15-7. メ−ルサ−バの運用は大変 (1) cf による続SPAM対策 `22/10 * 再度SPAM対策をする これまで sendmail はバ−ジョン 8.9.1 で、 sendmail.cf はWIDEの CF ツ−ルで作 成したのを用いてきた。しかし ORBS などブラックリストに登録されていて、メ−ルが当 社に届かないという苦情が、だんだん多くなってきた。初めは ORBS はチェックが厳し過 ぎるので、相手の会社に言ってチェックを外すようにお願いしていた。概ね理解してくれ たのだが、昨今のセキュリティ・ブ−ムのような状況では、だんだんそうも言っておられ なくなった。そこで、最新の sendmail に上げると共に、sendmail.cf も sendmail 付属 の m4 マクロ形式による cf ツ−ルで、SPAM対応のを新たに作成することにした。し かし、自分からブラックリストを見るようなことは、今後ともするつもりはない。 先ずは、一体どこのブラックリストに載ってしまっているのか。それを調べなければなら ない。ORDB の http://ORDB.org/lookup、"デ−タベ−スの参照" を見たら、 2001年 の8月に登録されていた。他、京都の WIDE のサイトは Reject した。MAPSはサイト自体 http://maps.vix.com/ がもうなかった。長崎の nanet では ORDB に登録されていると出 た。今回、初めて使う RBL.JP の http://www.rbl.jp/ では、ブラックリストチェックは 14のうち、ORDB だけ登録されていた。RBL.JP 独自の第三者中継チェックでは、20の 内その 0,1,2 だけ relay NOT accepted !! と出た。"!" とか特殊なメ−ルアドレスが引 っかかたのだろうか。結果ともかく、ORDB が問題になっていることが分かった。 それで下記のように sendmail を設定した。先ず RBL.JP 第三者中継チェックを試してみ た。全部問題ないと出た。 このチェックはただ今のメ−ルリレ−の MTA の設定を検証し ている。次に ORDB である。http://ORDB.org/ の "デ−タベ−スへの送信" 画面で、 メ −ルリレ−のIPアドレス 202.241.128.3 と管理者のメ−ルアドレスを入れる。 すぐに bconfirm@ORDB.org からメ−ルが来る。このメ−ルに、そのまま返信メ−ルを送るか、メ −ル本文の確認URLをクリックすると、検査申し込みのリストに登録され、結果がメ− ルで来ることになる。夜9時頃 bconfirm@ORDB.org の返信を送って、 3時間後に結果が 来た。Not an open relay になっていた。ORDBのブラックリストから削除された訳である。 さて、これで問題はなくなったと安心していたのだが、しばらくしてメ−ルが相手に届か ないと1人が言ってきた。エラ−メ−ルで返ってきたのを見たら、relays.osirusoft.com というSPAMのチェック・サイトではねられている。なんじゃこれ、こんなのもあった のか。osirusoft で google で検索したら、http://spam.h1r.org/blacklists.html "DNS 経由で利用できる spam 対策ブラックリスト" にも載っていた。いろいろチェック・サイ トがあるのだ。http://spam.h1r.org/ は "サ−バ管理者のスパム対策"という題のサイト である。それで、自分は relays.osirusoft.com ヘの対策をしたのか?。利用している所 は少ないとみた、今のところ放かっている。 * SPAMチェックの状況 ORBS は苦情や訴訟が多く2001年5月頃、閉鎖された。http://www.orbs.org/ サイト 自体なくなっていた。どうもプロバイダから追い出されたような感じがする。sendmailで はデフォルトでは ORBS は見にいく設定でない。他のソフトでそうなっていたのだろうか。 どうも ORBS のデ−タを引き継いで、新たにできたのが ORDB( Open Relay Database )み たいである。http://ORDB.org/、アクセスすると日本語対応されている。ブラックリスト に載っているかどうか、日本語でちゃんと確認できるところは評価できる。 国産 RBL.JP プロジェクト、http://www.rbl.jp/。ここでもSPAMチェックできる。以 前SPAMを検討した際に既にあった。たくさんのチェックサイトでチェックしてくれる。 自前でもチェックする。どうも一番、信頼がおけそうである。 sendmail-8.10.x 以上では、FEATURE( dnsbl ) と定義するようになった。 デフォルトで MAPS の blackholes.mail-abuse.org を見る。2001/07/31 から実際、働かせるには MAPS に寄付、登録して使うようになった。http://www.mail-abuse.org/。 sendmail-8.9.x は、FEATURE( rbl ) の定義だった。デフォルトで rbl.maps.vix.com を 見るようになっていた。MAPS project の "Realtime Blackhole List" といった。MAPSの サイト http://maps.vix.com/rbl/ は、2002/10 に見たら無くなっていた。 http://ORDB.org/faq 読むと、独自に開発したソフトウェアを用いている。これまでのと ころソフトの欠陥によって間違った判定をしたことはない。不正中継を防ぐための措置を 取っていただくよりほか道はない。と、えらい強気に言い放っている。 * バックアップを取る # cp /etc/mail/sendmail.cf /etc/mail/sendmail.cf.2210 /etc/mail 以下は全部バッ # cp /usr/sbin/makemap /usr/sbin/makemap.2210 クアップを、取った方がい # cp /usr/lib/sendmail /usr/lib/sendmail.2210 いかも知れない。 * 最新 sendmail のコンパイル ftp://sunsite.sut.ac.jp/sun-info/solaris-binaries/sparc ここは古いのしかなかった -r--r--r-- 1 other 657099 Jan 9 1999 sendmail.8.9.2.SPARC.Solaris.2.6.pkg.tgz % ftp ftp.iij.ad.jp ftp> cd /pub/network/sendmail ftp> get sendmail.8.12.5.tar.gz ( リリ−ス 2002/06/26, 1862097 Bytes ) # /bin/csh *** 特に断わりのない限り C-Shell で作業する *** # setenv PATH /usr/local/bin:/usr/ccs/bin:$PATH # cd sendmail-8.12.5; ls -F ( /usr/local/source に展開したところ ) Build* PGPKEYS doc/ libsmutil/ sendmail/ FAQ README editmap/ mail.local/ smrsh/ INSTALL RELEASE_NOTES include/ mailstats/ test/ KNOWNBUGS cf/ libmilter/ makemap/ vacation/ LICENSE contrib/ libsm/ praliases/ Makefile devtools/ libsmdb/ rmail/ devtools/OS/SunOS.5.6 途中略 ------------------------------------------------------------ |define(`confMAPDEF', `-DNDBM -DNIS -DNISPLUS -DMAP_REGEX') devtools/Site/site.config.m4 devtools/OS/SunOS.5.6 制御ファイルに加え、この設 ------------------------------ 定ファイルが優先されて、Build される。 結局 NDBM |define(`confMAPDEF',`-DNDBM') だけが有効になる。 # cd sendmail /usr/local/source/sendmail-8.12.5 を /xxx と略す # ./Build Configuration: pfx=, os=SunOS, rel=5.6, rbase=5, rroot=5.6, arch=sun4, sfx=,続く Using M4=/usr/ccs/bin/m4 variant=optimized Creating /xxx/obj.SunOS.5.6.sun4/sendmail using /xxx/devtools/OS/SunOS.5.6 Including /xxx/devtools/Site/site.config.m4 Making dependencies in /xxx/obj.SunOS.5.6.sun4/sendmail rm -f sm_os.h ln -f -s ../../include/sm/os/sm_os_sunos.h sm_os.h gcc -M -I. -I../../include -DNDBM -DSOLARIS=20600 main.c .. >> Makefile | gcc -O -I. -I../../include -DNDBM -DSOLARIS=20600 -c version.c -o version.o gcc -o sendmail main.o ../libsmutil.a ../libsm.a -lresolv -l44bsd -lsocket .. nroff -man sendmail.8 > sendmail.0 || cp sendmail.0.dist sendmail.0 | # cd ../makemap sendmail,makemapはこのディレクトリにできる。再度 # ./Build Buildするには obj.SunOS.5.6.sun4を消してやること。 ↓ # cd /usr/local/source/sendmail-8.12.5/obj.SunOS.5.6.sun4; ls -F libsm/ libsmdb/ libsmutil/ makemap/ sendmail/ # cp makemap/makemap /etc/mail * m4 形式による sendmail.cf の作成 ../sendmail-8.12.5/cf/cf/TTT.mc ----------------------------------------- |Dwmail |Dmnix.co.jj |VERSIONID(`Katou:2002/10/02') |OSTYPE(solaris2)dnl << ../cf/ostype/solaris2.m4 をインクル−ドする。 |dnl DOMAIN(generic)dnl << ../cf/domain/generic.m4 はインクル−ドしない。 |undefine(`UUCP_RELAY')dnl この中の MAX_HEADERS_LENGTH の定義はしてもいい。 |undefine(`BITNET_RELAY')dnl |FEATURE(`nouucp',`reject')dnl |define(`confDOMAIN_NAME',`$w.$m')dnl |define(`always_add_domain')dnl | |dnl define(`confPRIVACY_FLAGS',`goaway')dnl これら必要に応じて設定すること。 |dnl define(`confMAX_HEADERS_LENGTH',`False')dnl 意味は http://home.jp.FreeBSD. |dnl FEATURE(`accept_unresolvable_domains')dnl org/~koga/cf/ などを見られたい。 |dnl FEATURE(`accept_unqualified_senders')dnl 特に入れなくてもいいとは思うが。 | |dnl MASQUERADE_AS(`nix.co.jj')dnl << xxx@yyy.nix.co.jjというメ−ルアドレス |dnl MASQUERADE_DOMAIN(`nix.co.jj')dnl で、もし入って来たら xxx@nix.co.jj に |dnl FEATURE(`masquerade_entire_domain')dnl する。必要に応じて設定されたい。 | |define(`DATABASE_MAP_TYPE',`dbm')dnl << デフォルトは hash になっている。 hash |FEATURE(`mailertable')dnl を使うには NEWDB というデ−タベ−スが |FEATURE(`access_db')dnl 必要である。 このマシンには入れていな |MAILER(local)dnl い。mailertable と access_db はデフォ |MAILER(smtp)dnl ルトで /etc/mail/ 下のファイルを見る。 /etc/mail/access /etc/mail/mailertable ----------------------------- ------------------------------- |Connect: 192.168.1.1 RELAY |nix.co.jj esmtp:[192.168.1.1] |To: nix.co.jj RELAY |nix.co.jj RELAY << これ定義したら Connect: のとこは無くてもいいかも。 # cd ../sendmail-8.12.5/cf/cf # sh Build TTT.cf << TTT.mc から TTT.cf を作る。 * SPAM対策 sendmail を稼働させる # groupadd -g 25 smmsp smmsp ユ−ザとグル−プを作ること。 UX: groupadd: WARNING: gid 25 is reserved. ../sendmail/SECURITY によればgid # useradd -g 25 -u 25 -s /bin/false smmsp は 25 を推奨する。警告は問題ない。 # cd ../sendmail-8.12.5/sendmail /var/spool/clientmqueue というデ # sh Build install ィレクトリが作られる。これは MSP (Mail Submission Program) が利用 # cd ../sendmail-8.12.5/cf/cf するというが、ここではいるのかな。 # cp TTT.cf /etc/mail/sendmail.cf # cd /etc/mail これらのファイル、個々のSPAM # ./makemap dbm access < access に対処することをしない限り、いじ # ./makemap dbm mailertable < mailertable ることはない。もし編集した場合は makemap をやること。 # /etc/rc2.d/S88sendmail stop # newaliases sendmailデ−モンも、このように再 # /etc/rc2.d/S88sendmail start 起動した方が無難だろう。 ※access ファイルを変更した時は、# makemap dbm access < access をやるだけでいい。 sendmail の再起動はしなくてもいい。mailertable ファイルも同様だと思う。 (2) sendmail にパッチを当てる `23/03 * 2003年3月の sendmail の緊急情報 sendmail にクリティカルなセキュリティホ−ルが久しぶりに見つかった。 フリ−ソフト、 商用とも、商用は Windows NT 用も同様である。米 Internet Security Systems(ISS) の X-Force セキュリティ情報研究チ−ムが発見、2003/03/03 に発表した。 まだ被害は出て ない。メ−ルのヘッダ−部を使った穴だという。最悪の場合 root 権限で侵入される。メ −ルリレ−、メ−ルストア両方とも穴になる。問題があるフリ−ソフトの sendmail はバ −ジョン 8.12.7 まで、市販UNIX用と Windows NT 用 Sendmail も同じく問題がある。 いつまでたっても sendmail は安全にならない、qmail に変えるべきか。とりあえずこれ は対処しておいた方がいいだろう。sendmail 8.12.8 に上げるかパッチを当てる。ただし、 パッチは sendmail 8.9.x 以上用しかない。メ−ルリレ− sendmail 8.12.5-BIND にはパ ッチを当てる。メ−ルストアの方は sendmail 8.8.5-HOSTS のため即、対処できない。し ばらく様子を見ることにする。 メ−ルストアの sendmail を 8.12.x にする場合は、ウィルスチェックソフトとの関係で InterScan VirusWall の設定を次のように変更する。トレンドマイクロのホ−ムペ−ジの 製品Q&A(トラブルシュ−ティング)に書いてあった。http://www.trendmicro.co.jp/。 現行 ◎command mode:[/usr/lib/sendmail -bs] を /usr/lib/sendmail -bs -Am とする。 http://www.jpcert.or.jp/at/2003/at030002.txt > 2003/03/04、sendmail の脆弱性に関する喚起。 http://www.sendmail.org/jp/ > sendmail の大元の日本語サイト。パッチの情報はここから見ること。 http://www.isskk.co.jp/support/techinfo/general/SendmailHeader_xforce.html > 2003/03/03、Sendmail のヘッダ−処理に対する脆弱性。日本での ISS 法人。 http://www.ipa.go.jp/security/ciadr/20030303sendmail.html > 2003/03/04、Sendmail における深刻なセキュリティ脆弱性について。 パッチを適用した sendmail では "Dropped invalid comments from header address" と いうログが残る場合がある。パッチを適用してない sendmail では何もログは出ない。攻 略の痕跡が残らない。 * sendmail 8.12.5-BIND にパッチを当てる さあ、いいかどうかは分からないが、メ−ルリレ−で動いている現行の sendmail 8.12.5 に取り敢えずパッチを当てておくことにする。下記のように sendmail の FTPサイトを見 たら sendmail.8.12.security.cr.patch で、8.12 用のセキュリティ・パッチがあった。 % ftp ftp.sendmail.org 220 services.sendmail.org FTP server (Version 6.00LS) ready. Name (ftp.sendmail.org:katou): anonymous 331 Guest login ok, send your email address as password. Password: 230- | 230- 8.12.8 Critical security fix. Do not use any older 8.12 version. 230- | Using binary mode to transfer files. ftp> cd /pub/sendmail ftp> ls -rw-r--r-- 1 ca sendmail 1881693 Mar 3 .. sendmail.8.12.8.tar.gz -rw-r--r-- 1 ca sendmail 10396 Mar 3 .. sendmail.8.12.security.cr.patch -r--r--r-- 1 gshapiro sendmail 123078 Jul 15 .. sendmail.8.9.3.patch -rw-r--r-- 1 ca sendmail 11084 Mar 3 .. sendmail.8.9.3.security.cr.patch -r--r--r-- 1 gshapiro sendmail 1068290 Jul 15 .. sendmail.8.9.3.tar.gz ftp> get sendmail.8.12.security.cr.patch # cd /usr/local/source *** 元のをそのままコピ−しておく *** # mkdir sendmail-8.12.5.org # (cd sendmail-8.12.5;tar cf - .)|(cd sendmail-8.12.5.org;tar xpfv -) # /bin/csh # setenv PATH /usr/local/bin:/usr/ccs/bin:$PATH # cd /usr/local/source/sendmail-8.12.5;ls -F Build* libmilter/ FAQ libsm/ INSTALL libsmdb/ KNOWNBUGS libsmutil/ LICENSE mail.local/ Makefile mailstats/ PGPKEYS makemap/ README obj.SunOS.5.6.sun4/ RELEASE_NOTES praliases/ cf/ rmail/ contrib/ sendmail/ devtools/ sendmail.8.12.security.cr.patch doc/ smrsh/ editmap/ test/ include/ vacation/ # patch -p0 < sendmail.8.12.security.cr.patch << /usr/local/bin/patch。 # cd /usr/local/source/sendmail-8.12.5/obj.SunOS.5.6.sun4/sendmail # ./Build Configuration: pfx=, os=SunOS, rel=5.6, rbase=5, rroot=5.6, arch=sun4, sfx=, variant=optimized Making in /usr/local/source/sendmail-8.12.5/obj.SunOS.5.6.sun4/sendmail gcc -O -I. -I../../include -DNDBM -DSOLARIS=20600 -c main.c -o main.o | gcc -O -I. -I../../include -DNDBM -DSOLARIS=20600 -c util.c -o util.o gcc -o sendmail main.o ... version.o /usr/local/source/sendmail-8.12.5/obj.Su nOS.5.6.sun4/libsmutil/libsmutil.a /usr/local/source/sendmail-8.12.5/obj.Sun OS.5.6.sun4/libsm/libsm.a -lresolv -l44bsd -lsocket -lnsl -lkstat # ls -l sendmail << できた sendmail、変わったのはこれだけ。 -rwxr-xr-x 1 root other 649788 3月 12日 14:55 sendmail # ls -l /usr/lib/send* -r-xr-sr-x 1 root smmsp 649172 10月 4日 20:24 /usr/lib/sendmail -r-sr-xr-x 1 root bin 470388 10月 2日 14:24 /usr/lib/sendmail.2210 # cp /usr/lib/sendmail /usr/lib/sendmail.2303 << 現在のをバックアップする。 # mailq メ−ルのキュ−がないか確認して、sendmailデ− /var/spool/mqueue is empty モンを止め、新しく作成した sendmail をコピ− Total requests: 0 して、sendmailデ−モンを再起動する。それから # /etc/rc2.d/S88sendmail stop 念のため http://www.rbl.jp/ で、SPAMチェ # cp sendmail /usr/lib/sendmail ックしておくこと。パ−ミッションは、既ファイ # /etc/rc2.d/S88sendmail start ルのが付くので気にしなくてよい。 SPAMチェック http://www.rbl.jp/ をやってみた。30秒ぐらいで終わる。中継テス トその0からその19まである。第三者中継テストの結果 "全てのテストが行われました、 no relays accepted." と出た。問題なし。 このチェックサイト、同じサイトのSPAM チェックは立て続けにはできないようになっている。 sendmail を変更前後でチェックす るような場合は、30分ぐらい間をおいてチェックをかけること。 (3) SPAM対策ぞくぞく編 `23/05 * もうやんなっちゃう -------------------------------------------------------------------------------- もう勝手にブラックリストに登録したのなら、定期的にチェックして問題がなくなってい たらリストから削除してくれよ。こちらに削除の手続きをさせるというは、おかしいんじ ゃないのか。やっぱり、こういうのはちゃんとした公のインタ−ネットの組織がやること でないのか。とても困ります。こうしたチェックサイト、なんぼでも出て来るみたいだし。 -------------------------------------------------------------------------------- オシルソフトというんか?、http://relay.osirusoft.com/ と http://dsbl.org/ という サイトのブラックリストで引っかかるメ−ルがある。お客さんから弊社宛にメ−ルが届か ないと苦情がちらほら出ていた。ほかっていたのだが、プロバイダをやっている人のとこ へ半年振りぐらいにメ−ルしたらはねられてしまった。何でと思って電話で話して、メ− ルサ−バのログを見てもらったら、市販のウィルスチェックソフトの RAVというのがはね ていた。このソフトはブラックリストの幾つかをデフォルトで見るようになっているとの こと、osirusoft で引っかかっていた。 最近 osirusoft で引っかかるのが多いですよ− と言っていた。 そうか、もう osirusoft とやらは、マイナ−なチェックサイト/ブラッ クリストではないんだ。こりゃ対策をせないかん。下は、自分とこのあるユ−ザにお客さ んが送ったメ−ルのエラ−メ−ルの一部である。こういうように、はっきりとどこどこの ブラックリストでダメでしたと分かると、まだ有難い。何の痕跡も出さないサイトもある。 ----- The following address had permanent fatal errors ----- ( reason: 550-rejected because 202.241.128.3 is blacklisted at list.dsbl.org ) http://www.zdnet.co.jp/news/0207/16/ne00_spam.html > スパムのブラックリストはやり過ぎか?。2002/07/16 の ZDNET。こんな記事を発見!。 * ブラックリストのどれに載っているか確認する あまり、これは喜んで使わないこと。これまでブラックリストに載ってなかったのが、チ ェックすることによってSPAM対策をしてなかったり、甘かったりしたら、逆にリスト に載せられてしまうこともあるようなのだ。ちゃんと完全にSPAM対策をしていればい いのだろうが、寝た子を起こすようなものである。 http://spam.h1.org/blacklists.html ------------------------------------------------------------ | dns を使って参照できる spam 対策用ブラックリスト( dnsbl ) | | Open Relay Database << ここには、こういったブラックリストのサイト | | が約10箇所ある。何でそんな一杯あるんだ?。 | | Osirusoft Open Relay Spam Stopper | | | 登録確認 [ http://relays.osirusoft.com/cgi-bin/rbcheck.cgi ] | | | Distributed Server Boycott list | | [ http://dsbl.org/ ] |クリック。 | | ↓ http://relays.osirusoft.com/cgi-bin/rbcheck.cgi ------------------------------------------------- | Enter an IP Address or rdns domain name | ----------------- | Address: | 202.241.128.3 | [ Submit Query ] << クリック。 | ----------------- | | 以下、44箇所のブラックリストに載っているか出て来る。 2と4番が osirusoft で先ず登録されていると出た。 4番には自動的に再テストしたい なら、mach3.osirusoft.com に telnet せよとあった。11と12番が dsbl.org で登録、 15番が relays.dorkslayyers.com で登録されていた。 * 対策:ブラックリストから削除する手続きをする 2003年5月6日、火曜日の2時頃 dsbl.org と relay.osirusoft.comのSPAMリス ト登録の解除の手続きをやってみた。dsbl.orgは水曜日の2時頃、登録が解除されていた。 ほぼ1日で手続きされた。relay.osirusoft.com の方は、その週の金曜日になっても変化 なし。telnet して本当、解除してくれるのかや。 5月19日月曜日、朝会社に出勤した ところでチェックしたら外れていた。16日からチェックしてなかったので、その間に外 れたかも知れないが、いずれにせよ2週間ぐらいかかるのか。もっと早く手続きしてくれ んか。これで残すは relays.dorkslayyers.com だけとなった。 これはまた、しばらくほ かっておくことにする。ダ−クスレイヤ−ズだと、何やスタ−ウォ−ズのジュダイの復讐 かや。あの広い宇宙の中で、結局のところ親子の対決とは。馬鹿くさ!。 [ dsbl.org ブラックリストから除く ] http://dsbl.org/listing -------------------------------------- | Distributed Server Boycott list | | DSBL:Retrieve Listing Data | ----------------- | | 202.241.128.3 | [ Check Listing ] << メ−ルリレ−のホストのIPアドレスを | ----------------- 入れてクリックする。 | Main | News | FAQ/About | List Query | Removal System | | http://dsbl.org/listing?ip=202.241.128.3 ---------------------------------------------------- | DSBL:Listing Data ※ 削除手続きしてからは State は Awaiting Removal に | 変わり、削除されると IP not listed by DSBL となる。 | Status しかし、このリストは消えることはない、 削除手続き | した履歴も新たに記録され、そのまま残ることになる。 | IP: 202.241.128.3 | State: Listed << "Listed" はブラックリストに登録されて | Listed in unconfirmed (unconfirmed.dsbl.org): yes いるということ。 | Listed in singlehop (list.dsbl.org): yes | Listed in multihop (multihop.dsbl.org): no | Record last changed: 2002/05/09 17:19:42 UTC | Server identifies itself as: www.nix.co.jj ※ ここでのホスト名は www です。 | Reverse DNS identifies server as: www.nix.co.jj | | History | | 2002/05/04 08:20:58 UTC Listed in Unconfirmed (view message) | 2002/05/09 17:19:42 UTC Listed in Singlehop (view message) | | Messages from yhis Host | | 2002/05/04 08:20:58 UTC (view message) smtp | | この間、数秒おきにやっている。 | | | 2002/05/04 08:22:13 UTC (view message) smtp | 2002/05/09 17:19:42 UTC (view message) smtp | | この間、数秒おきにやっている。 | | | 2002/05/09 17:21:12 UTC (view message) smtp | | Other DNS Based blackhole lists | | Check your status in other DNS Based blackhole lists | Main | News | | http://dsbl.org/removalquery -------------------------------------- | DSBL:Request Removal | ----------------- | IP Address: | 202.241.128.3 | | ----------------- | [ Request Removal ] << クリック。 | | How do hosts get removed from DSBL? | | The removal of a host from DSBL is done using the following procedure: | 1. Somebody requests that the host is removed from DSBL. | 2. DSBL sends a confirmation email to the administrator of the host in question. | 3. The server administrator confirms that the server should be removed from | DSBL by clicking the link in the email. | 4. 24-25 hours later, DSBL removes the server from the list. | | | 上の画面の [ Request Removal ] をクリックすると、 結果を知らせるメ−ルアドレスを 幾つかの候補から選択する DSBL:Removal Results 画面が出た。 postmaster@nix.co.jj をここでは選んだ。そして [ Send Removal Confirmation ] をクリックした。 すぐに下 のメ−ルが来た。そして下記の所をクリックすると、 DSBL:Confirm Removal 画面が出て きた。これで24時間待っていれば、ブラックリストから削除されるという訳である。 --------------------------------------------------------------------- | Subject: Removal Confirmation for 202.241.128.3 | From: DSBL | To: postmaster@nix.co.jj | | DSBL has received a request to remove the IP address 202.241.128.3 | from its list(s). If you wish to deny this request, please ignore | this email. Otherwise, please visit the URL below. | | http://dsbl.org/removal_confirm?cookie=なんたらかんたらへのもへ | ↑ | Thank you. ここをクリック。 [ relay.osirusoft.com ブラックリストから除く ] ファイアウォ−ルで WWW から ANY へ telnet を一時的に許可するように設定する。 WWW ホストから mach3.osirusoft.com に telnet して、SPAMの再テストするのだと。 自 社サイトのメ−ルサ−バである WWW ホストからアクセスしないとダメである。 このブラ ックリストから削除する手続き、インタ−ネットで探して見たが全然書かれていなかった。 なかなかリストから外れないので、本当に telnet でいいのかなと思った。 * 再び dsbl.org ブラックリストにお目にかかった `28/03 アメリカ支社にメ−ルが届かなくなった。支社はAT&Tが買収したプロバイダにお世話 になっているらしい。そのプロバイダのブラックリストとおぼしき内容でエラ−メ−ルが 返ってくる。そこに書かれているURLをクリックするとメ−ルサ−バのIPアドレスな どを入れて、理由もあれば書いてフォ−ムのボタンをクリックせよとある。これでブラッ クリストから削除されるみたいだ。でも1週間たっても何の音沙汰もない。念のため昔問 題になった RBL のブラックリストは今どうなっているか調べてみた。http://www.rbl.jp でチェックしたら、1ヶ所 http://www.dsbl.org に登録されていると出た。 ひょっとか するとそのプロバイダが独自のブラックリストを持っているのではなく、他所のブラック リストを参照しているのでないか。メ−ルが行かなくなった日にちは dsbl.org に載った 日の土日をはさんだ数日後なのだ。これは怪しい。dsbl.org に削除依頼を出した。 前に やった時とほとんど画面は変わってなかった。1日で削除された。すぐにメ−ルを送って みたがその時は駄目だったが翌朝やったら送れた。分かりにくいトラブルだった。 * またまたブラックリストに引っかかった `29/07 社内の人で取り引き先にメ−ルが相手に届かず、変なメ−ルがかえって来るとのこと。見 たら From: Mail Delivery Subsystem で(reason: 553 5.3.0 Message from 202.241.128 .3 rejected - see http://njabl.org/)。これは相手先のメ−ルサ−バがブラックリスト を使っていて、それに内のメ−ルサ−バのIPアドレスが載ってしまっていると説明した。 http://njabl.org/ の {Remove an IP from the list} をクリックして、下の方に解除し て欲しいIPアドレスを入れる所があり 202.241.128.3 を記入する、[Remove] をクリッ クした。画面が変わり You have asked to remove 202.241.128.3. If you are sure, pr ess the submit button below. [Submit] をクリック。1、2分待たされて次の画面が出 た。Here is the result from your request: 202.241.128.3 has been removed 1 times in the past. Removal will be scheduled for the next reload after Sun Aug 2 23:34 :45 2009 EST。2時間程してから確認したらブラックリストから外されていた。最初、画 面上から4番目の Look up an IP ... でやっていて、ちっとも解除されんと思っていた。 * relay.osirusoft.com ブラックリストから除く操作のログ # telnet mach3.osirusoft.com The server is about to test [202.241.128.3] To terminate this test, please disconnect within 15 seconds 1 Relay Block List Testing and reporting utility v0.12-65 By Joe Jared postmaster 202.241.128.3 Resolves to: 202.241.128.3 Address to test: 202.241.128.3 Netmask: 255.255.255.255 Socket: 25 Connecting to: 202.241.128.3 [www.nix.co.jj] <=-[220 www.nix.co.jj ESMTP Sendmail 8.12.5/8.12.5; Tue, 6 May 2003 13:33 :00 +0900 (JST)] 220 www.nix.co.jj ESMTP Sendmail 8.12.5/8.12.5; Tue, 6 May 2003 13:33:00 +0900 (JST) [www.nix.co.jj] -=>[HELO www.nix.co.jj] <=-[250 www.nix.co.jj Hello relays.osirusoft.com [168.103.84.163], please d to meet you] -=>[MAIL FROM:] <=-[250 2.1.0 ... Sender ok] Destinations: 4 -=>[RCPT TO:] <=-[550 5.7.1 ... Relaying denied] -=>[RCPT TO:<"relays%relays.osirusoft.com@">] <=-[553 5.1.3 <"relays%relays.osirusoft.com@">... Hostname required] [553 5.1.3 <"relays%relays.osirusoft.com@">... Hostname required] -=>[RCPT TO:] <=-[550 5.7.1 ... Relaying denied] -=>[RCPT TO:<"relays%ordb.org@">] <=-[553 5.1.3 <"relays%ordb.org@">... Hostname required] [553 5.1.3 <"relays%ordb.org@">... Hostname required] -=>[RCPT TO:] <=-[550 5.7.1 ... Relaying denied] -=>[RCPT TO:<"listme%dsbl.org@">] <=-[553 5.1.3 <"listme%dsbl.org@">... Hostname required] [553 5.1.3 <"listme%dsbl.org@">... Hostname required] -=>[RCPT TO:] <=-[550 5.7.1 ... Relaying denied] -=>[RCPT TO:<"relaytest%rr.njabl.org@">] <=-[553 5.1.3 <"relaytest%rr.njabl.org@">... Hostname required] [553 5.1.3 <"relaytest%rr.njabl.org@">... Hostname required] 202.241.128.3 has been queued for retesting by relays.osirusoft.com 's open Using mail server: 216.102.236.44 (mach3.osirusoft.com) relay tester Trying addr "202.241.128.3" port "80" proto "http" ... connected >>> CONNECT 216.102.236.44:25 HTTP/1.0 <<< HTTP/1.1 404 Not found Using mail server: 216.102.236.44 (mach3.osirusoft.com) Trying addr "202.241.128.3" port "1080" proto "http" ... cannot connect Open relay/proxy tests completed Goodbye Connection closed by foreign host. ※WWW ホストに socks サ−バ、proxy サ−バが動いていて、 SPAMに利用可能かどう かも調べている。postmaster@www.nix.co.jj というのが見えるが、 特にこのアドレス にメ−ルを出すわけではないみたいである。もし、このアドレス宛にメ−ルが出ると現 状のメ−ルサ−バの設定では、エラ−メ−ルとなって WWW ホストに root に届く。 (4) ウィルス対策の再検討 `23/06 * ウィルスチェックソフトの見直し ウィルスチェックソフトを一度見直してもいいのでないか。ベンチャ−含め、たくさんの ソフトやアプライアンス製品が出てきている。それらのライセンス数による金額の比較も してもいいいだろう。乗り換えの際の割引も考慮できるだろうし。現状のソフトのパッチ 当てやバ−ジョンアップはどうか、実際のところちゃんとできているのか。もしアプライ アンス型のが、自動でソフトのメンテンスもきっちりとしてくれるのなら、かなり有難い。 乗り換えてもいい材料になるだろう。 さらに現状 InterScan VirusWall で SMTP しかウ ィルスチェックしてない。2001年9月に発生した Nimda のようなホ−ムペ−ジを見 るだけで感染するウィルスもある、HTTP もできればチェックしたい。 社内からメ−ル分 割による不用意な大量メ−ルの送信も防ぎたい。メ−ルのコンテンツフィルタリング機能 なら防止できるかも知れない。ユ−ザのチェックということでなく、機能を有効活用する ということで、InterScan シリ−ズなら eManager の導入を考えてもいいだろう。 現実的なことを考える必要がある。現状 FireWall-1 を入れているマシンは Ultra 10 で、 VirusWall は導入当時 FireWall-1 の CVP 機能と連携ができずに、SMTP だけチェックし ている。もし、HTTP/SMTP/FTP 全部のウィルスチェックをするとしたら、このマシンでは パフォ−マンス的に無理なような気がする。FireWall-1 アプライアンスの NOKIA にでも 変更するしかない。 また、その場合でも CVP 機能が本当に使えるのか改めて確認しなけ ればならない。どうも怪しい。トレンドマイクロさんはできると言うが、 FireWall-1 を 設置したSI業者さんはしばらく前でもちょっと−という感じだった。さあ、今はどうか。 さらにキャシュサ−バの NetCache も購入して稼働している。ウィルスチェックソフトと 連携し、パフォ−マンスを上げるのに使えるかも知れない。連携は ICAP という仕組みで ある。そして実際、乗り換えする際の手順も十分シミュレ−ションする必要がある。メ− ルが行方不明になるようなことは許されない。 いろいろウィルスチェックするソフトがある中で、トレンドマイクロとバッティングする 日本ネットワ−クアソシエイツ(株)の WebShield を見てみる。 WebShield はウィルスチ ェック専用のアプライアンス製品で、OSは Linux である。e500 Appliance は1Uラッ ク製品で値段は275万円、ライセンス数は無制限、初年度の保守込み。次年度以降の保 守はセンドバックで65万円である。ハ−ドウェアをスペック・ダウンした e250 タイプ はライセンス数による値段になっている。101〜250 のライセンスが購入時 175万円/保守 費 42.6万円、251〜500 が 220/53.6 万円。どちらにせよ、ちょっとばかりお高い気がす るが。WebShield はプロキシ型構成、透過型ル−タ構成に加えて透過型ブリッジ構成にも 対応するとある。以下のような設置の仕方でいいのでないか。この製品その後 McAfee に 買収された。2007年5月のセミナ−でもらった資料には WebShield Appliance 3.0か ら SCM Appliance 4.0 と書いてある。SCM( Secure Content Management )。 * SMTP のウィルスチェックに WebShield を使う場合 ↑ Mail-Store のマシンは SPARCstation 5、 -------*--- MX ↓ もうそろそろ引退の潮時かな。これまで | ▽ Mail-Relay このホストで InterScanも動かしていた ------ | ↑ が、役割を減らしていってはどうか。 |Gate|------ ↓ メ−ル ------ ◆ ←―→ △ ←―― □ ユ−ザ | | SMTP | POP | -------*---------------------------------- WebShield Mail-Store メ−ルの外とのやり取りでウィルスチェックをする。社内ネットワ−クのユ−ザ同士での メ−ルは Mail-Store でやりとりされる。このため、そのままでは社内メ−ルはウィルス チェックされないことになる。どうやら Mail-Store に来たメ−ルをいったん WebShield に送り、またMail-Store に返すような設定をするらしい。 WebShield のパンフレットを 見たら、Mail-Relay まで行って帰って来るような絵が描いてあったぞ。 なかなかトリッ キ−な設定だ。ここは結構、選択のポイントである。一度セミナ−にでも出て確認したい。 * HTTP/FTP のウィルスチェックの検討 HTTPもウィルスチェックしたいユ−ザは -------*--- Proxy-ServerをWWWブラウザでプロキ | ▽ ↑ シ指定すればいい。現在Proxy-Serverに ------ | | は、よい子ではNetCacheを導入している。 |Gate|------ ↓ HTTP ------ △ ◆ ←―→ ○ ←―― □ ユ−ザ | | | | FTP | -------*------------------------------------- WebShield Proxy/Cache-Server キャッシュサ−バを介してチェックする。 HTTP パケットのウィルスチェックをするのは、 一般的にはマシンのパフォ−マンスが必要とされる。ウィルスチェックソフトをファイア ウォ−ルのホストなんかに入れて、 HTTP もチェックするというような場合のことである。 それをキャッシュサ−バを利用して、同じ HTTP パケットをウィルスチェックしないよう にする。一度チェックしたらしばらくはチェックしないようにして、負荷を軽減するので ある。しかし WebShield e500 なら、何もキャッシュサ−バを利用するまでもないと思う。 千人規模でも事例があるとパンフレットに書いてあった。キャッシュサ−バを利用しない 場合は、ユ−ザのWWWブラウザではプロキシの設定を WebShield のIPアドレス:80を 指定する。WebShield e500 の下位機種の e250 タイプなら、 キャッシュサ−バを介す上 図のやり方は有効かも知れない。e250 がパフォ−マンス的にやや下ということで。 トレンドマイクロの InterScan VirusWall でも同じことができる。 キャッシュサ−バは 使う/使わない場合のやり方もとれる 。どうも InterScan WebProtect for ICAP という のを別途用いると、キャッシュサ−バをより効果的に利用できるみたいである。このよう な機能をもったソフトは、Webプロキシ型アンチウィルス製品という。ホ−ムペ−ジ閲 覧チェックするソフトとよく似ている、混同しないようにされたい。あくまでも、ウィル スのチェックであり、HTTP パケットの中のウィルスを除去する、 またはウィルスのある URLが特定できれば、そのURLをダウンロ−ドしないという機能である。 * 個々のパソコンのウィルス対策はどうするか VirusScan ASap オンラインウィルス対策サ−ビスはどうか。 ユ−ザのパソコンにそれ用 のソフトと検出用の定義ファイルやエンジンを入れる。パソコンを起動した時に、毎回定 義ファイルを自動で更新する。管理簡単、手間入らずと宣伝している。日本ネットワ−ク アソシエイツ(株)、McAfee 事業部のウィルスチェックのASPサ−ビスである。 目新ら しいサ−ビスかと思っていたら、トレンドマイクロのクライアント用のも似たようなのだ った。Windows NT/2000 サ−バを立てて、ここに定期的にトレンドマイクロからウィルス 定義ファイルをダウンロ−ドする。各クライアントはこのサ−バにアクセスして定義ファ イルをアップするという。HTTP のウィルスもチェックできる。 250ライセンスのでパ ソコン1台、5千円ぐらいである。まあ、パソコンのウィルスチェックは読者の皆さんの 方が詳しいと思う。それぞれで対策を考えられたい。 * InterScan のライセンス料金とその他ソフト トレンドマイクロは 2002/10/01 にライセンス体系を変更している。分かりやすく安くし たということだが、トレンドに限らずどこもややこしい。Solaris 版の250ライセンス は、これまで購入時140万円、更新49万円だった。それが新しいライセンスでの更新 価格は約62万となった。高くなる場合もあったのだ。既存ユ−ザは1年間、旧ライセン スを選ぶことができたが。ライセンス標準価格 InterScan VirusWall、Gランク・ライセ ンス数 250〜349 の間で、1,237,500 円=単価 4,950 円 x 250。 ライセンス更新価格は その半額で 2,475 円 x 250=618,750 円である。 ---------------------------------------------------------------------------- | ウィルスチェック |メ−ル内容| Web閲 |キャッシュ利用 | SMTP | HTTP | FTP | 新種 |のチェック| 覧の制限 |のHTTPウィルス ------------|------|------|-----|------|----------|----------|-------------- VirusWall | ○ | ○ | ○ | | | | eManager | | | | | ○ | | Suite | ○ | | | ○ | ○ | | WebManager | | | | | | ○ | WebProtect | | | | | | | ○ ---------------------------------------------------------------------------- InterScan eManager > VirusWall のプラグインソフト。メ−ルコンテンツフィルタリング機能、メ−ル帯域幅 制限機能、メ−ルトラフィック監視機能、スパムメ−ルブロック機能。Gランクでの1 ライセンス 1,500 円。メ−ルを分割して大量に外へ送るのを、 これで捕えることがで きるかも知れない?。要確認である。 InterScan Messaging Security Suite > VirsuWall の SMTP だけと eManager の機能が合わさった製品。現在のように、メ−ル だけウィルスチェックするのなら、VirusWall よりも安くできる。設定の仕方が違って いるのかどうか、それは要チェックである。Gランクでの1ライセンス 4,500 円。 InterScan WebManager > ホ−ムペ−ジのURLフィルタリングするソフト。ブラックリスト方式である。1サ− バ250クライアントのが 94.8万円/年。 おかしなサイトを従業員が見に行けな いようにする。そうしたユ−ザをピックアップする。キャッシュサ−バと連携してハイ パフォ−マンスなチェックもできる、WebManager for Squid と for ICAP 製品もある。 InterScan WebProtect for ICAP > HTTP パケットをキャッシュサ−バを利用してウィルスチェックする。 Gランクでの1 ライセンス 3,000 円/年。 このソフトを入れたホストをWWWブラウザのプロキシと するとか、ICAP 1.0 対応( NetCache, CacheFlow )のキャッシュサ−バを介す。複数台 のホストに VirusWall を導入しても、ICAP 1.0 の機能により負荷分散ができる。 (5) メ−ルサ−バ運用のトレンドなど `23〜 * 最近のトレンドから メ−ルをこれからは本文も保存せないかんという記事が最近目立つ。中小企業でそんなこ とできるか。どれだけの容量を持ったディスクを用意せないかんか。それに毎日のように くるSPAMメ−ル、ウィルス入りのメ−ルなど、いろいろある。こんなんまで保存すれ ば、すぐにディスクなんか一杯になってしまう。では、そういうのは保存しないようにす るか?。そう簡単なことではないぞ。結局、あやしげなのを管理者が1通ずつ見て、保存 するしないを判断することになるのでないか。これはとてもおぞましい事態である。 IMAP4 でメ−ルは一括保存して、検閲できるようにする。またそんな記事を目にした。ユ −ザへの利便性のアップに検索もできるようにするとか。一部の企業が始めたことを、そ う普遍的なことのように書いてもらっては困る。検索は好意的に利用するなら、それはい いことである。しかしメ−ルの検閲はいかがなものか。ならば会社に来る手紙やハガキの 類も全部、コンピュ−タに打ち込みそうするか。これは管理のための管理でしかない。会 社に届いた社員名宛の手紙類が、幾ら仕事で共有財産とはいえ、検閲できるのが当り前と するのはいかがなものか。 情報漏洩対策のためのメ−ルをチェックするのだという話も、よく目にするようになった。 情報漏洩の80%はメ−ルからとか、本当かや。それまでは情報漏洩は無かったというの か。紙の媒体だと発覚しにくかっただけで、メ−ルより紙の方が今でも圧倒的に多いと思 うぞ。紙だと持ち物検査や身体検査でもしない限り、分からない。チェックはメ−ルの本 文やサブジェクトをキ−ワ−ド検索する。しかし、社外秘のドキュメントを"秘密"と書い て送るか。そんな奴おらんぞ。ならば、秘密のとこをヒミツ、ひミツ、2チャンネルばり に火三つとか。そんなキ−ワ−ドも管理者が追加登録して行くわけ?。 さらにメ−ルは仕事のやりとりの貴重な証拠である。取引き先とトラブルが起こった場合 にも備えて、通信履歴と本文を保存するという話。すでに保険会社だったか実施している のは。しかし保険会社と一般の中小企業とは同じにいかない。しかしメ−ルだけでいいの、 電話の方がまだまだ利用するのは多い。ならば電話の会話も録音保存しなければならない のでないか。さらにメモ書き、ちょっとした確認や打ち合わせ程度のメ−ルはどうするの か。そんなのも、証拠として残すわけ。ともかく重要な事柄をメ−ルで送る場合は、一緒 に紙の文書も送り、またもらう。これが基本じゃないの?、これでいかんの?。 私用メ−ルの監視とホ−ムペ−ジ閲覧チェック。社員の勤怠状況をチェックするソフトも 大流行だ。上位10人をリストアップできるとか、どこに送ったか、どこを見たか。その 出た情報を誰が一体管理、チェックするというのか。実際チェックまでしなくても、こう いう監視をしているとアナウンスをすることにより、社員ヘの抑止力になるとも説明して いる。通常核兵器は実際に使われることはないだろう、それで抑止力にならない。しかし 小型の核兵器は使うかも知れない、と思わせることによって実際的な抑止力になる。そん なような議論はしたくない。密告の片棒を担ぐようなことはお断りする。 ウィルスチェックの会社の営業マンがやってきて、ホ−ムペ−ジ閲覧チェックのソフトも どうだと言ってきた。お宅の親会社にはもう入れてまってますよ。お宅の状況を無料で調 べてあげる。プロキシサ−バのログを取らせてだって。Webアクセス利用分析、Web アクセスログ解析という。2002年初めぐらいから、サ−ビスをやり始めた会社が幾つ かある。だいたい2GBぐらいをメディアで受取り、詳しくレポ−トを作るのだと。8万 円ぐらい。プロキシサ−バを通せば、社員が外のWWWアクセスなど、ホ−ムペ−ジを見 た履歴がそのまま取れる。勿論、はっきり断わりました。親会社でもないワイ。 * メ−ルいろいろメモ ウィルスチェックソフトの仕組みは皆、同じではない。チェックできないウィルスのタイ プもそれぞれのソフトであったりするようである。できれば、ゲ−トウェイと各ユ−ザの パソコンでのウィルスチェックソフトは、別なのにした方がいいのでないか。例えばゲ− トウェイには McAfee にして、パソコンはシマンテックにするとかである。 パソコンのはファイアウォ−ルと一緒になったウィルスチェックソフトもある。パソコン の処理スピ−ドが格段に向上した今、各自のパソコンにも、ファイアウォ−ルがあっても いいかも知れない。ノ−トパソコンとか、会社の机にでんとおいて使うばかりとは限らな い。もし盗まれても、他人さんは使えないようにプロテクトをかけるとかも。 ウィルスチェックソフト、自動でウィルスチェックのエンジンをアップロ−ドするのがで きない場合が、ままあるみたい。その場合は手動でエンジンをダウンロ−ドしてくる。日 本ネットワ−クアソシエイツの VirusScan ASap は、手間いらずが売りなんだけど、それ でも結構手間はかかるみたいである。 マイクロソフトがル−マニアの RAV AntiVirus の GeCAD 社を買収。2003/06。友 人の会社が扱っているのだが、どうなるのだろうか。ゲ−トウェイ型のウィルスチェック ソフトとクライアントのがある。ゲ−トウェイ型のは、かなり安いみたいで、大学に結構 入っているようである。ちょっと検討してもいいかなと思っていたのだが。 英国ソフォス社の Sophos Anti-Virus。UNIX, Windows 2000, Macintosh などに対応。メ −ルゲ−トウェイ型アンチウィルスソフト。 このエンジンを積んだ Sophos MailMonitor for SMTP というソフトがある。メ−ルリレ−として設置する?。 Linux 版50ユ−ザで 135,000 円から。http://www.sophos.co.jp/。 Mirapoint。ウィルスチェックは Sophos社のエンジンを使用。外部とのメ−ル中継に使う MD300 にウィルスチェック搭載。M300 は社内メ−ルサ−バで SMTP,POP3,IMAP4、 それに Webメ−ル機能がある。2種類あるのかな?。日商エレクトロニクスの情報誌 2003/12 発行より。Mirapoint 今もって高いです。200〜300ユ−ザ用の廉価版を作ってちょ。 HDE Anti-Virus for Gateway、 ウィルスチェックのソフトはフィンランド製の F-Secure。 HTTP,FTP,SMTP,POP が対象。各プロトコルのプロキシとして動作する?、どういうことか な。SMTP, POP ならメ−ルを横取りするのかな。例えば250ユ−ザは約50万円、年間 保守約25万円。for Server はサ−バ内のファイルのウィルスをチェックする。`24/01。 iPlanet Messaging Server。http://ja.iplanet.com/。対応OSは Sun Solaris 2.6,8に Windows NT 4.0 など。100クライアントで 38.5 万円から。LDAP対応, SSL/TLS, APOP 認 証, WebMail, IMAP4, スパム防止機能, 仮想ドメイン, メ−リングリスト開設など。企業 向け500ユ−ザ192万円より。 Panda Antivirus Appliance。スペインの Panda Software社のウィルスチェックのアプラ イアンス製品。ITXイ−・グロ−バレッジから 2003/02/04、販売開始。 日商岩井(株) 百%出資会社、http://www.e-globaledge.com/。50ユ−ザで70万円から。簡単な設置、 透過型ブリッジとして設置可能。ウィルス定義ファイルとスキャンエンジンの更新は1時 間毎に完全自動実行する。FTP,SMTP,POP3,IMAP4,SOCKS,NNTP 対象。`23/07。 パンダ GateDefender7100 は HTTP ウィルスチェックのスル−プット 12Mbps。7200 のは 35Mbps。メ−ルリレ−、メ−ルストア構成で内部ユ−ザ同士のメ−ルもチェックさせるに は、ハ−ドは2台必要だが、ソフトのライセンスは1つでいい。他社製品からの乗換価格、 アカデミック価格などあり。http://www.pandasoftware.ne.jp/。`23/10。 GateDefender7100 追記。スペインの Panda Software 社の1Uのアプライアンス。 対応 プロトコルは SMTP,HTTP,POP3,FTP,NNTP,IMAP4,SOCKS でウィルチェックをする。 1時間 毎に新しいウィルス定義ファイルとスキャンエンジンの自動アップデ−トを行う。12時 間毎にシステムアップデ−トを自動チェックする。設置にはIPアドレスが必要。 Webメ−ルには現状、Cobalt を DMZ に配置して使っている。そしてWebメ−ルを使 いたい人だけ、Mail-Store から Cobalt にメ−ル転送するようにしている。SSL-VPN装置 を導入すれば DMZ ではなく内部ネットワ−クに置いてしまえばいい。iPlanet Messaging Server がWebメ−ル機能も含んでいる。これでWebメ−ルは無しにできるか?。 「日経システム構築」2005/12,P.68〜。大学でのメ−ルシステム刷新の事例。Mirapointを 2000年に導入したのが2004年末で保守打ち切り通告。1年かけて新しいシステム に移行した。OSはRedHAT。メ−ルソフトは DEEPMail でSMTP,POP,Webメ−ル機能。スパ ム対策 SPAMBlock。L4スイッチ(Alteon AS)で2台共アクティブのクラスタ構成。 2005年12月16日、NTTドコモとKDDIがメ−ルに送信ドメイン認証技術に対 応することを発表。まだ開始した訳ではない?。SPF( Sender Policy Framework )、メ− ル送信者のメ−ルアドレスのドメイン名とメ−ル送信元のドメインが一致するか判断する。 SPAMや迷惑メ−ルの抜本的な対策。我々、企業なども対応を考え始めた方がいい。 MDaemon 8 Pro 多機能メ−ルサ−バ、2005/12。Windows 2000 用。メ−ルのねつぞうを防 止する、デジタルIDによる送信ドメイン認証 DKIM( Domain Keys Identified Mail )採 用。受信メ−ルを一定時間監視して、スパムメ−ルかどうか識別する。グレ−リスト機能。 LDAP 対応、Webメ−ル。50ユ−ザ16万円税別など。http://www.asciisolutions.com/。 レピュテ−ション。NTTコミュニケ−ションの OCN + NEC の "BIGLOBE" ですでに使用。 過去に迷惑メ−ルを送ったドメインかどうかを、ある評価値で判断。トレンドマイクロも `25/06 始めた、サ−ビスを提供する米ケルケアを傘下に収めた。`25/09 には3万円で利 用できるサ−ビスを発表した。評価値は公開しないとのこと。 雑誌など見るに、大学では Active! mail を使うところが結構あるようだ。企業では何と なく Outlook が多い気がする。 まるでポリシ−なし、Windows OSに入っているからと いうだけの理由しかない。Netscape や Mozilla なんかは別途インスト−ルしないといけ ない、それがめんどうだから。しかし安全性を考えたらめんどうだなんて言っては困る。 * qmail によるSPAM対策 `24/02 "第4回オ−プンソ−スソフトウェアセミナ−"、テ−マ:これでいいのかインタ−ネット 〜spamとプライバシ−の観点から〜。2004年2月7日(土) 14:00-18:00、名古屋 工業大学にて。会員500円、一般1500円。講演の後、場所を移しての懇親会4千円。 懇親会出たかったけど、申込みの時点でもう一杯だった。このセミナ−、小生は朝日新聞 の記事で知った。アナウンスしている間に、 まさに史上最悪のSPAMウィルス MyDoom が出た。ソ−シャル・エンジニアリングを巧みに使ったメ−ルで、思わずメ−ルを開いて しまうという。小生の会社にも1週間以上、1日50や100通来た。当初、セミナ−は 50名ぐらいを予定してたらしいが、申込みがぐっと増えて急遽場所を名工大に変更した とのことだった。100名位集まった内、大半が実際のメ−ルサ−バの管理者だった。と 言っても学校なんかでは、最近は業者さんにメ−ル管理をお任せするのがほとんどだとか。 主催 NPO 東海インタ−ネット協議会(TIC) http://www.tokai-ic.or.jp/ ソフトウェア技術者協会(SEA) 名古屋支部 http://sea.forums.gr.jp/ 講演1:「IDのプライバシ−問題とは何か−IT技術者のための基礎教養」 高木浩光氏(独立行政法人 産業技術総合研究所) 講演2:「spamはメイルを滅ぼす〜spamを撃退するには」 前野年紀氏(qmail.jp/東京工業大学) パネルセッション:「これでいいのかインタ−ネット」 司会 TIC理事/中京大学/(株)リフレクション 鈴木常彦 高木氏の話は面白く、なかなか興味深かった。知らない間に個人情報がとられているとい う。高木氏のサイトを見られたい。セキュリティについて初めて聞く話が多かった。個人 情報がバ−チャルな世界だけでなく、ICタグによりリアルワ−ルドでも筒抜けになると 話していた。次のSPAMの話は、qmail だったらパッチを当てることにより、SPAM を減らすことができる。SPAMは大量にメ−ルをばらまくので、1通送るのに時間をか けてはいられない。メ−ルを受ける際のやりとりに遅延を入れる。あるいはいったんエラ −でメ−ルで返してしまう。まともなメ−ルなら相手メ−ルサ−バで再送する。まともで ないのは再送もしない。しかし送り返し先も、そもそもまともではないのがほとんどだが。 SPAMはともかく、どんどんメ−ルを送るのが仕事である。他、DNSの逆引きが引け ないのはゴミ箱へ直行。通過許可させるホワイトリストも併用する。こんなんでほとんど のSPAMは撃退できるという。これら、上記の鈴木氏と前野先生が取り組んでいる。 * メ−ルの暗号化の検討で `2h/04/e FortiMail との間でメ−ルの STARTTLS 暗号化をテストしたくて。Windows 用のメ−ルサ −バを調べた。フリ−で使えるメ−ルサ−バに smtp4dev というのがあったけど受信専用 で使えない。@IT>Server & Storage>ITプロ必携の超便利システム管理ツ−ル集(12): メ −ル通知テストに便利な"ダミ−"のSMTPサ−バ−「smtp4dev」。2014年10月23日更新。 PMail はどうか。早い話が製品版には暗号化機能はあるが、フリ−ソフトは版は機能を抜 いてある。http://akisoftware.com/pmsrv/help/、証明書のことが詳しくヘルプにでてい た。SSL/TLS通信設定、SSL/TLS証明書について、などサポ−ト情報がとても詳しく説明さ れている。製品版でも3千円ぐらいからある。買って試す価値はある気がする。 ArGoMail はどうか。国産ソフトみたい。ArGoSoft Mail Server Freeware v1.8.8.8 をダ ウンロ−ドしてみた。製品版というのは無いみたい。 サイトの agsmail.exe をクリック してダウンロ−ド、ついでに実行したら5秒位でインスト−ルした。モニタにアイコンが できていてクリックして設定画面をみた。非常にシンプルで暗号化のメニュ−はなかった。 結局、暗号化メ−ルを試しで使えるのは MDaemon フリ−版しかなさそう。 5ユ−ザまで 利用可能で期間制限はない。ダウンロ−ドしてみようとした。ユ−ザ登録は必要なしとあ るがインスト−ルでたくさん個人情報を記入するようになっていた。外国のソフトでそん な情報をいれたくない。このソフトはIPAのレポ−トにも出ているので問題ないと思う。 もう少し調べた。"E-Post Mail Server Enterprise Π 製品評価版申込み" という画面に 辿り着いた。入力フォ−ムの項目は法人名、お名前、電話番号、住所、E-mail フリ−ア ドレスは不可。30日間の試用は無料。幾つかソフトの種類がある、全部で STARTTLS 対 応。企業向けの製品である。価格はトレンドマイクロ社みたいに細かくなっていた。 Mail-Relay の予備機の Sun Solaris 9 がまだある。それにHP仮想サ−バの仮想マシン の Linux に載せた Mail-Store での InterScan VirusWall もあるにはある、これはもう 稼働させてはいないが。これらは sendmail を使っていて STARTTLS 対応するよう設定す る。これが一番のやり方のように思うが、もはや sendmail をいじるのには気力がない。 MDaemon を正味半日触って同じパソコン内の Outlook でメ−ル送受信ができた。MDaemon でテストして行くか。この後 Outlook とで暗号化の確認。Outlook から MDaemon にで送 信し更に FortiMail へ、平文で。MDaemon から FortiMail へ暗号化。最後は全部で暗号 化送信。STARTTLS の設定と証明書のことを、これらのテストで挙動をみて行くとしよう。 ------------------------------------------------------------------------------------ [ 付録 ] いろいろ操作のログ記録 * sendmail 8.12.5 を以前に # sh Build install した時のログ # cd /usr/local/source/sendmail-8.12.5/sendmail Build ---------------------------------- |#!/bin/sh |exec sh ../devtools/bin/Build $* # sh Build install Configuration: pfx=, os=SunOS, rel=5.6, rbase=5, rroot=5.6, arch=sun4, sfx=, variant=optimized Making in /usr/local/source/sendmail-8.12.5/obj.SunOS.5.6.sun4/sendmail if [ ! -d /etc/mail ]; then mkdir -p /etc/mail; else :; fi ../../devtools/bin/install.sh -c -o bin -g bin -m 444 helpfile /etc/mail/helpfile if [ ! -d /etc/mail ]; then mkdir -p /etc/mail; else :; fi ../../devtools/bin/install.sh -c -o root -g bin -m 0600 statistics /etc/mail/statistics Please read INSTALL if anything fails while installing the binary. /etc/mail/submit.cf will be installed now. cd ../../cf/cf && make install-submit-cf make[1]: Entering directory `/usr/local/source/sendmail-8.12.5/cf/cf' ../../devtools/bin/install.sh -c -o root -g bin -m 0444 submit.cf /etc/mail/submit.cf make[1]: Leaving directory `/usr/local/source/sendmail-8.12.5/cf/cf' Please read INSTALL if anything fails while installing the binary. You must have setup a new user smmsp and a new group smmsp as explained in sendmail/SECURITY. mkdir -p /var/spool/clientmqueue chown smmsp /var/spool/clientmqueue chgrp smmsp /var/spool/clientmqueue chmod 0770 /var/spool/clientmqueue ../../devtools/bin/install.sh -c -o root -g smmsp -m 2555 sendmail /usr/lib for i in /usr/bin/newaliases /usr/bin/mailq /usr/bin/hoststat /usr/bin/purgestat; do \ rm -f $i; \ ln -s /usr/lib/sendmail $i; \ done ../../devtools/bin/install.sh -c -o bin -g bin -m 444 sendmail.0 /usr/share/man/cat8/sendmail.8 cp: /usr/share/man/cat8/sendmail.8 を作成できません: ファイルもディレクトリもありません。 make: *** [install-docs] Error 1 * パッチをあてた際のログ # patch -p0 < sendmail.8.12.security.cr.patch << /usr/local/bin/patch。 Hmm... Looks like a unified diff to me... The text leading up to this was: -------------------------- |--- sendmail/headers.c 13 Jan 2003 19:30:28 -0000 8.266.4.3 |+++ sendmail/headers.c 16 Jan 2003 23:31:17 -0000 -------------------------- Patching file sendmail/headers.c using Plan A... Hunk #1 succeeded at 672 (offset -4 lines). | Hunk #18 succeeded at 1353 (offset -4 lines). Hmm... The next patch looks like a unified diff to me... The text leading up to this was: -------------------------- |--- sendmail/main.c 8 Jan 2003 23:09:59 -0000 8.887.2.17 |+++ sendmail/main.c 14 Jan 2003 02:38:58 -0000 -------------------------- Patching file sendmail/main.c using Plan A... Hunk #1 succeeded at 4227 (offset -196 lines). Hmm... The next patch looks like a unified diff to me... The text leading up to this was: -------------------------- |--- sendmail/parseaddr.c 26 Sep 2002 23:03:39 -0000 8.359.2.3 |+++ sendmail/parseaddr.c 14 Jan 2003 02:38:58 -0000 -------------------------- Patching file sendmail/parseaddr.c using Plan A... Hunk #1 succeeded at 2508 (offset -1 lines). Hmm... The next patch looks like a unified diff to me... The text leading up to this was: -------------------------- |--- sendmail/sendmail.h 12 Dec 2002 22:46:35 -0000 8.919.2.15 |+++ sendmail/sendmail.h 14 Jan 2003 02:38:58 -0000 -------------------------- Patching file sendmail/sendmail.h using Plan A... Hunk #1 succeeded at 324 (offset -70 lines). Hmm... Ignoring the trailing garbage. done