- ベストアンサー
自作メールサーバにおけるセキュリティ
メールサーバーを立てておられる方、教えて下さい。 (1)普通にメールサーバーを立てただけですと、送信したメールのプロパティに自分のグローバルIPが晒されますよね。この状態ってあんまりよろしくない状態なのでしょうか? (2)メールサーバーはルーターを入り口としたLanの中に配置されており、ルーターの設定では、ポート25と110のみメールサーバーに通す状態となっています。(25は必要ないのかな?) メールサーバー機自体はファイヤーウォールがかかっており、ポート25と110しか使えないような設定になっていますが、一連のセキュリティとして何かもう少し意識することはありますか?
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
今後、この手の質問をされるときは、OS/メールサーバのソフトなどは 掲示しましょう。 smtp(25)はどこから接続があるかわかりませんので無理ですが、 pop(110)は接続元のIPアドレスがある程度決まってると思いますので 制限しておく方が良いです。 第三者による不正中継テストを外部から自動的にチェックしてくれるサイトが あります。 メールサーバ自身からtelnetでrelay-test.mail-abuse.orgに接続してください。 # telnet relay-test.mail-abuse.org Trying 204.152.187.123... Connected to cygnus.mail-abuse.org. Escape character is '^]'. Connecting to xxx.xxx.xxx.xxx ... <<< 220 xxx.xxx.xxx ESMTP Sendmail 8.12.7/8.12.7; Wed, 12 Feb 2003 22:57:31 +0900 >>> HELO cygnus.mail-abuse.org <<< 250 xx.xxx.net Hello cygnus.mail-abuse.org [204.152.187.123], pleased to meet you 途中省略 Tested host banner: 220 xxx.xxx.xxx ESMTP Sendmail 8.12.7/8.12.7; Wed, 12 Feb 2003 22:57:31 +0900 System appeared to reject relay attempts (訳)「システムは外部からのリレー接続を排除するように見受けられます」 Connection closed by foreign host. 19件すべてのテストを拒否できたらOKです。
その他の回答 (4)
- kojitti
- ベストアンサー率32% (449/1386)
Interscan等のウイルス対策ソフトも導入されたほうがいいかもしれません。
お礼
回答ありがとうございます。先程リンク先を参照しました。 ウィルス対策として、もちろんウィルスソフトも入れていますが、皆さん実際このような非常に高度なウイルス対策ソフトを導入されているのでしょうか? ちなみに現在はテスト的にWin2KsvrをOSに用いていますので、フリーで動作するAVGをウィルス対策ソフトとして使用していますが、本格的にメールサーバーを立てるのは単なるWin2Kproで、この時はNorton Anti Virusを対策ソフトとする予定です。
#3補足より >イントラでのメールチェックだけでなく、外出先からのメール送受信も行うつもりです。 >この場合popをインターネットに公開しなければなりませんよね? > そうですね。必要になります。 ですが、#2 xjdさんが言われているように、外出先のIPアドレスをなるべく固定し そのIPアドレスのみpop,smtpを許可するようにしましょう。 popのパスワードがクリアテキストで流れるのはこれでは防げませんが(#3で述べたようにAPOPで対応する等) smtpで外部に送信するのなら第三者中継ができることになってしまうと思います。 外出先で固定IPがとれない場合は、VPN専用機器やW2KのIPSec等によって VPNを構築するのがいいかもしれませんね。 (in方向はすべてVPNで通信するようにする)
お礼
#2の方のセキュリティチェックを行いました。いまいち見方が分かりませんが、 <<< 551 Relay is not permitted <<< 501 Recipient is invalid 19件とも上記メッセージばかりでした。でもって最後は、 System appeared to reject relay attempts でしたが、果たしてこれで良いのでしょうか??? kanop_98さんのAPOP絡みで少しばかり疑問が…。 APOPでないとPOPのパスワードがクリアテキストで流れるのであれば、何故に一般のISPはほぼPOPを標準設定としているのでしょうか?対応メールクライアントが少ないからですかね?
(1)やセキュリティについては回答がついているようなので... >ルーターの設定では、ポート25と110のみメールサーバーに通す状態となっています。 > メールサーバの利用形態がわからないですが、 popをインターネット側に公開しているのでしょうか? 同一ルータ配下にPCがあって、そこからpopでこのメールサーバに接続しているのでは? そうなると110/tcpは開ける必要はなくなります。 APOPにしないとユーザ及びパスワードはそのまま流れますので、 あまりpopは公開しないほうがいいかと思います。 後は、in方向だけでなく、万が一内部でトロイ等が紛れ込んだ等のことを考え out方向にもフィルタをかけておいた方がいいでしょうね。 被害者なら自分だけで済みますが、加害者になって賠償問題にでもなったら大変です。 #実際に自分のまわりで、メール転送の設定誤りで、海外留学先に大量にメールが飛んでしまい #そこから数十万円の賠償請求がありました。 #まぁこの件はフィルタでも防げないので、運用の話になりますが...
補足
メールサーバーの利用形態として、イントラでのメールチェックだけでなく、外出先からのメール送受信も行うつもりです。この場合popをインターネットに公開しなければなりませんよね?
- xjd
- ベストアンサー率63% (1021/1612)
>(1)普通にメールサーバーを立てただけですと、送信したメールの >プロパティに自分のグローバルIPが晒されますよね。この状態って >あんまりよろしくない状態なのでしょうか? 外部に公開されているサーバ(またはルータ)なら、そのホスト名や IPアドレスはDNSで検索したら簡単にわかります。 メールのヘッダからも簡単にわかります。 >一連のセキュリティとして何かもう少し意識することはありますか? 第三者による不正中継は拒否されてますか? メールサーバの種類によっては、セキュリティホールが見つかって バージョンアップする事があります。 常に最新版が動いてますか?
お礼
回答ありがとうございます。 そうなんですよ。グローバルIPが晒されることで「アタックがべら棒に増えるのかなー?」「アタックを受けた場合ポート25と110から何かされるのかな?」と心配になりまして質問となりました。 これは外部に公開している以上仕方の無い事と言う解釈で良いですね?と言う事は、セキュリティはサーバーソフトのV-UPとファイヤーウォールに賭けるという事ですね? > 第三者による不正中継は拒否されてますか? サーバーソフトに中継の拒否機能があったので稼動させています。
お礼
>pop(110)は接続元のIPアドレスがある程度決まってると思いますので制限しておく方が良いです。 初心者的質問ですいません。ここで言う「ある程度決まった接続元」と言うのは、DNSサーバーのIPになるのですか? ご紹介頂いたサイトでのチェックは、連休明けにでも試して見ます。
補足
失礼致しました。 ポートの方にばかり注意が行ってまして、OSやサーバソフトはあんまり必要ないかと思い敢えて記述しませんでした。 OS:Win2Ksvr ソフト:Java動作ソフトKirium です。