Hatena::ブログ(Diary)

極楽せきゅあ日記 このページをアンテナに追加 RSSフィード

2006-02-12 Song For Billbao/Michael Brecker

埼スタへの道

[]qmail本

qmail完全解説―qmailを使ったセキュアなメールサーバの構築

qmail完全解説―qmailを使ったセキュアなメールサーバの構築

というわけでこちらの書籍です。

いやあ、この本去年の二月に出たヤツなんですが、いつだっけか某氏から「あの本ヤバい」という噂を教えてもらって、早速ゲット。そのヤバさはちょっと衝撃的でした。

メールサーバーの危険性ってったって結局一番デカいのはリレー(中継)なんだけど、一応説明しとくとこの中継ってのを無制限に許可してしまうと、本来そのメールサーバーの登録ユーザーでない人が、外から勝手にそのメールサーバーを使ってばりばり送信できてしまう状態(第三者中継)という状態になってしまいます。こういうメールサーバーはspamを出す人にとってはとっても美味しいものなんですが(足跡をごまかせるし、受信禁止ブラックリストなどを回避もできる)、それだけにかれらは今でもそういう無防備なメールサーバーを探しまくっているようです。ちょっと前、オープンリレーハニーポット(笑)を置いたら、置いた直後からひっきりなしに来てましたよ。まあ、今どきはボット経由や、フリーメール経由のspam発信が多くなってきてるみたいですけどね。

qmailではrcpthostsってファイルでリレーをコントロールします。

で。この本の中では、P86のあたり(第2部 qmailのインストールとセキュリティ、第6章 よりセキュリティ耐性の高い管理とqmailサーバの構築)にそのへんの解説が書いてあって、

qmailでは、そのSMTPサーバーの送信先として可能になるドメインはホストのリストを持っています。これが「rcpthosts」です。

<中略>

このrcpthostsファイルで送信先を限定できるので、たとえば、外部から来たメールは自分のドメインにしか配信しない、という設定ができます。この設定をすると、qmailはXXX.YYY.com宛委に配信されるメールしか受け付けなくなります。通常はこの方法でオープンリレーを抑止することになります。

rcpthostsの記述の例

mydomain.co.jp     自社のドメインへ送信可能とする
.mydomain.co.jp    自社のサブドメインにも送信可能とする

この時点で微妙に地雷があるのにもしかしたらお気づきかも知れません(笑)。

その数ページ後、P93に、「以下は、よく使われるrcpthostsファイルの例です。」として以下のようなサンプルが掲載されています。

localhost
.sea-star.com
sea-star.com
.mailmagic.org
mailmagic.org
.tramonline.com
tramonline.com
.mailstandards.com
mailstandards.com
.name
.info
.biz
.jp
.com
.net
.org
.gov
.uk
.kr
.ac
.am
.tw
.hk
.cx
.it
.fm
.to
.st
.cc
.nu
.edu
.gr
.su
.cn
.au
.sg
.at

同様の設定例はP50(第2部 qmailのインストールとセキュリティ、第3章 qmailのインストール)にも掲載されています(こちらはリレー先(笑)ドメインがちょっと少なくなってますが、何の慰みにもならないですね)。

さらに、この設定の意味についてはP59(第2部 qmailのインストールとセキュリティ、第4章 qmailの基礎とセキュリティを意識した基本設定)から詳しく解説されています。(4.3.1 rcpthosts)

<前略>

qmail-smtpdはこのRCPTのパラメータをrcpthostsに書かれている「送信可能な宛先リスト」と照合して、もしそのリストに送信先のアドレスが書かれていない場合は、配送を拒否し、そのむねをRCPTコマンドに対するエラーレスポンスとして、送信リクエストをしてきたプログラムに向かって返します。

<中略>

たとえば、韓国のドメインは「.kr」ですが、もしも、韓国からの迷惑メールの受信の機会が非常に多く、かつ、韓国とメールをやりとりする必要がない、ということであれば、まずはこのrcpthostsファイルに「.kr」を加えないようにすることで、サーバーが踏み台になった場合、韓国へ向かうメールはこのサーバーでは送信しない、ということができます。

うーん。

まーどこ探してもすぐ出てくるのですが、一応ポインタを一つ示しておきます。http://www.fmmc.or.jp/~fm/nwmg/TL6.1Svr/secure/mailserver8.html

基本的なことだけおさえておくと、rcpthostsに設定するのはローカルなドメインとか、プロバイダーのメールサーバーですよね。ようするに信頼すべきサーバー、ホストという意味であって、そこにだけは中継して良いですよ、という意味の設定ですよね。

ってぇことはつまり、上記のような設定を行ったら、無制限リレーサーバーになっちまいますよね(笑)。世界中信頼しまくりというか(笑)。まあおそらく、送信可能、というのと中継可能、というのを意味を取り違えている、というところなのでしょうか。

くわばらくわばら(古)。