26-4. FortiMail の IBE とかいろいろ (1) IBE 同じドメインヘのメ−ル送信 `2h/04/E ( secure.txt 付録から ) * できた時の設定 FortiMail にある独自暗号化の IBE、先ずはできた時の設定の様子を書いておく。新しい ことなのでなかなか取りかかれなかったが、案外すんなり動作確認ができた。外部の人へ 送った暗号化メ−ルも自社のこの FortiMail で保管するという、あんまり面白くない!。 [暗号化]->[IBE]->{IBE暗号化} "IBEサ−ビスを有効" チェックした。"IBEサ−ビス名"に [Encryption Test ] と記入した。2000B と 200Dを見た"セキュアメ−ルの返信を許可"〆、 "セキュアメ−ルの転送を許可"□、"セキュアメ−ルの作成を許可"□、となっていた。 [プロファイル]->[セキュリティ]->{暗号化}既に設定したのがあった。"プロファイル名" IBE_Pull(灰色)、"プロトコル" IBE、"暗号化アルゴリズム" AES-256、 "アクション" 暗 号化(灰色)、"失敗時のアクション" 破棄/DSN送信、"IBEアクション" Pull。 [ポリシ−]->[ポリシ−]->{ポリシ−} の <受信者ポリシ−> のコンテンツに設定追加。 -------------------------------------------------------------------------------- | 有効 ID 方向 送信者パタ−ン 受信者パタ−ン ドメイン名 コンテンツ |------------------------------------------------------------------------------- | 〆 1 受信 "@" *@nix.co.jj nix.co.jj test-profile-recv -------------------------------------------------------------------------------- コンテンツ test-profile-recv の中で、添付ファイルのスキャンル−ルで、〆image。こ のアクションは test-action-recv として作成し、〆暗号化 [IBE_Pull ] だけチェック。 [ポリシ−]->[ポリシ−]->{ポリシ−} の のコンテンツは関係しなかった。 -------------------------------------------------------------------------------- | 有効 ID 送信者元 宛先 セッション アンチスパム コンテンツ IPプ−ル |------------------------------------------------------------------------------- | 〆 1 0.0.0.0/0 0.0.0.0/0 -------------------------------------------------------------------------------- [ポリシ−]->[アクセス制御]->{受信} は関係しなかった。 IBE の設定に関する所はない。 "TLSプロファイル" はあるが。{受信} は有効〆で先に設定したまま。{送信} は設定は空。 取りかかって1時間で動作確認できた。 FortiMail-200D をメ−ルストアとして設置して あるのを使ってテストした。装置内にユ−ザのアカウントを ikken と test1 を作ってあ る。Webメ−ルでユ−ザ ikken でログインし ikken@nix.co.jj から test1@nix.co.jj にメ−ルを送って暗号化されるのをみた。メ−ル本文に "こんにちは" と書いたのは暗号 化されなかった。画像ファイルを添付したら暗号化された。 [モニタリング]->[ログ]->{ヒストリ} 分類 Attachment Filter、処理 Encrypt というロ グが出ていた。{暗号化} にもメッセ−ジ IBE PULL message sent from xxx to yyy とい うログが出ていた、さらに IBE の設定を始めた際に出たログが3つあった、 メッセ−ジ Starting ibed、 Starting ibekeygen、ibekeygen: Master Key Pair generated. Id=[1]。 これら3つはメ−ルなのか?、{ヒストリ} にはこれらに関するログは出てなかった。 * できた時の様子 FortiMail のWebメ−ル画面の{受信トレイ}に来たメ−ル、クリックしてその下の画面。 noreply@nix.co.jj テスト1-Secure Message You have received a secure ... ------------------------------------------------------------------------ | 閉じる 返信 全員に返信 転送 移動 その他 |----------------------------------------------------------------------- | 件名: テスト1 | From: noreply@nix.co.jj | To: test1@nix.co.jj |----------------------------------------------------------------------- | | --------------------------------------------------------------------- | | You have received a secure message | | ------------------------------------------------------------------- | | Read your secure message by cliking the link below, The Web | | browser will be launched and prompt you to log in. | | | | [click this to open the secure message] << クリックしたら下の画面が出た。 | | | | If you have concerns about the validity of this message, | | contact the sender directly. | | | | Help -- Help | | About FortiMail Registered Envelope Service -- About | --------------------------------------------------------------------- 下の画面はすんなりとは出なかった。URLで開こうとして yobi.nix.co.jj を名前解決 できなかった。このパソコンの D:\Windows\system32\drivers\etc\hosts にエントリを 記述した、"yobi.nix.co.jj このパソコンのIPアドレス" と。 ------------------------------------------------------------------------ | https://yobi.nix.co.jj/module/semail.fe?fewReq=:B:JVQw../... |----------------------------------------------------------------------- | --------------------------------------------------------------------- | | Encrypt Test [Help] | | | | From: ikken@nix.co.jj | | To: test1@nix.co.jj | | Subject: テスト1 | | Password: [test1 ] << ユ−ザ test1 のパスワ−ドを入力。 | | | | [Open] << これクリックしたら下の画面が出た。 | |-------------------------------------------------------------------- | | Encrypt Test Copyright (c)2010 Fortinet,Inc. All Right Reserved. | --------------------------------------------------------------------- ------------------------------------------------------------------------ | https://yobi.nix.co.jj/m/webmail/Webmail.html#/mailbox/SecureMail?... |----------------------------------------------------------------------- | FortiMail 200D test1@nix.co.jj 〇(人型のマ−ク) |----------------------------------------------------------------------- | 閉じる 返信 全員に返信 その他 |----------------------------------------------------------------------- | 件名: テスト1 | From: noreply@nix.co.jj | To: test1@nix.co.jj | ---------------------------------------------------------------------- | |こんにちは | | | | | | | ---------------------------------------------------------------------- | @テスト画像.jpg [すべて保存] ↑ クリックしたら Windowsフォトビュ−ア−が開いて画像を表示した。 * メモ ここまでのテストで、予備の FortiMail で社内ユ−ザ間で IBE 方式なる暗号化のデモを 見せることができる。異なるドメインヘのメ−ル送信してのテストは難しいので。 [ユ−ザ−]->[IBEユ−ザ−] 内のメニュ−はここまででは何もいじってない。 {アクティ ブユ−ザ−} {IBE認証} {IBEドメイン} 内は空である。 改めて FortiMail の "ゲ−トウェイ" と "サ−バ−" モ−ドの違いは。"サ−バ−" モ− ドでも IBE の設定はできる。メ−ルストアとして社内に設置で外からアクセスできない。 どういう添付ファイルを暗号化するのか。どこへ送る場合に暗号化するのか。細かい制御 ができるみたいである。いろいろ細かい挙動の調査もしないといけない。 (2) IBE 異なるドメインヘのメ−ル送信 `2h/05/s * BlackJumboDog でのテスト BlackJumboDog にまたお出まし願う。 以前にテストでやった通り BlackJumboDog 設定し たけど。Outlook から送信エラ−が出た、サ−バ−エラ−: 553 ikken@nix.con... Relay operation rejected。同じパソコン内での Outlook から BlackJumboDog への送受信の確 認を先ずはやって、すぐにできると思ったのがハマッてしまった。前日までテストしてい た MDaemon が影響していた。同じパソコンに MDaemon をインスト−ルした。Windows の メニュ−のプログラムから [MDaemonを開始] で起動すると思ってしまう、 実はパソコン を起動すると MDaemon もバックグラウンドで起動しているのだ。 昨日までのテストでそ のことはフ−ンと気付いてはいたのだが。MDaemon を特に気にすることなくインスト−ル するとこういうことになっている。 [MDaemonを停止] して BlackJumboDog のメ−ルテス トやったらすんなり送受信できた。こんなことで半日潰してしまった。 PC1 の Outlook から FM に向けて test1@nix.con を送信。テスト画像.jpg を添付して。 Outlook Outlook FortiMail の[ポリシ−]->[ポリシ−]-> (ikken) (test1) {ポリシ−} の <受信者ポリシ−>は上記 PC1△ ------> FM□ PC2△BJD のまま、コンテンツ test-profile-recv B .3| .2| .4|(test1) 指定して。PC2 で FM に POP3 アクセス -------------------------------------- して test1@nix.con 取得できた。 画像 nix.co.jj nix.co.jj nix.con を添付しても暗号化されることなく来た。 FortiMail は "サ−バ−" モ−ド。[メ−ル設定]->[設定]->{メ−ルサ−バ−設定}ロ−カ ルドメイン:[nix.co.jj]、SMTPサ−バ−ポ−ト番号:[25]、SMTP over SSL/TLS 〆、SMTPS サ−バ−ポ−ト番号:[465]、〆リレ−ホストへ配送:[relay]。{リレ−ホストリスト}リス ト名:[relay]、ホスト名/IP:[B.4]、ポ−ト:[25]、SMTPS使用 □、□ 認証要求。 PC1 は自分が普段使っているパソコン。メ−ルもこれの Outlook を使っている。 テスト で PC1 の Outlook から FortiMail 予備機にメ−ル送信してみる。 Outlook の送信メ− ルサ−バの指定IPを変えるだけでいい。 PC1 の Outlook ではアカウント ikken、メ−ル アドレス ikken@nix.co.jj、受信メ−ルサ−バ B.2、送信メ−ルサ−バ B.2、暗号化なし。 PC2 の BJD の設定は。[オプション]->[メ−ルサ−バ]->[メ−ルボックス]->[利用者] に test1。〆POPサ−バを使用する、[ACL] 禁止する。〆SMTPサ−バを使用する、ドメイン名 nix.con、[ACL] 禁止する。PC2 の Outlook でアカウント test1 作成、 メ−ルアドレス test1@nix.con、受信メ−ルサ−バ B.4、送信メ−ルサ−バ B.4、暗号化なし。 以下、ポリシ−の適用をきちんとやったら IBE 暗号化ができた。 1) [ポリシ−]->[アクセス制御] {送信} だけ設定している、IBEの設定項目はない。 2) [ポリシ−]->[ポリシ−]->[IPポリシ−] デフォルトは 送信元と宛先 とも任意。 3) [ポリシ−]->[ポリシ−]->[受信者ポリシ−] nix.co.jj 宛メ−ルを対象に処理。 [受信者ポリシ−] は nix.co.jj ドメイン宛のメ−ルが対象になる。つまりここでの設定 では社内から社内宛のメ−ル、社外から社内宛のメ−ルが該当する。 今 PC1 の Outlook で test1@nix.con へ送る。nix.co.jj 宛ではないので "受信者ポリシ−"には合致しない。 [IPポリシ−] の送信元と宛先がどちらも任意の 0.0.0.0/0, 0.0.0.0/0 に合致する。 ポリシ−の適用順序は上のようにだと聞いたが違うのでないか。[受信者ポリシ−]の方が [IPポリシ−] より先になるのでないか。[IPポリシ−] のコンテンツのところにプロファ イルを作って入れた。アクションは 〆暗号化 [IBE_Pull ] だけチェック。添付ファイル のスキャンル−ル 〆image。"image" だから拡張子 JPG は入るだろうという予想して。 * Outlook でメ−ル受信 ------------------------------------------------------------------------ | テストです | noreply@nix.co.jj | 宛先: test1@nix.con |----------------------------------------------------------------------- | | --------------------------------------------------------------------- | | You have received a secure message | | ------------------------------------------------------------------- | | Read your secure message by cliking the link below, The Web | | browser will be launched and prompt you to log in. | | | | [click this to open the secure message] << クリックしたら下の画面が出た。 | | | | If you have concerns about the validity of this message, | | contact the sender directly. | | | | Help -- Help | | About FortiMail Registered Envelope Service -- About | --------------------------------------------------------------------- ----------------------------------------------------------- | https://yobi.nix.co.jj/module/semail.fe?wReq=:B:JVE... |---------------------------------------------------------- | Encryption Test1 << "Test1" は test1@nix.con の "test1" から。 | | From: ikken@nix.co.jj | To: test1@nix.con | 件名: テストです | | ユ−ザ−登録されていません。まず最初に登録してください。 | | [登録] ------------↑--------------------------------------------- クリックしたら下の画面がすぐに出てきた。 ----------------------------------------------------------- | https://yobi.nix.co.jj/module/semail.fe?wReq=:B:JVE... |---------------------------------------------------------- | Encryption Test1 | | 新規ユ−ザ−登録 | ------------------------------------------------------- | メ−ルアドレス:[test1@nix.con ] | 言語、タイムゾ−ン、名、性、パスワ−ド、パスワ−ド確認、<< パスワ−ドはとり | 秘密の質問1、秘密の質問2、秘密の質問3 あえず henomohe1 | 位を入れておく。 | [登録] ----------------------------------------------------------- ----------------------------------------------------------- | https://yobi.nix.co.jj/module/semail.fe?wReq=:B:JVE... |---------------------------------------------------------- | Encryption Test1 | | 新規ユ−ザ−登録 | ------------------------------------------------------- | ユ−ザ−登録に成功しました。セキュアドキュメントを開く | ことができます。 | [次へ] ----------------------------------------------------------- ----------------------------------------------------------- | https://yobi.nix.co.jj/module/semail.fe?wReq=:B:JVE... |---------------------------------------------------------- | Encryption Test1 | | From: ikken@nix.co.jj | To: test1@nix.con | 件名: テストです | パスワ−ド: [henomohe1 ] | | [開く] ----------------------------------------------------------- ------------------------------------------------------------------------ | https://yobi.nix.co.jj/m/webmail/Webmail.html#/mailbox/SecureMail?... |----------------------------------------------------------------------- | FortiMail 200D test1@nix.con 〇(人型のマ−ク) |----------------------------------------------------------------------- | 閉じる 返信 全員に返信 その他 |----------------------------------------------------------------------- | 件名: テストです | From: ikken@nix.co.jj | To: test1@nix.con | ---------------------------------------------------------------------- | |こんにちは | | | | | | | ---------------------------------------------------------------------- | @テスト画像.jpg [すべて保存] ------------------------------------------------------------------------ "IBEユ−ザ−" というのが外部とやりとりしているメ−ルのアカウント情報ということに なる。外部のメ−ルユ−ザの人に自分でパスワ−ドなどを記入してもらって登録されると いうことである。FortiMail の [ユ−ザ−]->[ユ−ザ−]->{ユ−ザ−} とは別物である。 nix.con [ユ−ザ−]->[IBEユ−ザ−]->{アクティブユ−ザ−} に記入したのがあった。 あり。 ------------------------------------------------------------------------↓------ | アクティブユ−ザ−| 期限切れユ−ザ− | セキュアな質問 | IBE認証 | IBEドメイン | ------------------------------------------------------------ | 削除 メンテナンス ユ−ザ−のリセット |------------------------------------------------------------------------------- | 有効 メ−ルアドレス 名 性 ステ−タス 作成日時 最終アクセス |------------------------------------------------------------------------------- | 〆 test1@nix.con nanasi satou 有効 2017年05月01日 2017年05月02日 {セキュアな質問} は "秘密の質問" で聞いて来るのがある。 英語や日本語など各国の言 語での質問がある。日本語のを見ると質問の数は8個、一番上は "あなたの好きな食べ物 はなんですか?" になっている。デフォルトは8個全部に〆がしてある、 項目を減らすな り質問事項を変えるなりすればいい。うっとうしいので全部〆外してしまおうか、そうし てみた。相変わらず3つの質問はあって、文面が出てなかった。答えは記入しないといけ ないみたいで書いたけど 登録 できなかった。仕方ないので質問の〆を1番から3番まで いれた。そこで分かったのだが1番の質問がでてない。2番の質問からでているのだ。つ まり2番から4番を〆しておかないといけないということ。おかしな癖というかバグだ。 * 注意 MDaemon はテストに使わなくなったらパソコンから削除すること。このソフトウェアはパ ソコンのOSに常駐している。知らないでいるとまたメ−ルのテストをする際に、はまる かも知れない。パソコンのロ−カルの TCP/25 番ポ−トの SMTP パケットを横取りしてし まう。MDaemon の TLS 暗号化で FortiMail と STARTTLS の動作確認をしてみたい気がせ んでもないが、Gmail のメ−ルアカウントを使って FortiMail から STARTTLSで暗号化し たのを確認できたので、よろしい。それにダウンロ−ドしたのは暗号化機能も限定されて いるようで、フル機能使えるお試し版は他の物のようである。ところで STARTTLS の読み はスタ−トTLSだろうと思う。いつの間にか自身、心の中で文字列そう言っていた。 (3) IBE 暗号化の細かな動作確認をする * IBE 暗号化の細かな動作確認 とりあえず2日間で IBE 暗号化の動作確認はできた。 メ−ルの返信、転送、保存ができ ない、らしい。暗号化されたメ−ルはメ−ルボックスに保存されない、らしい。どう言う ことか引き続き確認する。そもそも FortiMail 内にはメ−ルは保存しない運用なのだが。 推理しよう。下のメニュ−を見て "セキュアメ−ルの作成を許可" というのは、外部の人 が社内の人に暗号化メ−ルを送ることができるということだと思う。Outlook には暗号化 したファイルは来ない訳で、該当ファイルを見るのはWebメ−ルでということか。 Webメ−ルでということは、FortiMail 内に外部の人に送ったメ−ルが存在していると いうことになるけど。1回見たら消えるのかな。そんな外部の人のメ−ルを、自社設置の メ−ルサ−バに保存しておくなんてことは、ちょっとおかしい。ディスク容量も困るぞ。 それで {IBE暗号化} の設定画面に "暗号化メ−ルの保存期間(日):[180 ]" というのがあ るのか。しかしやはり腑に落ちない。Webメ−ルで該当ファイルを見て、それを相手が 自分のパソコンにセ−ブしたら。暗号化は解かれている訳で相手が扱いを注意しないと。 * 動作確認1 1) [暗号化]->[IBE]->{IBE暗号化} にて セキュアメ−ルの返信を許可 〆 セキュアメ−ルの転送を許可 □ セキュアメ−ルの作成を許可 □ ------------------------------------------------------------------------ | https://yobi.nix.co.jj/m/webmail/Webmail.html#/mailbox/SecureMail?... |----------------------------------------------------------------------- | FortiMail 200D test1@nix.con 〇(人型のマ−ク) |---------------------------------------------------- ------------------ | 閉じる 返信 全員に返信 その他 |設定 | |---------------------------------------------------- |フルUIに切り替え| | 件名: テストです |ログアウト | | From: ikken@nix.co.jj ------------------ | To: test1@nix.con | | {フルUIに切り替え} して更に {クラシックUIに切り替え} たのが下の画面。 ------------------------------------------------------------------------ | https://yobi.nix.co.jj/m/mail/FEWebmail.html |----------------------------------------------------------------------- | FortiMail 200D test1@nix.con |ヘルプ|ログアウト |----------------------------------------------------------------------- | | 暗号化メ−ル | |------------------| -------------------------------------- | システムフォルダ | 削除 保存 返信 全員に返信 既読にする 未読にする | 下書き |---------------------------------------------------- | 送信済アイテム | From 件名 日付 サイズ | 暗号化メ−ル |---------------------------------------------------- | 設定 | "ikken" テストです 14:29:22 65 ------------------------------------------------------------------------ ログアウトしたら https://yobi.nix.co.jj/m/mail/FEWebmailLogin.html になり、 アカ ウントを入れる画面になった。 ユ−ザ−名 test1、パスワ−ド henomohe1 を入れたが駄 目だった。試しに FortiMail 装置内の通常ユ−ザに登録したのはログインできた。 とい うことはこの画面は IBE 暗号化のではない、通常のWebメ−ルの画面である。 * 動作確認2 2) [暗号化]->[IBE]->{IBE暗号化} にて セキュアメ−ルの返信を許可 □ セキュアメ−ルの転送を許可 □ セキュアメ−ルの作成を許可 □ ------------------------------------------------------------------------ | https://yobi.nix.co.jj/m/webmail/Webmail.html#/mailbox/SecureMail?... |----------------------------------------------------------------------- | FortiMail 200D test1@nix.con 〇(人型のマ−ク) |----------------------------------------------------------------------- | 閉じる その他 |----------------------------------------------------------------------- {フルUIに切り替え} して更に {クラシックUIに切り替え} たのが下の画面。 ------------------------------------------------------------------------ | https://yobi.nix.co.jj/m/mail/FEWebmail.html |----------------------------------------------------------------------- | FortiMail 200D test1@nix.con |ヘルプ|ログアウト |----------------------------------------------------------------------- | | 暗号化メ−ル | |------------------| -------------------------------------- | システムフォルダ | 削除 保存 返信 全員に返信 既読にする 未読にする | 下書き |---------------------------------------------------- * 動作確認3 3) [暗号化]->[IBE]->{IBE暗号化} にて セキュアメ−ルの返信を許可 〆 セキュアメ−ルの転送を許可 〆 セキュアメ−ルの作成を許可 〆 ------------------------------------------------------------------------ | https://yobi.nix.co.jj/m/webmail/Webmail.html#/mailbox/SecureMail?... |----------------------------------------------------------------------- | FortiMail 200D test1@nix.con 〇(人型のマ−ク) |----------------------------------------------------------------------- | 閉じる 返信 全員に返信 転送 その他 |----------------------------------------------------------------------- {フルUIに切り替え} して更に {クラシックUIに切り替え} たのが下の画面。 -------------------------------------------------------------------------------- | https://yobi.nix.co.jj/m/mail/FEWebmail.html |------------------------------------------------------------------------------- | FortiMail 200D test1@nix.con |ヘルプ|ログアウト |------------------------------------------------------------------------------- |メ−ル作成 | 暗号化メ−ル | |------------------| ---------------------------------------------- | システムフォルダ | 削除 保存 返信 全員に返信 転送 既読にする 未読にする | 下書き |------------------------------------------------------------ 画面左の方に "メ−ル作成" が追加されていた。右画面の方には "転送" が追加されてい た。クラシックUI というのは、以前から馴染みのある画面である。 この画面をログアウ トしてまた、ログインからやると元の画面になっている。 それに Outlook のメ−ルのリ ンク先をクリックして、この画面を出すのだが IE ではログインできない。仕方ないので WebのURLをカット&ペ−ストして Firefox のブラウザからアクセスした。 とりあ えず IBE については、ここら辺りまでにしてメ−ルサ−バ間の TLS 暗号化の検討に戻る。 (4) 運用でいろいろ FortiMail を触る `2h/04/m * アウトブレイク防御とは ( fortisd.txt 付録から ) 手書きのA4程度のメモをスキャンして pdf化したファイルが添付されてあったメ−ルが、 FortiMail の装置内のホワイトリストで通過しないといけないはずが {ユ−ザ−隔離} さ れていた。FortiGuard のサイトのブラックリストには載っていた。 [アンチスパム]->[ブラック/ホワイトリスト]->[システム] の {ホワイトリスト} には以 前 *@tcp.or.jj を登録してあった。[ポリシ−] の [受信者ポリシ−] の{アンチスパム} で 〆FortiGuardスキャン のところ、〆ブラックIPスキャン、□ヘッダ内のIPをスキャン、 〆フィッシングURI、□スパムアウトブレイク防御。検知したらユ−ザ隔離に入れる。 スパムアウトブレイク防御にはチェック入れてないのだから、これで引っかかるのはおか しい。どうなっているのか。スパムアウトブレイク防御は新たな攻撃や標的型攻撃に対抗 する高度なアウトブレイク防御という説明。映画でアウトブレイクというのがあって爆発 的なウィルスの増加、蔓延のことを言っていた。FortiMail のは意味が違うようだ。 [ログ]->[ヒストリ] で見た 日付 2016-03-28 時間 17:21:52 分類 FortiGuard Outbreak 処理 Quarantine; Defer Disposition From user1@tcp.or.jj To ikken@nix.co.jj ポリシ−ID 0:2:1 レベル information [ログ]->[アンチスパム] で見た 時間 17:21:40 メッセ−ジ FortiGuard-AntiSpam identified spam IP:1.2.3.4 score:3 タイプ spam 時間 17:21:52 メッセ−ジ FortiGuard-AntiSpam identified spam IP:1.2.3.4 score:3 タイプ spam 時間 17:21:40 メッセ−ジ System White List; ikken@tcp.or.jj; list entry *@tcp.or.jj タイプ spam * Fortinet 社のブラックリストをチェックした ( fortisd.txt 付録から ) -------------------------------------------------------------------------------- | http://www.fortiguard.com/static/ip_lookup.html |------------------------------------------------------------------------------- | IP & Signature Lookup | | To check whether an IP address is blacklisted in our IP reputation database, | or whether a URL or email address is in our signature database, | please enter IP, URL or email address: | | Enter a URL: [ 1.2.3.4 ] | | "1.2.3.4" is blacklisted in the IP reputation database. | | If you believe the above IP address or URL or email address is not | correctly listed, enter your comments and submit the IP address or | the signature for review. | | □Check to submit the signature, generally reviewed and updated in 24 hours. | | Enter your contact email address, to be notified of this signature update: | [ ikken@nix.co.jj ] | Enter your comment: | [ Please remove above IP address from FortiGuard blacklist. ] 上記のメ−ルの発信元のIPアドレスを記入、コメント欄にブラックリストからこのIP アドレスを削除してくださいと書いて、□Check のところには〆して、絵文字を入れてサ ブミットした。5分ほどしてIPアドレスを入れてまたチェックしてみたら、ブラックリ ストのデ−タベ−スには無いとでた。えらくすぐに処理してくれたものだ。削除しました とのメ−ルも ikken@nix.co.jj 宛に届いた。 * 幾つかの確認をできればやりたい FortiMail のファ−ムウェアのバ−ジョンアップは > 関連する Fortinet社の製品である FortiGate に FortiSandbox のバ−ジョンも検討し ないと。バ−ジョン間の対応もあるし、FortiMail だけ単純にファ−ムウェアアップす ればいいという事でない。これらはシステムで稼働していると言っていい。ん−難しい。 メ−ルデ−タを本番機から予備機に移行できないか > FortiMail 間でメ−ルデ−タのコピ−をやるには。IMAP4 でやるというのは置いておい て。[メンテナンス]->[システム]->{メ−ルデ−タ} でもやれそう。 メニュ−を見ると 個々のメ−ルデ−タをリストアできるみたい。NASの TeraStation も触ってみよう。 本番機のコンフィグレ−ションをセ−ブし予備機に > これ一度試しておきたい。ハ−ドディスクの容量が異なると、ア−カイブするようにし たりしていると、コンフィグレ−ションがそのまま適用できないことが起こる。それ以 外は概ね問題ないのでないか。RAID の違いなんかも影響するだろうな。 Windows OSとブラウザのバ−ジョンによる違いは > FortiMail 自体へのアクセス、FortiMail の WebMailがブラウザの種類やバ−ジョンに よってちゃんと表示しないことがある。 ブラウザはIEはだめとか Mozilla はよかっ たとか。メ−ル受信ができないとかもあるみたいだし。先ずはざっと大きく検討だ。 FortiMail の予備機を用いてメ−ルリレ−にしよう > 動作確認にはメ−ルストアも必要だ。Cobalt Qube3 を仕立てるか。 手持ちの機器では これしかないか。 OpenBlockS もあるけど、以前に扱った際これはなかなか設定するの が厄介だったと思う。パソコンソフトの BlackJumboDog も使えるだろう。 FortiMail の予備機を用いて暗号化メ−ルにトライ > 予備機を用いて暗号化メ−ルのテストをやってみる。 FortiMail 独自の IBE がテスト するにはやり易いかな。 一般的なメ−ル暗号化は SMTP over TLS と STARTTLS がある。 STARTTLS の方がより使われているみたいなので、こっちを注力してトライしてみる。 暗号化の SMTP over TLS と STARTTLS は同じ物か > 別物である。SMTP over TLS は使用するポ−ト番号は歴史的経緯で実装による、大抵は 465番が使われる。STARTTLS は最初は平文で開始、相手も対応していると暗号化になる、 ポ−ト番号は通常の SMTP の 25番、サブミッションポ−トを使う場合も同じく587番。 TLS 暗号化用の証明書はパブリックでないとダメか > 「NETWORK MAGAZINE」2008/02, P.108〜111,"メ−ルサ−バに認証と暗号化を実装する"。 の記事によればそう。110 ペ−ジに "サ−バの身元を保証するには公的なCA(認証局) 証明書を発行してもらう必要がある"。多分間違いだと思う、この記事は参考程度まで。 計画停電時の事前シャットダウンと復電の動作確認 > 3年に一度の法定点検の時に確認した。FortiMail 200D と 2000B を停電前にシャット ダウンした。これらはUPSにつないでいる。復電して 2000B は起動してきたが 200D は起動しなかった。200D の前面のランプはついていたが ping も反応なかった。 電源 スイッチがないので電源コネクタを抜き差しした。それで起動してきた。 * 設定のセ−ブとリストア [メンテナンス]->[システム] -------------------------------------------------------------------------------- |設定|メ−ルデ−タ|メ−ルキュ−|トラフィックキャプチャ| | --------------------------------------------------------------------------- | | --設定のバックアップ---------------------------------------------------------- | | 〆システム設定 | | ロユ−ザ−設定 | | バックアップ前にユ−ザ−設定ファイルをアップ [アップデ−ト][リフレッシュ] | | ロIBEデ−タ | | バックアップ前にIBEデ−タファイルをアップデ [アップデ−ト][リフレッシュ] | ------------------------------------------------------------------------------ | [バックアップ] ← これクリックしたら xxx.cfg などの名前でセ−ブされる。パソコ | ンのログオンのユ−ザのフォルダ−のダウンロ−ドに入った。 | | --▽スケジュ−ルバックアップ---------- | | -設定のリストア----------------------- | | ファイル名: | | [ ][参照] | -------------------------------------- | [リストア][キャンセル] | | -ファ−ムウェアのリストア------------- | | ファイル名: | | [ ][参照] | -------------------------------------- | [リストア][キャンセル] | | トレ−スダウンロ−ド... ---------------------------------------- 設定のバックアップ、ファ−ムウェアのリストア。FortiMail-2000B の設定をセ−ブして 200D にリストアしたらどうなるか、一度やってみること。200D を予備機から本番機にす る場合、ユ−ザのアカウントやエイリアスやホワイトリストがコピ−されるか確認したい。 * 自分のメ−ルの様子をみた ( forti4.txt 付録から ) Webメ−ルで自分のメ−ルで溜まった様子を見てみた。 Windows 7 の Outlook の設定 は以下のようにしていて。2015/10/02 までのメ−ルが 2015/10/16 時点で FortiMail に 残っていた。隔離も 2015/10/02 までのメ−ルが残っていた。 何となく FortiMail にず っとメ−ルが残っていくのでないかと心配になっていた。パソコンを起動して Outlookの 画面が出て、その時点でメ−ルの送受信が1分ぐらいしないと終わらない。その後はだい たい、すんなり一瞬で終わるのだが。ひょっとしてメ−ルが大量に溜まっていて、毎日最 初に Outlook を使う際に何がしかリストを作るのに時間がかかるのでないか。 そんなこ とを思っていた。フォ−ティネットのエンジニアにちらっと聞いたら、そんなことはない でしょうと言っていた。まあそんなもんらしい、気にしなくてもいいか。 [電子メ−ルアカウント]->[アカウントの変更]->{詳細設定} ---------------------------------------------------------- | 全般 | 送信サ−バ− | 接続 | 詳細設定 | |----------------------------- ------------------ | 略 | 配信 --------------------------------------------------- | 〆サ−バ−にメッセ−ジのコピ−を置く | 〆サ−バ−から削除する [14 ]日後 | □[削除済みアイテム]から削除されたら、サ−バ−から削除 | | * アカウントとエイリアスのこと ( forti4.txt 付録から ) すでに FortiMail 装置内にアカウントを作ってある。ユ−ザ名 tarou でメ−ルアドレス tarou@nix.co.jj としようか。メ−ルも来て溜まっているとしよう。誰もそのメ−ルを取 らないでいるとしよう。エイリアスで tarou@nix.co.jj 宛は jirou@nix.co.jj に転送す るようにしてみる。tarou@nix.co.jj -> jirou@nix.co.jj 転送設定、tarou@nix.co.jj宛 には転送しない。これで tarou@nix.co.jj にメ−ルを送った。 tarou@nix.co.jj にはメ −ルは来なくて、jirou@nix.co.jj にはメ−ルは行った。tarou@nix.co.jj に来たメ−ル は先に溜まったそのままだった、新しいメ−ルはなかった。それからアカウント tarouを 消した。エイリアス tarou@nix.co.jj -> jirou@nix.co.jj はそのままだった。更に再び アカウント tarou、tarou@nix.co.jj を作った。エイリアスはそのまま使えるということ tarou@nix.co.jj 宛の溜まっていたメ−ルは0になっていた。FortiMail v5.3.1 にて。 * ウィルスの入ったメ−ルを扱うには ( endles.txt 付録から ) Webメ−ルの画面で tomo@nix.co.jj に来たメ−ルを転送する、FortiMail に tomo で ログイン。tomo@nix.co.jj に来たメ−ルは、件名 休日出勤について、添付ファイル "届 け出用紙.xls"。このメ−ルをWebメ−ルの画面で kenn@nix.co.jj に転送した。 kenn に届いたメ−ル Outlook でみた ------------------------------------------------------ |差出人: tomo@nix.co.jj |宛先: kenn@nix.co.jj |件名: トモさんへ |---------------------------------------------------- |メッセ−ジ メ−ルの転送_トモさんへ.eml(1.46 MB)(1 MB) |--------------------- ↑ |Test desu これクリックして出たのが下。 | | ↓ --------------------------------- |差出人: soumu@nix.co.jj |宛先: tomo@nix.co.jj |件名: 休日出勤について |-------------------------------- |メッセ−ジ 届け出用紙.xls(1 MB) ←これがウイルスだったら、これをクリックすると |-------------------------------- 危険ということ。ZIP ファイルの場合ではその中 |総務からのお知らせ うんぬん にウィルスのファイルが、xxx.wsf や xxx.js と | かある。 * ZIP 添付ファイルのウィルス ( endles.txt 付録から ) FortiMail と FortiSandbox でログを追っていって、ようやく分かってきた。ん?何が?。 -------------------------------------------------------------------------------- | http://fortiguard.com/encyclopedia 2016年9月末頃 |------------------------------------------------------------------------------- | 〇 FortiGuard Center |------------------------------------------------------------------------------- | Home | Web Filtering | App Control | Encyclopedia | Intrusion & Vulnerability |------------------------------------------------------------------------------- | □[]All |------------------------------------------------------------------------------- | □[]Viruses □[]Botnet C&C □[]Intrusion Prevention □[]Mobile □[]Apps |------------------------------------------------------------------------------- | Encyclopedia Search [ 虫眼鏡 7024603 ][ Search ] Showing 0-1 of 1 |------------------------------------------------------------------------------- | Title |------------------------------------------------------------------------------- | Malware_Generic.PO << クリックしたら詳しい情報が出た。[]Viruses の中にあった。 Virus: Malware_Generic.PO、Released Apr 15,2016 □[]Botnet C&C のところだけに〆して [ Search ] をクリックしたら、 ボットネットが リストされてきた。Encyclopedia Search [ 虫眼鏡 HydraCrypt ][ Search ] とやったら 下記の Ransom.HydraCrypt だけリストされた。 |------------------------------------------------------------------------------- | Title |------------------------------------------------------------------------------- | DDoS.DirtJumper | Android malware | KeyBase | Ransom.HydraCrypt | | (5) FortiMail の初期設定を参考に `2h/04/m * FortiMail-200D の初期設定 ( fortisd.txt 付録から ) ファ−ムウェアは 2015/12 月初め時点の最新バ−ジョン、v5.2,build460,xxx(5.2.6 GA)。 ともかく手を付けていない状態での初期設定を書き出した。以前のバ−ジョンとの比較も ところどころメモ書きしておいた。後で改めてここ書いたのを見たら、モ−ドのことが書 いて無かった。"サ−バ−" モ−ドです。工場出荷時は "サ−バ−" モ−ドのはずです。 [モニタリング]->[メ−ルキュ−]->{メ−ルキュ−}{デッドメ−ル} {FortiGuardアウトブレイク防御}{FortiSandbox} [メ−ル設定]->[設定]->{メ−ルサ−バ−設定} ---------------------------------------------------------------------------- | ▲ロ−カルホスト | | << ここは変わっていない。 | | ▼メ−ルキュ− | | ▲送信メ−ル | □リレ−ホストへ配送:[--なし-- ▽][新規] << (A) | □ESMTPを無効 | ▼配送失敗時の制御 << 新しく追加されている。 | ◎再試行 | ○リレ−ホストへ配送:[--なし-- ▽][新規] << (B) | | 上記の (A),(B) はここと連動している。(A),(B)の[新規]で作ったのはここにも出て来る。 メ−ルをリレ−するメ−ルサ−バのIPアドレスとメ−ル配送を失敗した際に送るメ−ル サ−バのIPアドレスは別にすることが出来るということ。 [メ−ル設定]->[設定]->{リレ−ホストリスト} << これも新しく追加された。 [メ−ル設定]->[カレンダ−]->{設定} これは新しくできたメニュ−だ。 □WebDavを有効 〆CalDavを有効 になっている。 [システム]->[設定]->{Sandbox} ---------------------------------------------------------------------------- |□FortiSandbox 有効 | サ−バ−名IP: [ ] [ 接続性テスト(灰色) ] | 管理者メ−ルアドレス:[ ] レポ−トと通知を受け取るメ−ルアドレス | 統計情報間隔: [5 ]分 | | [適用] [キャンセル] [ポリシ−]->[アクセス制御]->{受信} このままでいい、同じ {送信} はなし -------------------------------------------------------------------------------- 有効 送信者 受信者 送信者IP/ネ リバ−スDNS 認証ステ TLSプロ アクション パタ−ン パタ−ン ットマスク パタ−ン −タス ファイル -------------------------------------------------------------------------------- 〆 /* /* 0.0.0.0/0 /* 不問 リレ− [ポリシ−]->[ポリシ−]->{ポリシ−} の "IPポリシ−" "受信者ポリシ−" はなし -------------------------------------------------------------------------------- 有効 送信元 宛先 セッション アンチ アンチウ コンテ IPプ 排他 スパム ィルス ンツ −ル -------------------------------------------------------------------------------- 〆 0.0.0.0/0 0.0.0.0/0 Inbound_Session (X)赤 〆 ::/0 ::/0 Inbound_Session (X)赤 [プロファイル]->[セッション]->{セッション} Inbound_Session Outbound_Session session_basic_predefined [プロファイル]->[アンチスパム]->{アンチスパム} {アクション} AS_Inbound 受信 Discard_Inbound 受信 AS_Outbound 送信 Discard_Outbound 送信 antispam_basic_predefined_high 受信 Reject_Outbound 送信 antispam_basic_predefined_low 受信 SubjectPrepend_Inbound 受信 antispam_basic_predefined_medium 受信 SysQuarantine_Inbound 受信 antispam_basic_predefined_off 受信 SysQuarantine_Outbound 送信 antispam_out_basic_predefined_high 送信 UserQuarantine_Inbound 受信 antispam_out_basic_predefined_low 送信 predefined_as_basic 受信 antispam_out_basic_predefined_medium 送信 predefined_as_out_basic 送信 antispam_out_basic_predefined_off 送信 [プロファイル]->[アンチスパム]->{アンチウィルス} {アクション} AV_In_Discard predefined_av_discard AV_Out_Reject predefined_av_reject antivirus_basic_predefined antivirus_out_basic_predefined [プロファイル]->[アンチスパム]->{コンテンツ} {アクション} CF_Inbound 受信 Discard_Inbound 受信 CF_Outbound 送信 Discard_Outbound 送信 content_basic_predefined 受信 Encrypt_Pull_Outbound 送信 content_out_basic_predefined 送信 SysQuarantine_Inbound 受信 SysQuarantine_Outbound 受信 UserQuarantine_Inbound 受信 predefined_content_basic 受信 predefined_content_out_basic 送信 [プロファイル]->[リソ−ス]->{リソ−ス} misc_basic_predefined 1つだけあり。 ------------------------------------------------------- | リソ−スプロファイル |ドメイン: [--システム-- ] 灰色 |プロファイル名: [misc_basic_predefined ] 灰色 |ユ−ザ−アカウントステ−タス 〆有効 |ディスククォ−タ(MB): [500 ] << この値を変えるぐらいのこと。 | |-ウェブメ−ル設定--------------------- ||〆ウェブメ−ルアクセス || 〆モバイルデバイスアクセス || 〆新着メ−ルの自動確認 || アドレス帳の参照 || 〆ドメインアドレス帳 || □グロ−バルアドレス帳 || || □メッセ−ジフィルタ || 〆Auto reply || 〆Auto forward |-------------------------------------- | |-メ−ル保存--------------------------- ||一般フォルダ(日): [0 ] ||送信済みフォルダ(日):[0 ] ||ゴミ箱(日): [14 ] |-------------------------------------- ------------------------------------------------------- [プロファイル]->[辞書]->{辞書}{グル−プ} 新設されたメニュ−。 [ログとレポ−ト]->[ログ設定]->{ロ−カルログ設定} --------------------------------------------------------------------------- |〆有効 | |ログサイズまたは設定時間に達した時、ログファイルはロ−テ−ションされます。 |空きディスク容量 190333(MB) |ログファイルサイズ:[20 ](MB) |ロギング期間: [10 ](日) 時:[0:00 ▽] |ログレベル: [Information ▽] |ディスクがフルになった場合のログオプション |◎上書き ○ロギングしない | チェックがあるのを列挙。 |▲ロギングポリシ−設定 ↓ |〆 イベントログ 設定変更、管理者ログイン/ログアウト、システムアクティビティ、 | SMTPサ−バ−イベント、アップデ−ト、HA、ウェブメ−ルイベント、 アンチウィルスログ、アンチスパムログ、ヒストリログ、暗号化ログ ※チェックが無いのは POPサ−バ−イベント と IMAP4サ−バ−イベント の2つ。メ−ル ストア本番機でもそのままで稼働。IMAP4 はメ−ルソフトで使ってないので構わないが、 POPサ−バ−イベント にも〆すれば、いつユ−ザがメ−ルを取ったかが分かる。たまに メ−ルが届いてないと言ってくるユ−ザに対してログで調べることができる。 [メンテナンス]->[システム]->{設定} ---------------------------------------- これ押してみた。そしたら Tue Dec 3 | -設定のバックアップ------------------- などと作業した時刻がでた。どうなっ | | 〆システム設定 ているのか。セ−ブされたのか?。 | | ロユ−ザ−設定 ↓ | | ユ−ザ−設定ファイル最終アップデ−ト:Tue Dec3 ..[アップデ−ト][リフレッシュ] | | ロIBEデ−タ | | バックアップ前にIBEデ−タファイルをアップデ−ト [アップデ−ト][リフレッシュ] | -------------------------------------------------------------------------------- | [バックアップ] これクリックしたら config_v52b0460_XXXX_XX_XX-XXXX.cfg 等と | 出てファイルが保存された。D:\users\ikken\ダウンロ−ド に入っ | 略 た。ウィルスチェックなどの設定はなし、送受信だけの設定の状態 | をこれでセ−ブしておいたということ。 | -設定のリストア----------------------- | | ファイル名: | | [参照] | -------------------------------------- | [リストア][キャンセル] | | -ファ−ムウェアのリストア------------- | | ファイル名: | | [参照] | -------------------------------------- | [リストア][キャンセル] | [メンテナンス]->[アンチスパム]->{デ−タベ−ス} ----------------------------------------------------------------- | デ−タベ−ス保守 | |ベイジアンデ−タベ−スバックアップ (灰色) |最初にベイジアンデ−タファイルをアップデ−トしてください。 | [アップデ−ト][リフレッシュ] |ベイジアンデ−タベ−スのリストア |ベイジアンデ−タベ−スの初期化 |ベイジアンデ−タベ−スの修理 |(デ−タベ−スの強制修正) [メンテナンス]->[FortiGuard]->{アンチスパム} << 最新ファ−ムウェアで --------------------------------------------- もここは変わってない。 | FortiGuardクエリ | クエリタイプ ◎IP ○URI ○ハッシュ | -------------------------------- | | | | -------------------------------- | [クエリ] | クエリ結果: | クエリスコア: | | FortiGuardアンチスパムオプション | 〆サ−ビスを有効 | FortiGuardサ−バ−ポ−ト:[53 ▽] | スパムアウトブレイク防御:[低 ▽] | | [Monitor]->[Sender Reputation]->[Display] 日本語画面では "送信者評価" と出る。 IP Score State Last Modifiled ------------------------------------------------------------------------ 192.168.1.9 0 Score Controlled Wed,02 Dec 2015 14:53:58 JST 192.168.1.6 0 Score Controlled Thu,19 Nov 2015 02:16:58 JST * 新しいファ−ムウェアでは `2h/06/E 2017年6月末頃の事で。SCSK(株)の FortiOSダウンロ−ドのペ−ジへ、を見ると http://www.scsk.jp/sp/fortinet/download.html。FortiMail には 200D, 200E, 400E の があり、バ−ジョンは 5.2.6 ... 5.3.1 から 5.3.9 があった。ソフトバンク社のサポ− トサイトでは最新は FortiMail 5.3 Patch8 build0627 だった。このリリ−スノ−トには 2016年12月9日リリ−スとあった。Version は 5.3.8、200D から 2000B まで用あ り。FortiMail 200D 用のバ−ジョン 5.3.8 をダウンロ−ドした。 メ−ルリレ−の設定をしてテストしていた FortiMail-200D。現行バ−ジョンの 5.3.1 を 5.3.8 にアップしてみる。 管理者アクセス https://192.168.1.8/admin でログインして。 現状の FortiMail の設定をバックアップする。[メンテナンス]->[システム]->[設定] 画 面の [設定のバックアップ] のところで、〆システム設定 で [バックアップ]をクリック。 パソコンでD:\Users\ikken\ダウンロ−ド\config_何たらかんたら.cfg ファイルができた。 FortiMail の [モニタリング]->[システム]->{ステ−タス} 画面にてバ−ジョンアップ。 ファ−ムウェアは v5.3,build580,160129 (5.3.1 GA)。動作モ−ドは [ゲ−トウェイ ▽]。 下記の[参照]でパソコンに落としたファイルを選び[ アップロ−ド ]。一瞬で終わったみ たい。 ちっとも画面が変わらないおかしいなと思ったけど、もう既に 5.3.8 になってい た。どこか設定の画面が変わったとか、メニュ−が追加など変更されたとか一通り見たが 特に気付かなかった。比較したのは "26-3. FortiMail メ−ル暗号化の検討,(5)メ−ルサ −バ間の暗号化のテスト,* MR' FortiMail予備機の設定"、バ−ジョン 5.3.1 にて。 ------------------------------------ ファ−ムウェアをバ−ジョンアップするのでは | Choose Firmware | 設定はそれまでのが引き継がれる。初期設定に |----------------------------------| に戻ったりはしない。まあそうでないと困るが。 | [参照..] FML_xxxx-FORTINET.out | これから新しいのを触って見て、変わった所に | [ アップロ−ド ][ キャンセル ] | もし気付いたら、以下に書いて行くとしよう。 ------------------------------------ 2016/08/04 に入手した「メ−ル無害化ソリュ−ション導入ガイドを公開」。 これを参考 に見ると [メ−ル設定]->[設定]->{設定} が追加されているかな。 [プロファイル]->[コ ンテンツ] のところも変わっているようだ。自治体情報システム強靭化向上モデルという のがあって、地方自治体ではメ−ルを無害化しないといけないらしい。内ではメ−ル無害 化はしない、この設定も運用もはなはだ面倒である。ともかくメ−ルリレ−の設定も運用 もシンプルにする。サンドボックス連携なし。セッションで基本的なチェックのみやる。 [メ−ル設定]->[設定]->{設定} --------------------------------------------------------- | アクションプロファイル設定 | | 別サ−バ−にリレ− ◎処理後のメ−ル ○処理前のメ−ル | | 元の配送先にリレ− ◎処理後のメ−ル ○処理前のメ−ル | | システム隔離 ◎処理後のメ−ル ○処理前のメ−ル | | ユ−ザ−隔離 ◎処理後のメ−ル ○処理前のメ−ル | |[適用][キャンセル] | --------------------------------------------------------- メ−ルストアの FortiMail のバ−ジョンは v5.3.1 である。 何かの時に v5.3.8 にあげ ることにしよう。夏休みに出勤するとか、計画停電があるとか。メ−ルリレ−用に購入し て直に納入される物のファ−ムウェアのバ−ジョンも多分 v5.3.8 だろう。FortiSandbox のファ−ムウェアもそろそろアップせないかんかと思ったが、SI業者のサポ−トサイト を見たら最新は v2.32 で、内のはこれだった。 FortiGate-800D が v5.2.10 でやや古い。 最新は FortiOS 5.4 で幾つかのパッチも出ている、画面が変わるのだ、どうするかな。