メールサーバ管理者のための迷惑メール学外送信防止対策

メールサーバ管理者のための迷惑メール学外送信防止対策
情報部情報基盤課セキュリティ対策掛
1.
はじめに
セキュリティ対策掛では、学外への迷惑メール転送を防止するため、迷惑メールを
学外に転送しているメールサーバ管理者に防止対策を依頼しています。
迷惑メールの転送防止対策は KUINS ニュースに記載のように、いくつかの方法があ
りますが、もっとも簡便な対策法を説明します。
2.
部局メールサーバから見たメールの配信経路
(ア) 前提
部局メールサーバは、直接学内外とメール通信を行わない。
(第 5 項)
(イ) 学内外からのメール受信
学内外からのメール受信に際しては、最初に、KUINS のウィルスチェックと迷惑
メールチェックを経由し、部局のメールサーバへ配信する。
(第 3 項)
(ウ) 学内外へのメール送信
部局メールサーバからのメール送信は、KUINS の送信サーバを経由し迷惑メール
やウィルスメールは学外に出さない。
(第 4 項)
図1 部局メールサーバにおけるメール配信の経路
3.
部局メールサーバの受信経路設定
学内外からのメール受信を KUINS のウィルスチェックと迷惑メールチェックを経由
して部局メールサーバに配信するように設定します。
設定は、
(ア)のように DNS を登録します。登録方法は、KUINS 管理のサブドメイ
ンの場合は KUINS-DB に DNS の登録をすることで完了します。それ以外はサブドメイ
ン管理責任者に依頼してください。
以下では、部局メールサーバのホスト名が mail-server.subdom.kyoto-u.ac.jp で IP アドレ
スが 130.54.123.123 の場合を例に説明します。
(ア)DNS 設定の例
(1) subdom.kyoto-u.ac.jp. IN MX 10 mx1.kuins.net.
(2) subdom.kyoto-u.ac.jp. IN MX 10 mx2.kuins.net.
(3) kuins3mx.subdom.kyoto-u.ac.jp. IN MX 10
mail-server.subdom.kyoto-u.ac.jp.
(4) mail-server.subdom.kyoto-u.ac.jp. IN A 130.54.123.123
(5) kuins3mx.subdom.kyoto-u.ac.jp. IN A 130.54.123.123
(イ) (ア)の説明
(1), (2) のレコードにより、受信メールは mx1.kuins.net および mx2.kuins.net へ
送られます。mx1.kuins.net および mx2.kuins.net は、受信したメールを迷惑メール
チェックサーバへ転送します。迷惑メールチェックサーバは、迷惑メールおよび
ウィルスメールをチェックした上で、ウィルスメールは削除、迷惑メールには
X-Kuins-Spam ヘッダを付与します。
次に迷惑メールチェックサーバは、(3) のレコード見て subdom.kyoto-u.ac.jp 宛の
メールは mail-server.subdom.kyoto-u.ac.jp に送られるものだと知り、(4) のレコード
を見て IP アドレスあてに転送します。(5) は、kuins3mx が正しく機能するための
設定です。ここでは、(4) mail-server.subdom.kyoto-u.ac.jp と同じ IP アドレスを記載
します。
4.
部局メールサーバの送信経路設定
メールの送信先を KUINS の送信サーバに設定します。設定方法はメールサーバ・ア
プリケーションにより異なりますが、すべてのメールの送信先を sc-filt.kuins.net あるい
は sendmail.kuins.net に設定します。両サーバは学外に送信しようとするウィルスメー
ルを削除し、迷惑メールの処理が前者では削除、後者では受信拒否(エラーコード 554)
と異なります。
(ア) sendmail の設定方法
設定ファイルを書き換えます。sendmail.mc に
define(`SMART_HOST', `sc-filt.kuins.net ')dnl
あるいは
define(`SMART_HOST', `sendmail.kuins.net ')dnl
を追記(すでにある場合は変更)し、
# m4 sendmail.mc > sendmail.cf
とし、sendmail.cf を作り直し、sendmail を再起動します。
※ 他にどうしても直接配信したい経路がある場合は、mailertable を利用してくだ
さい。
[ 参考 ] KUINS News No.39
http://www.kuins.kyoto-u.ac.jp/news/39/virus-mailmlserv.html
(イ) Postfix の設定方法
設定ファイル main.cf にある、relayhost を次のように設定します。
relayhost=[sc-filt.kuins.net]
あるいは
relayhost=[sendmail.kuins.net]
設定後、postfix を再起動します。
(ウ) qmail の設定方法
設定ファイルの smtproutes を編集します。もし存在しない場合は、設定ファイル
のあるディレクトリに、作成してください。
[smtproute の内容]
:sc-filt.kuins.net
← 先頭のコロン ( : ) を忘れないように。
あるいは
:sendmail.kuins.net ← 先頭のコロン ( : ) を忘れないように。
そして、qmail を再起動します。
5.
部局メールサーバを外部から遮断する
本文書に記載の方法(KUINS のメール中継サーバを利用する)でも、25 番ポートが
外部に開放されている場合は、KUINS の迷惑メールやウィルスメールのフィルタが効
かない場合があります。
この対策として KUINS-DB で SMS 登録を行わない(解除する)ことが必須です。
6.
おわりに
一台のメールサーバが迷惑メールを学外に転送していると、京都大学全体が迷惑メ
ールを送信していると判断され、京都大学からのメールが学外機関で受け取り拒否さ
れる可能性があります。
部局メールサーバから学外へ迷惑メールが発信されないよ
う管理者の皆様のご協力をお願いします。