメイン:[nix.co.jj ]" は [--なし--] でもできた。 Webメ−ル画面をだしてログインできた。既存の Mail-Store マシンの /etc/passwdを 見て許可したということである。FortiMail ではユ−ザのアカウントは作ってなくてでき たということ。FortiMail の [ユ−ザ−]->{ユ−ザ−設定} にログインしたユ−ザ−名が 出てきた、ひょっとしてユ−ザ名とパスワ−ドを FortiMail が記憶したということ?。 ユ−ザのWebメ−ルの画面が一応でたけどサ−バ−モ−ドのとは違うぞ -------------------------------------------------------------------------- | https://192.168.1.10/mail |------------------------------------------------------------------------- | □ FortiMail 100C zatou@nix.co.jj [Next Theme][Help][Log Out] |------------------------------------------------------------------------- | ○[ ]Search | Bulk | |---------------------------|--------------------------------------------- | System Folders | | Bulk | Preferences << ここクリックしてメニュ−をだす、 表示を日本語を選ぶとメニュ− 画面は日本語になる。Bulk は "隔離" という表示に変わった。 いやらしいメ−ルを送ってスパムで検知させてみた。 [モニタリング]->[隔離]->{ユ−ザ −隔離} で メ−ルボックス zatou@nix.co.jj に溜まった、ここをクリックしたら溜まっ たメ−ルがあるのが見えた。Webメ−ルの隔離ということで溜まった。 * いろいろ集めた資料からWebメ−ルの記述を抜粋 ポリシ− の受信者ポリシ− のところでWebメ−ルで隔離メ−ルボックスへのアクセス 方法も定義できる。Webメ−ルは隔離メ−ルだけの確認にも利用できる。 トランスペアレントまたはゲ−トウェイでも、FortiMail が保護 SMTP サ−バに代理認証 することで、アカウントなしでWebメ−ルで隔離メ−ルの確認、削除などができる。 トランスペアレントでも使える。装置にアカウントを作らなくてもいい。隔離されたメ− ルの閲覧、削除。カレンダ−(スケジュ−ル)やアドレス帳をサポ−ト。 DMZにリモ−トアクセス(Webメ−ル) 専用で設置可能。 メ−ルはア−カイブアカウ ント(メ−ルボックス) に保存。IMAP 経由でア−カイブメ−ルボックスへアクセス可能。 FORTINET総合カタログ、ゲ−トウェイモ−ドの説明で、暗号化メ−ルやWebメ−ルなど の機能を導入することができます。メ−ルサ−バ(MTA) は社内に別にある絵で。 ---- 以上からこんなことが FortiMail ではできるのでないか ---- FortiMail でユ−ザのアカウントは他のマシンである Mail-Store のを見に行くことがで きる。Mail-Store の Sun のマシンの /etc/passwd に、 メ−ルユ−ザのアカウントは作 っている。あるいは FortiMail は別に立てた LDAP サ−バを見ることもできる。 これまでの Mail-Store はあって、 それを FortiMail はアクセスしに行ってWebメ− ルでメ−ルの送受信がやれるのでないか。Webメ−ルだけの機能をもった FortiMailを 設置できるのでないか。スマ−トデバイスのメ−ルの扱いをこれでやれることになる。 * サ−バ−モ−ドにてWebメ−ルの事 Webメ−ル [受信トレイ] にあるメ−ルを [保存] で出てきた画面 ----------------------------------------------------------- |test2.eml | |---------------------------------------------------------| |次のファイルを開こうとしています: | | | | ◇ test2.eml | | ファイルの種類: Outlook Express メ−ルメッセ−ジ | | ファイルの場所: https://192.168.1.10 | | | |このファイルをどのように処理するか選んでください | | ○プログラムで開く [ Outlook Express (既定) ▽] | | ◎ファイルを保存する | | □今後この種類のファイルは同様に処理する | | [ OK ] [キャンセル] | ----------------------------------------------------------- "ファイルを保存する" クリックしたらどこかにセ−ブされた。 ここにだった、D:\My Documents\ダウンロ−ド\test2.eml。 "プログラムで開く" クリックしたら Outlook Express のメ−ル受信した 画面が開いてメ−ルの内容が表示された。Unicode (UTF-8) で。 (3) FortiMail アプライアンスはどうよ * いろいろ確認事項 IMAP4 のテスト、仕組みなどの理解をすること。 > Outlook Express で使ってみる。Outlook でもできる。 暗号化メ−ルもやってみたい。 > IBE 暗号化とメ−ルサ−バ間での暗号化。 添付ファイルの扱いも試してみたい。 > ワンタイムURL?。適用は一律になるのか。 Webメ−ルを単独でサ−ビスできるか。 > ゲ−トウェイモ−ドでならと思うが。できないみたい。 Active Directory でユ−ザ認証は。 > 止まった場合はユ−ザ認証できるのか。 透過型でのア−カイブをもう一度確認する。 > 装置でのアカウント登録はだめだった?。 既存 Mail-Store のメ−ルボックスの移動。 > メ−ルサ−バを移行するためにできると有難い。 長いユ−ザ名を付けることが出来るか。長さは?。 > できる。ユ−ザ名と言うかメ−ルアドレスのアカウント名。 メ−ルのユ−ザ名を途中で変えることが出来るか。 > ロ−カルのユ−ザ認証ではできない、消して新しく作り直し。 Webメ−ルでメ−ル転送はできないように出来るか。 > メニュ−として既にあるので、できないのでないか。 メ−ルサ−バ間で暗号化出来るか。 > TLS 経路暗号化ができるかも知れない。その後できると分かった。 SPF に対応しているか。 > 対応しているみたいだが、どこで設定するのか分からない。 Outlook Express では IMAP4 でも、同期ということでロ−カルに。 > メ−ルを保存できるようになっている。 メ−ルボックスのサイズのこと。 > 装置のディスク領域がマックスになったらどうなるか。古いのから消えるみたい。 メ−ルボックスのサイズのこと。 > パソコンのディスク領域がマックスになったらどうなるか。こっちの方が問題だ。 Outlook Express で POP3 と IMAP4 を有効にしていると、 > メ−ルは結局、パソコンに持って来てしまう。 ユ−ザ認証は AD か装置内か。AD 連携を先ず確認。 > どちらでもOKみたい。同じアカウントだったらどうなるか。 ユ−ザのアカウントを作るとWebメ−ルも自動的に使えるようになるのか。 > そうみたい。 Webメ−ルで隔離メ−ルを各自が見るしかないか。 > メ−ルでの連絡ではDNSの関係でブラウザが開かない。 ア−カイブ用のアカウントは AD からはとれないのでないか。 > 多分とれない。とれそうにない。設定のメニュ−がない。 現状のメ−ルストアでテスト用のメ−ルのアカウントは AD にはない。 > それは別に FortiMail でアカウントを作成する。 しばらくスパムメ−ルの誤検知の具合をみる、パラメ−タの調整をして行く。 > ウィザ−ドでは検知は "中" だった。設定は詳しく知らないといけない。 スパムメ−ルのチェックの対象から外すのは。 > さあ−、そこまでは借りたのではみれなかった。 Sun のメ−ルストアのメ−ルボックスのファイルをコピ−できるか。 > IMAP4 で既存メ−ルボックスをコピ−してくることができるという。 スマ−トデバイスでのWebメ−ルの様子をみてみないと。 > 実際に購入してからまたみてみよう。 社内でのメ−ル送受信もできれば暗号化したい。メ−ルソフトと FortiMail で。 > メ−ルソフトの SMTPS 465番、POP3S 995番、IMAP4S 993番の対応で可。 メ−ルのア−カイブや POP3 や IMAP4 でのメ−ル保存の信頼性は。 > FortiMail-400C はハ−ドディスク 1TB が2台。ソフトウェア RAID 0,1 対応。 すぐにでも導入して使ってもいいんでないの。 > 触ってみてそう思った。細かい設定の意味なんかはとりあえず後でもいい。 FortiMail のメ−ル添付ファイルの処理はどんな感じでやれるのか、試してみたいと思っ た。値段がインタ−ネットに出ていて 34.1 万円。テスト用にとりあえず買ってみてもい いかとも思った。また貸してくれないかと思っていたら、 FortiMail-100C が手元にやっ てきた。暗号メ−ルのテストをやってみようか。2つやり方があるのかな。添付ファイル をどのように暗号化するのか。しかし装置の基本的な設定と操作をやって、Webメ−ル の機能を確認したところで貸し出しの期限切れになってしまった。 * スパムメ−ル検知のテスト 装置を貸してもらっている際にメ−ルの誤検知のテストもやろうと思えばやれた。1つの 方法として、Mail-Store の InterScan ソフトで自分宛のメ−ルは全部通過させるように して、いったんパソコンのメ−ルソフトで受ける。それを1通ずつ手作業で FortiMailに メ−ルを飛ばしスパムチェックさせれば、できないこともなかった。しかし、とりあえず 現状の InterScan のスパムチェックさせて、 それで抜けてきたスパムメ−ルをサンプル にしてみた。4〜5通のメ−ルで試したら、皆スパムと判定して隔離した。購入して実際 に設置となれば、本稼働させる前にこのテストはやっておかないといけない。 * 隔離されたメ−ルの操作は 隔離されたメ−ルのリストをユ−ザにメ−ルで送ることができる。このメ−ルの中で解除 の操作ができるはずだが、やってみたらできなかった。隔離メ−ルは昼の12時に来てい た。毎日12:00 にスケジュ−ル設定になっていた。送信者 release-ctrl@nix.co.jj 件名 :Quarantine Summary:[1 messages(s)、quarantined from 7月3日12時から7月4日 12時まで、本文は英語でメ−ルを解放するか消去するか表示するか。リンクをクリック するとブラウザを開くが名前解決でできなかった、https://fortimail1.nix.co.jj/...。 DNSサ−バに fortimail1 エントリを作ればいいのだろうが。管理者にメ−ルが止まっ ていないですかといちいち尋ねるのではなく、自分で確かめることができる手段を提供す るということだが、しかし実際はうっとうしい話である。誤検知がほとんどない状態にし ておいて、ごくたまにあるだろうユ−ザからの指摘を待つのが実際の運用ではいいと思う。 現状の運用がこれだが。InterScan ではスパムチェック開始最初の頃、誤検知がないよう に毎日、隔離されたメ−ルをチェックし、検知パラメ−タのレベルを変えてみたりした。 管理者はユ−ザ毎に隔離されたメ−ルを見ることができる。これで一般のユ−ザさんには 通知することなく、管理者がチェックして誤検知がないかチェックすることができる。大 変だけどそういうこともやれなくはない。InterScan のようにすぐに一瞥できるような表 示ではない。InterScan ではざ−と件名だけでも見てどんな変なメ−ルがきているか、傾 向が分かるのだが。ネットを見ていたら Fortinet 社のメ−ルのブラックリストに半年に 一度ぐらい載る日本の会社の話があった。それもスパムメ−ルになってしまうのだろう。 * 今さらですがこんな確認も 長いユ−ザ名を FortiMail は付けることができるのかという話から、 こんな確認もして みようということで。メ−ルのアカウント "ユ−ザ名" と "パスワ−ド"、 それと "メ− ルアドレス"。この関係について改めて Sun のマシンで調べてみた。 /etc/passwd /etc/aliases ------------------------------------------- ------------------- |zatou:x:101:100::/usr/people/zatou:/bin/sh |issei.zatou: zatou # ls -l /var/mail/zatou -rw------- 1 zatou user 0 6月 24日 17:04 /var/mail/zatou * FortiMail のHA構成のこと 装置を貸してもらって具体的に導入の検討も考えて行った。 機種としては FortiMail の 400C を2台でHA構成がよさそうだと思い始めていた。 そこでHA構成のことをもう少 し Fortinet 社のエンジニアさんに聞いてみた。HA構成では15分毎に差分でコピ−す る、そのため15分間分のコピ−できないメ−ルのロスが発生するとのことだった。それ がどのように問題になるのか考えてみたい。先ずはロスという表現は適切でないことが分 かった。HAのソフトウェアで同期がうまく取れないところがバグとしてあって、メ−ル が完全にコピ−されずに消失してしまうと話を聞いた時、そう思った。ロス、デ−タロス、 メ−ルのデ−タロス。ロスという言葉はあまりここでは合わない。ロスは意図せずにデ− タが紛失するという意味合いが強いと思う。ここでは必然的に起こる現象だった。 1 2 3 4 5 6 7 主から副に15分にコピ−が実施。メ−ル ↓↓↓ ↓↓↓ ↓ 1,2,3 が副にコピ−。25分に主が故障し 主|-----------|------X----|-----------| たとする。副には 4,5,6がコピ−されな 0 15 25 30 45 い。7 はメ−ルリレ−にまだある。副に 切り替わった時点で、7 は副に配信され てくることになる。 問題は 4,5,6 のメ 副|-----------|-----------|-----------| −ルである。これらが副にコピ−されな 0 15 30 45 いいままになってしまうのである。主が ↓↓↓ 壊れたら副が本番機になる。副が壊れた 1 2 3 ら主がそのまま動くだけなので問題なし。 << 故障した主の原因が >> 1) ハ−ドディスクでデ−タの復旧ができなかった場合、メ−ル 4,5,6 は消えてしまう。 諦めるしかない。 2) CPUなどの故障でデ−タはそのまま残っている場合、メ−ル 4,5,6 をどうやって 吸い上げるか。 * エンジニアさんから聞いた事 HA構成では外付けのNASを推奨とのこと。上記のようにHA構成では15分毎に、主 から副の装置へメ−ルをコピ−するので、その間のメ−ルがコピ−されないという問題が ある。外付けのディスクを用意すればそれを回避できる。ただし Fortinet 社はまだ EMC や NetApp などハイクラスのNASの動作検証は終わってないか、やってないようである。 スパムチェックの性能はかなり高いとの話である。マカフィ−はインテルに買収されてそ の後スパムチェックの性能が落ちてきているとの話を聞いた。誤検知の率も極めて小さい、 ぜひ使ってもらいたい。 これまでずっとトレンドマイクロの InterScan でやってきてい るが、このライセンス代を FortiMail の方に回してもいいのでないか。と言っていた。 いっそ FortiMail-400C のHAでなくて、 FortiMail-2000B にして RAID5 構成したらど うか。費用の問題もあるけど、勉強するんでどうですかという話が出た。2000B もハ−ド ディスクは標準で2本あってミラ−はできる。 1本追加して3本にすれば RAID5 にでき る。ついでに 200D をテスト用として1台買うようにすれば万全になるかも。 メ−ルのアカウントを Active Directory 参照にする場合。 Active Directory が止まっ たらどうなるかという問に対しての答えで、Active Directory の情報は最大 168 時間キ ャッシュすることができる。時間の設定、キャッシュするしないのチェックが設定にある。 これはノ−トパソコンに入れた仮想アプライアンスで設定画面を見せてもらった。 最後にメ−ルサ−バのアプライアンスはもはや今は馬鹿ちょんではない。社内でメ−ルサ −バを設定して運用して行けるだけの技術をもった会社でなければ使えない。扱う業者は 技術のないところには売りたくないというのが本音。だから導入されているところはデ− タセンタ−とかメ−ルサ−バの技術力を保持しているような大企業が多いとのことである。 メ−ルストアを複数台使って負荷分散させるには、外付けのディスク装置であるNASに メ−ルデ−タを置くようにして NFS でやりとりする。 この場合はメ−ルは1個1個のフ ァイルである Maildir 形式でないといけない。Cobalt Qube3 のメ−ルサ−バが Maildir 形式だった。3つ位ディレクトリがあってメ−ルの制御ファイルやメ−ルの本文があった。 (4) FortiMail のメ−ルボックスを探る * メ−ルのア−カイブ 装置をしばらく借りていろいろ機能を試した。急いでテストしたので瞹昧なところもある。 ア−カイブについても、一応できたが最後にもう一度やってみようとしたら、Webメ− ル画面のログインでだめ、入れなかった。どういうこと?。ひょっとして透過型でできた のでなかったのか。隔離に入ったメ−ルはア−カイブはされてなかった。 [メ−ルア−カイブ]->[ポリシ−]->{ア−カイブポリシ−} ----------------------------------------------------- | メ−ルア−カイブポリシ− | ポリシ−ID: [1 ] | アカウント: [zatou ▽] [新規][編集] | ポリシ−タイプ: [送信者アドレス ▽] << 受信者アドレス、件名キ−ワ−ド、 | パタ−ン: [* ] 本文キ−ワ−ド、添付ファイル名 | ポリシ−ステ−タス:〆 有効 | [ OK ][キャンセル] * IMAP4 のテストその1 サ−バ−モ−ドで [メ−ル設定]->[設定] メニュ−に IMAP4の文字が見当たらない。聞い たらデフォルトで IMAP4 も有効になっていた。画面メニュ−では IMAP4 を使わない設定 はできない、コマンドでならできる。 ウィザ−ドで POP3 か IMAP4 かどちらかを選ぶの かと思ったがそんな指示は出て来なかった。POP3,IMAP4 両方共使えるとは思わなかった。 ----------------------------------------------------- | IMAP4-TEST のプロパティ {IMAP} のところ | Outlook Express で IMAP4 |---------------------------------------------------| の設定をした。Webメ− | フォルダ -------------------------------------- | ルで自分宛に送って、ちゃ | ル−トフォルダのパス: [ ] | んと Outlook Expressでメ | 〆すべてのフォルダで新着メッセ−ジを確認する | −ルを受信したぞ。 IMAP4 | 特別なフォルダ -------------------------------- | のメ−ルボックスは POP3 | 〆特別なフォルダを IMAP サ−バ−に保存する | のように単純なものではな | 送信済みアイテムのパス: [送信済みアイテム ] | いはずだが、メ−ルソフト | 下書きのパス: [下書き ] | のできたフォルダを見ると | | POP3 とまるで似ていた。 送受信をクリックしたら、 IMAP4-TEST に入ったメ−ルが POP3 の方の受信トレイに移っ てしまった。[ツ−ル]->[アカウント] にメ−ルの "アカウント" が2つある。POP3 の時 の POP3desu と今回作った IMAP4-TEST メ−ル(規定)、メ−ルソフトの "送受信" をクリ ックすると POP3desu も実行してしまう。 * メ−ルボックスはどうなっている [システム]->[ネットワ−ク]->{インタ−フェ−ス} の port1 のアクセスに "TELNET" を 入れる、これで 192.168.1.10 に telnet アクセスは一応できるようになる。"FTP" はな いのでそもそも ftp アクセスはできない。 telnet で装置内に入って、 メ−ルボックスがどのようになっているか見てみようと思っ た。でも普通のUNIXのコマンドが効かない。FortiMail 用のUNIXになっていると いうか限られたコマンドしか使えないようになっていた。 これまでの Mail-Store に溜まっている POP3 のメ−ルボックスのファイルを FortiMail にコピ−して、そのまま使えるようにしたいと思うが。FortiMail でディレクトリやファ イルが見えなければやりようがない。 $ telnet 192.168.1.10 ※FortiMail に入っているメ−ルデ−タは mbox 形式か fortimail1 login: admin Maildir 形式か。どうも独自のデ−タ形式のようであ Password: る。 そのため FortiMail のメ−ルデ−タに POP3 で Welcome! も IMAP4 でもアクセスできるのだろう。 fortimail1 # ? config config objects get get dynamic and system information show show configuration diagnose diagnose facility # ls と叩くとこんなエラ−が出た。 execute execute static commands Parsing error at 'ls'. err=1 exit exit CLI Command fail. Return code is -284 [メンテナンス]->[システム]->{メ−ルデ−タ} -- バックアップオプション ---------------------- | 有効 □ | | 保存用コピ−: フル:[3 ] 増分:[4 ] | | スケジュ−ル: 日:[日曜日 ▽] 時:[23 ▽] | | | | --デバイス------------------------------- | | | プロトコル: [NFS ▽] | | << SMB とかあり。 | | ホスト名/IPアドレス:[ ] | | | | ポ−ト: [2049 ] | | ※Cobalt Qube3 をNFSサ−バにし | | ディレクトリ: [ ] | | て、どんなことになるか試すか。 | ----------------------------------------- | | [適用] [キャンセル] | ------------------------------------------------ -- リストアオプション -------------------------- | ○このホストで作成:(fortimail1.nix.co.jj) | | ◎作成ホスト: [fortimail1.nix.co.jj ▽] | | □ドメイン選択:[nix.co.jj ] | << 灰色。 | □ユ−ザ−選択 | | [リストア] | ------------------------------------------------ * IMAP4 のテストその2 隔離されたメ−ルはメ−ルソフトの IMAP4 対応なら見ることができるみたい。 であれば、 Webメ−ルを使わなくても誤検知したメ−ルを確認ができるのか。Outlook Express で アカウントを POP3 のは消した。ロ−カルフォルダの受信トレイには移動しなくなった。 -------------------------------------------------------------- |受信トレイ |------------------------------------------------------------- |Outlook Express | 送信者 件名 受信日時 |[-]ロ−カルフォルダ | zatou ohayou 2013/07/13 13... | | |-受信トレイ | | | | : | |[-]IMAP4-TEST | | |-受信トレイ(1) | | |-送信済みアイテム| | |-下書き | ネットワ−ク切断した。Outlook Express 起動し直したら、オフラインでうんぬんと出て きた。IMAP4-TEST 内はグレ−になった、{受信トレイ} のメ−ルはリストされたし、内容 も表示された。"送信済みアイテム" もリストされたが、 内容を表示しようとクリックし たら "オフラインで作業しています。オンラインに切り替えますか?" と小さな画面が出 た。{いいえ} をクリックしたら "メッセ−ジはオフライン中には表示できません"と出た。 [ツ−ル]->[オプション]->{メンテナンス} の画面で、[保存フォルダ] をクリックすると、 メッセ−ジ ストアの場所を変更できます。そのフォルダを見たところ。 ----------------------------------------------------------------------------- |C:\Documents and Settings\zatou\Local Settings\Application Data\Identities\ |{B2...}\Microsoft\Outlook Express |---------------------------------------------------------------------------- | 名前 サイズ 種類 更新日時 |---------------------------------------------------------------------------- |Folders.dbx 73 KB DBXファイル 2013/07/03 13:55 |IMAP4-TEST - 下書き.dbx 35 KB DBXファイル 2013/07/03 13:25 |IMAP4-TEST - 受信トレイ.dbx << このファイルにメ−ルの内容があった。 |IMAP4-TEST - 送信済みアイテム.dbx Notepad で開いた。大方文字化けしていた。 |Offline.dbx |Pop3uidl.dbx << ここから下は POP3 用みたい。 |削除済みアイテム.dbx |受信トレイ.dbx |送信トレイ.dbx |送信済みアイテム.dbx --------------------------------------------------------------------------- |受信トレイ | |-------------------------------------------------------------------------| |Outlook Express | IMAP4-TESTのフォルダの同期 | |[-]ロ−カルフォルダ | オフラインの設定変更をするには、フォルダを選択し | | | |-受信トレイ | てから [設定] をクリックしてください。 | | | | : |--------------------------------------------------| |[-]IMAP4-TEST | [アカウントの同期][IMAPフォルダ...][ 設定 ▼ ] | | |-受信トレイ |--------------------------------------------------| | |-送信済みアイテム| フォルダ 未開封 合計 同期設定 | | |-下書き |--------------------------------------------------| | | 受信トレイ 0 3 〆すべてのメッセ−ジ | | | 送信済みアイテム 0 5 □すべてのメッセ−ジ | 灰色 | | 下書き 0 0 □すべてのメッセ−ジ | 灰色 {受信トレイ} には読んだメ−ルが3通ある。上の画面を見ると "受信トレイ 〆すべ てのメッセ−ジ" とチェックが入っていて、つまり同期しているということ。 [ 設定 ▼ ] をクリックすると同期の設定ができる。"同期しない、すべてのメッセ −ジ、新着メッセ−ジのみ、ヘッダ−のみ" が選択メニュ−として出てくる。 ※削除しようとしても直ぐには消えない。赤線が引かれて削除予定ということになる。 FortiMail でア−カイブアカウントを作った。a_zatou,henomohe にて。Outlook Express でも IMAP4 で Achive-Zatou を作った。これで読んできた。C:\Documents and Settings \zatou\...\Outlook Express\Achive-Zatou - 受信トレイ.dbx ができていた。 * IMAP4 の参考記事 「日経NETWORK」2013/07, P.18〜37, "IMAPの理解を深めるQ&A、特集1:スマホ 時代のメ−ルプロトコル IMAP"。Webメ−ルのプロトコルって何?、IMAP4 サ−バとメ −ルソフトの間が IMAP4 プロトコル。 ユ−ザ−のメ−ルボックスを格納するメ−ルスト アサ−バ−は独自プロトコル?。IMAP4 はWebメ−ルとメ−ルボックスが共通。 IMAP4 はセッションを張りっぱなしにする。新着メ−ルの知らせをリアルタイムで受け取ること ができる。IMAP4 暗号化しないのは 143 番。暗号化する TLS, SSL は 993 番。 (5) FortiMail の独自暗号化とTLS通信 `2h/04/M 見直し FortiMail v5.3.1 にて * メ−ルサ−バ間の暗号化通信は 1) FortiMail は対向で S/MIME の設定により暗号化通信できる。 2) FortiMail は TLS が有効で、他の MTA と暗号化通信できる。 FortiMailの暗号化は http://docs.fortinet.com/fmail/fortimail-admin/index.html の "FortiMail 5.0 Online Help" に説明がでている。ただしこの説明だけでは自力での設定 はできなかった。インタ−ネットをずっと探しても設定例は見当たらなかった。 FortiMail の独自暗号化は IBE と言うもので、 メ−ルソフトに直接暗号化した本文であ るとか添付ファイルを送るのではない。IBE とメ−ルサ−バ間の暗号化で、設定するメニ ュ−は被っているかも知れない、以下に FortiMail のめぼしいメニュ−を挙げてみた。 装置を借りて試していた際、[モニタリング]->[ログ]->{暗号化} にログが出ていた。 お かしい。ひょっとしてどこかにメ−ル送信しようとして、相手メ−ルサ−バと TLSの暗号 化通信したのでないか。`2h/04/M 追記、FortiMail をいっぺん借りたことがあったんだ。 TLS 暗号化というのはメ−ルリレ−で使うものである。自社のメ−ルリレ−、それにメ− ルの送信先のメ−ルリレ−も TLS 設定をしていれば、暗号化して通信される。FortiMail には TLS 暗号化機能があるので、それにチェックするだけで利用可能になると言う。 ※`2h/04/E、TLS 暗号化というのはメ−ルリレ−で使うものと書いたが間違いだと思う。 * 暗号化メ−ルの設定に関係するメニュ− [暗号化]->[IBE]->{IBE暗号化} IBE サ−ビスを有効に〆してサ−ビス名を適 ---------------------------------- 当に書いたら、サ−バ−モ−ドでこれまでメ | IBEサ−ビスを有効: □ −ル送信できていたのができなくなった。多 | IBEサ−ビス名: [ ] 分これは2013年位に FortiMailを借りて | | この間いろいろ。 テストしてた時のことだと思う。結構設定項 | 通知設定 以下も設定あり。 目があってそうすいすいとは使えそうにない。 [ユ−ザ−]->[IBEユ−ザ−] -------------------------------------------------------------------------------- |アクティブユ−ザ−|期限切れユ−ザ−|セキュアな質問|IBE認証|IBEドメイン| | ------------------------------------------------------------- | 削除 メンテナンス ユ−ザのリセット |------------------------------------------------------------------------------- | □ |有効 |メ−ルアドレス |名 |性 |ステ−タス |作成日時 |最終アクセス -------------------------------------------------------------------------------- "IBE認証" のみに "新規" のメニュ−があり、他にはない。ここ設定しようとしたら LDAPプロファイルを記入するところがあり、無視したら [作成] できなかった。 [システム]->[証明書]->{ロ−カル証明書} "名前"に Factory と Self というのがあった、 Factory には support@fortinet.com が書かれていた。{CA証明書} ここは空だった。 [プロファイル]->[セキュリティ]->{TLS} と {暗号化} あり。{TLS} の方は中身は空だっ た。{暗号化} にはあらかじめプロファイルが1つあった、プロファイル名:[IBE_Pull]。 [プロファイル]->[セキュリティ]->{TLS} --------------------------------------------- | TLSプロファイル | プロファイル名: [ ] | TLSレベル: [ 無し ▽] 他、推奨/ベ−シック/証明書認証。 | 失敗時のアクション:[一時的なエラ− ▽] 他、恒久的なエラ−。 | [ OK ][キャンセル] --------------------------------------------- [プロファイル]->[セキュリティ]->{TLS} --------------------------------------------- | TLSプロファイル | プロファイル名: [ Angou ] << Angou とかで作ってみた。 | TLSレベル: [ 推奨 ▽] | [ OK ][キャンセル] --------------------------------------------- [プロファイル]->[セキュリティ]->{TLS} --------------------------------------------- | TLSプロファイル | プロファイル名: [ Angou ] | TLSレベル: [ ベ−シック ▽] | 失敗時のアクション:[一時的なエラ− ▽] | □暗号強度の確認 | 最小の暗号強度:[256 ] | [ OK ][キャンセル] --------------------------------------------- [プロファイル]->[セキュリティ]->{TLS} -------------------------------------------------------------- | TLSプロファイル | プロファイル名: [ Angou ] | TLSレベル: [ 証明書認証 ▽] | 失敗時のアクション:[一時的なエラ− ▽] | □CA発行者の確認 | CA発行者:[と等しい ▽][ ] CA参照:[--なし-- ▽] | □証明書サブジェクトの確認 | 証明書サブジェクト:[と等しい ▽][ ] | □暗号強度の確認 | 最小の暗号強度:[256 ] | [ OK ][キャンセル] -------------------------------------------------------------- [プロファイル]->[セキュリティ]->{暗号化} -------------------------------------------------------------- | 暗号化プロファイル | プロファイル名: [IBE_Pull ] 灰色 | プロトコル: [IBE ▽] 他、S/MIME。 | アクセス方法: [Pull ▽] 他、Push。 | 暗号化アルゴリズム:[AES-256 ▽] 他、AES-128/AES-192/CASTS-128/3DES/DES。 | アクション: [暗号化 ▽] 灰色 | 失敗時のアクション:[破棄/DSN送信 ▽] 他、プレ−ンメッセ−ジ送信/TLS強制。 | [ OK ][キャンセル] -------------------------------------------------------------- [ポリシ−]->[アクセス制御]->{送信} -------------------------------------------------------------------------------- | 新規 編集 移動 削除 |------------------------------------------------------------------------------- | 有効 | ID | 送信者パタ−ン | 受信者パタ−ン | TLS宛先IP | TLSプロ | 暗号化プロ | | | | | | ファイル| ファイル -------------------------------------------------------------------------------- [ポリシ−]->[アクセス制御]->{送信} で "新規" クリックして表示。 ---------------------------------------------------- | メッセ−ジ送信ル−ル | 有効 〆 | 送信者パタ−ン: [User Defined ▽] 他、Email Group あり。受信者の方も。 | [* ] | 受信者パタ−ン: [User Defined ▽] [プロファイル]->[セキュリティ]-> | [* ] {TLS} で作ったのが、ここで選択肢 | TLS として出てくる。Angou が出てくる。 | 宛先IP/ネットマスク:[0.0.0.0 ] / [0 ] ↓ | TLSプロファイル: [--なし-- ▽][新規][編集] << Angou が選択できる。 | 暗号化プロファイル: [--なし-- ▽][新規][編集] << IBE_Pull が選択できる。 | [作成] [キャンセル] ---------------------------------------------------- [ポリシ−]->[アクセス制御]->{受信} 同じく Angou が選択できる。 ---------------------------------------------------------------|--------------- | 新規 編集 移動 削除 ↓ |------------------------------------------------------------------------------- |有効|ID|送信者 |受信者 |送信者IP/ |リバ−スDNS|認証ス |TLSプロ |アクション | | |パタ−ン|パタ−ン|ネットマスク|パタ−ン |テ−タス|ファイル| -------------------------------------------------------------------------------- * メ−ルソフト間の暗号化について 相変わらず断片的な情報しかない。SSL と TLSの歴史的な経緯の話しもあってややこしい。 メ−ルサ−バ間、メ−ルサ−バとメ−ルクライアント間はPOP3 over SSL、SMTP over SSL で暗号化される。 POP3 over SSL は TCP/995。SMTP over SSL は TCP/465 と言うことだ が非公式な扱いで TCP/25,587 を設定するメ−ルソフトもある。これらは通信の最初から 暗号化される。呼び方は SMTP over SSL/TLS とか SMTP over TLS いろいろ。SSL は暗号 化の弱点が発見されてからは実質使われなくなり、 もはや SMTP over SSL というような 言い方は適切ではないのだが、 歴史的に長く SSL は使われてきたので慣例的に言われる。 もう1つメ−ルサ−バ間、 メ−ルサ−バとメ−ルクライアント間で SMTP STARTTLS 対応 というのがある。POP3 も STARTTLS 対応はあるようだ。最初に接続する際は通常の SMTP TCP/25、POP3 TCP/110 で平文で通信を開始し、 相手が暗号化対応していればそこから暗 号化通信になる。使用ポ−ト番号はどうやら原則で、実際は SMTP は 465、 POP3 は 995 とか事情があるようである。参考記事で IAJAPAN一般財団法人インタ−ネット協会、有害 情報対策ポ−タルサイト 迷惑メ−ル対策編。"HOME > メ−ル管理者の皆様へ > 技術情報 > 技術解説 の TLSのひみつ"。2008年の記事だが内容的には変わってないようである。