Kozupon.com    
 
 Sendmailのセキュリティ!


1.迷惑メール( SPAM )

メールサーバを管理していて一番セキュリティ的問題は、不正中継、迷惑メール(SPAM)である。不正中継とは、ご存じの通り目的のサーバをリレー(中継)して第三者へメールを送りつけることである。
これは、ほとんどの場合、加害者の所在が特定でき無い場合が多い。つまり、それを目的にセキュリティの甘いサーバを中継して第三者に迷惑メールを出して加害者が楽しむ行為である。不正中継の対策は、比較的容易に対処できる。しかし、迷惑メールの場合はその対策が非常に困難である。
いまさら、言うまでもなく迷惑メール(SPAM)とは、興味のないメールを他人から何通ももらっちゃって非常に不愉快なメールを言う。昨今、携帯電話の迷惑メールは社会問題になっているくらいである。例えば、インターネットにHPを置いている皆様は覚えがあると思うが、”メールアドレスを相手に教えたこともないのに、何故見知らぬメールが来るのだろう!?”なんて思ったことはないだろうか?
私も初心者の頃はそんな疑問を持ったことがある。しかし、何のことはない!メールアドレスをそこいらじゅうにばらまいていたのである。何故かというと、

@ 自分のサイトの管理者宛のメールリンク
A 友人もしくは他人の掲示板等へ投稿ときにメールアドレスを掲載していた
B 友人にメールを出した場合に、その友人が第三者へメールアドレスをばらまいた。

こんなようなことがある。
私自身について考えてみると、Bはあまり考えられなくても@とAは大当たりである。
つまり、自分でSPAMをくらうきっかけを作っていたのである。@などは、一番の墓穴ほりである(笑)。しかし、@はサイトの性格上管理者のメールアドレスをどうしても記載しなければならない場合があり、この件に関しては何とも言いにくい。
Aに関しては、他サイトの掲示板に投稿してもメールアドレスは記載しなければ問題はない。しかし、掲示板の投稿必須項目としてメールアドレス入力が必要な掲示板が多いので気を付けなければならない。こういう場合は、その掲示板への投稿は止めた方が無難である(笑)。
結局、SPAM対策を考えた場合MTAで出来るだけの対策を講じて置かなければSPAMは防御出来そうもない。


2.不正中継のブラックリスト(ORBS)

さて、不正中継の恐ろしさは何も悪人により自分のメールサーバを中継されることだけではない。ORBSのデータベースに登録されて、登録されてしまったら以降、ORBSデータベースをチェックしているサーバへはメールが送信できなくなってしまう。さらに、不正中継を許可していると言うことは既にSPAM中継に利用されている可能性があり、社会的責任を問われることになり早急に対策を必要とする。
さて、そのORBSってなんだろう?と言うことだが、これは、スパムに反対するボランティア(雄志)で運営されている不正中継ブラックリストデータベースである。URLは、 ORBS であるが執筆時点(2002年9月)では運営を中止している。また、 ORBZ も有ったが(2003年8月)時点ですでに無くなっていた。そこで、 ORDB   が不正中継サイト情報提供サービスを現在行っているようである。この手のサービスはボランティアなので急にサービスの提供を止めてしまう場合があるので注意して欲しい。


3.ORBSのサービス形態

3.1 不正中継データベース登録が行われるまで

不正中継を許すメールサーバがORBSに報告されると、該当するメールサーバに対してORBSが所定の中継テストが自動的に行われる。このチェックにより、メールサーバが不正中継を許す設定になっていたとすると該当するメールサーバの管理者宛へ警告メールが通知される。さらに、警告メールを通知したにも関わらずメールサーバの設定を変更せず放置しておくとデータベースへの登録が行われる。ORBSデータベースに登録されてしまうと、他のメールサーバから受信拒否を受けるなどのメールサーバ運営に支障をきたす事態となる。

3.2 不正中継データベースに登録されちゃったら

ORBSの不正中継データベースから登録を外すには、そのメールサーバが不正中継対策を施し問題を解決した上でORBSに再チェックを依頼する。ORBSでは、登録解除を依頼されたメールサーバを自動的にテストして問題が解決していれば即座にデータベースの登録が解除される。

3.3 ORBSの活用

ORBSに登録されると大変なことになり、めんどくさいイメージがあるがSPAMで困っている当事者になって考えてみるとこのようなメールセキュリティ機関が必要であることが身をもって解ると思う。さらに、ORBSデータベースを利用して不正メールをブロックすることが出来る。SendmailにもORBSデータベースを使って事前に不正中継サーバからのメールを見つけ捨てること設定が可能となっている。


4.SendmailのSPAM対策

では、実際にSendmailでのSPAM対策を説明しよう。

4.1 データベースを利用してメールを拒否する

ORBSデータベースを利用して、そのデータベースに登録されているサーバはブラックリストと考えてメールを拒否する設定を以下に示す。

以下のようにm4マクロ設定ファイルに追加する。

# vi sendmail.mc

以下、内容。

# All rights reserved.
# Copyright (c) 1983 Eric P. Allman. All rights reserved.
# Copyright (c) 1988, 1993
# The Regents of the University of California. All rights reserved.
#
# By using this file, you agree to the terms and conditions set
# forth in the LICENSE file which can be found at the top level of
# the sendmail distribution.
#
#

#
# This is a generic configuration file for Linux.
# It has support for local and SMTP mail only. If you want to
# customize it, copy it to a name appropriate for your environment
# and do the modifications there.
#

省略

FEATURE(dnsbl,`inputs.orbs.org')dnl
FEATURE(dnsbl,`outputs.orbs.org')dnl
FEATURE(dnsbl,`dul.maps.vix.com')dnl
FEATURE(dnsbl,`relays.mail-abuse.org')dnl
FEATURE(dnsbl,`rbl.maps.vix.com')dnl


省略

このような形式でORBSデータベースサイトを羅列する。

4.2 特定のメールを拒否する

以下のようにm4マクロ設定ファイルに追加する。

# vi sendmail.mc

以下、内容


# All rights reserved.
# Copyright (c) 1983 Eric P. Allman. All rights reserved.
# Copyright (c) 1988, 1993
# The Regents of the University of California. All rights reserved.
#
# By using this file, you agree to the terms and conditions set
# forth in the LICENSE file which can be found at the top level of
# the sendmail distribution.
#
#

#
# This is a generic configuration file for Linux.
# It has support for local and SMTP mail only. If you want to
# customize it, copy it to a name appropriate for your environment
# and do the modifications there.
#

省略

FEATURE(`access_db', `hash -T<TMPF> /etc/mail/access')dnl

省略

さらに、実際の拒否リストは/etc/mail/accessファイルへ登録することで有効となる。
この設定ファイルには見覚えがあると思う。これは、中継許可を設定するファイルでもあるので受信の拒否設定と共有した形でファイルを参照するようになっている。受信拒否設定は以下のように設定する。

# vi /etc/mail/access

user@akunin.com       REJECT ← メールアドレスで拒否
hidoihito.net          REJECT ← ドメインで拒否
203.***.***.***        REJECT ← IPアドレスで拒否
spam@              REJECT ← ユーザで拒否

このように、REJECTを右側に書く事により受信拒否となる。

以上

 


 
 
 



Copyright 2005 Kozupon.com.