.
Mailサーバー => セキュアメールサーバー構築 > 2.Sendmail 接続制限に関する設定 ~踏み台にされないために
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

Sendmail 接続制限に関する設定 ~踏み台にされないために

メールサーバーの仕組みとアクセス制限について

メールサーバーは、メールを送受信(配送)を行う SMTP サービスと、メールと受け取りに行く POP サービスの二つのサービスから構成されています。Sendmail は前者のサーバープログラムになります。

例えば、ホスティングサービスなどのメールサーバーで組織内(同じドメイン)間でのメールの受信、送信の通信経路を暗号化で保護するには、SMTP / POP3 双方でこれらの仕組みを提供する必要があります。

この章で構築する内容は、POPサーバー、メールを受け取りに行くサービスを構築することになります。

Sendmail アクセス制限に関する設定

SMTPの利用を許可するホスト名を指定します。 ここで指定されたクライアントは、無条件で利用できるようになります。

/etc/mail/access

192.168.1.0/24 RELAY

SMTP AUTHで、それぞれにアクセスを認めたい場合は、 逆に記述する必要はありません。SMTP AUTH の認証をパスすればRelayは許可されます。


Sendmailを/etc/access ファイルで指定したクライアントに利用を認めるには
/etc/hosts.allow に以下を追記します。(Sendmail8.12(smmsp)の仕様変更に伴う)

/etc/hosts.allow

sendmail: ALL

外部からの利用を暗号化保護の条件付きで認めるため、ALLと設定します。 限定できるなら限定した方がいいでしょう。( 8.12以降、ALLにしないと動かなかったような気がします。FedoraCore2 では未確認です。)



ローカルホストネームを指定します。@以降を別のドメイン名で受信したい場合のイントラネット向けの設定です。通常は指定の必要はありません

/etc/mail/local-host-names
.

第三者不正中継の確認

外部ネットワークから、第三者に不正中継を行わないようになっているかは、以下のサービスを利用することで確認できます。

これで、accessに指定されたネットワークからはSMTPサーバーとして認証なしで利用可能になります。基本的に外部からのスパム対策 不正中継対策はこれでOKです。AUTH STMP(SMTP認証)を許可する場合、ネットワークの窓口を広げるか、制限しない事が多いと思います。

この場合、設定を誤ると逆に踏み台にされてしまいます。SMTPに認証機構を与えるということは、抜け道を開けるという行為ともいえます。実際、メールサーバーを運用していると毎日のように不正中継が試みられ、中にはツールを使ったあからさまな総当り攻撃が仕掛けられる事もしばしばです。(その殆どが中国、韓国から)

sendmailを再起動することで、accessファイルの内容はaccess.dbに反映されます。sendmailはaccess.dbファイルを参照しているので再起動が必要となります。

SMTPサーバーが利用できるようになったので、次はPOP3サーバーを構築します。

bottom_mark
ページ最上部
ページ最上部 前のページ