EIMS 3.3 Documentation 日本語訳

提供:maruko2 Note.
移動: 案内, 検索

目次

EIMS 3.3 にアップグレードするときの注意点

EIMS 3.3 は SMTP HELO/EHLO コマンドと SMTP グリーティング時に、ドメインネームを使用します。
そのため、ドメイン設定の項目が IP アドレスになっていないよう、確認してください。
もし IP アドレスになっていたら、DNS で A レコードになっているドメインに変更し、Domain aliases: のリストから IP アドレスを 削除(Remove)してください。

EIMS Domains window.png

EIMS 3.3 の SMTP 接続のリザーブ(SMTP Host List の SMTP connections reserved ...)には 3 種類の優先順位があります。
接続のリザーブ数はデフォルトで 4 と 2 で、もし、Connection settings で SMTP connections (Connection settings の SMTP Server:) を 4 以下にすると、SMTP Host List に入らなくなり、何もできなくなります。
最低 20 の SMTP connections (Connection settings の SMTP Server:) で EIMS を設定するすることを勧めます、そして EIMS を新規インストールしたときのデフォルトとします。
もし、SMTP 接続のリザーブを増やすならば、十分な SMTP connections にしてください。
SMTP 接続のリザーバは、ポート 25 番の SMTP トラフィックを優先しようとします。
クライアントがポート 25 番を使うのと同時に、クライアントは、動的 IP アドレスからも接続します。クライアントからの接続は、IP アドレスを基準にすることはできないことを意味します。
EIMS 3.2 以上には、2 つめの SMTP ポートがポート 587 番にあり、メールサーバのクライアントからのみ使用可能で、SMTP AUTH を要求します。
許可されたクライアントは、ポート 25 番にいくら負荷があっても、メールを送るためにサーバへアクセスすることができます。

EIMS Preference SMTP Host List.png


SMTP Host List

SMTP Host List は、ブラックリストとグレーリストとホワイトリストを組み合わせたものです。
グレーリストや、自動で登録する機能を使用しない場合であっても、SMTP Host List はブロックやホワイトリストを手動で登録するのに使用することができます。
EIMS 3.2 以前のバージョンからアップグレードした場合、SMTP Host List は IP Range Restriction for SMTP と DNS Filter Exclusion ファイルを、より高度に簡単に置き換えることができます。
ホストの入力や編集は、手動でするか、Preference - SMTP Host List の設定を元に自動的にするか、フィルタールールによって自動的にするかのいずれかができます。
SMTP Host List のホストは、5種類のステータスのうち Delayed、OK、Whitelist、Blacklist、Block のいずれかになります。
また、SMTP Host List はホストからの Connections、Messages、Unknown Recipient、Request を集計し統計が採れます。
First seen と Last seen の日付が同じ時、First seen は New となります。

メニューの Host List から Add... を選び、ホスト名と IP アドレスの範囲を手動で追加することができます。
Recive Error Log の項目か Mail Log の from の項目を右クリック(コントロール + クリック)することで、ホストのステータスを変えたり追加することができます。

SMTP Host List へ自動で追加するには、Preference - SMTP Host List の Graylisting のいずれかを選択します。
Monitor は、サーバへ最初の接続があるとき、ステータスを OK として、すべてのホストを追加します。
Graylisting non-ESMTP hosts は、正当なメールを最小の遅延で処理するのと同時に、スパムを防ぎます。ほとんどの正当なサーバは ESMTP をサポートし、ほとんどのスパムボットは ESMTP をサポートしていません。

Block hosts that issue HTTP POST commands 設定 (HTTP POST コマンドを発行するホストをブロック) は、スパムを送信するのに使われるオープン HTTP プロキシをブロックするための設定です。

Block prematurely pipelined hosts 設定 (PIPELINE 検査) は、HELO や EHLO コマンドよりも先にデータを送るホストをブロックします。
これは、SMTP 仕様に準拠してなく、通常は、スパムボットによっておこなわれます。

Host List のステータス

Delayed
Delayed ステータスのホストには、Listed until の時間まで 450(メールボックス利用不可のため失敗 一時的)のレスポンスを返します。
Listed until の時間になると、OK ステータスに変わります。
OK
OK ステータスのホストは、Whitelisted と OK ステータス用の SMTP 接続のリザーブを使用することができる以外に、何もしません。
Whitelisted
Whitelisted ステータスのホストは、フィルタの Whitelisted host action が適用されていて、HTTP POST commands や premature pipelining、limits on unknown recipients 設定によってブロックされることはありません。
Whitelisted のホストは、フィルタプラグインにより SMTP AUTH を使用したことのあるクライアントとして扱われます。あるいは、Relay Secirity settings でリレーを許可されたクライアント、フィルタのうち Short Host Filter、Sender Domain Filter、Strict Sender Domain Filter、No Message-ID Filter、DNS blacklist では Whitelisted のホストをチェックすることはできません。
Blacklisted
Blacklist ステータスのホストには、550(メールボックス利用不可のため失敗 恒久的)のレスポンスを返し、エラーが Recieve Error Log に記録されます。
Blocked
Blocked ステータスのホストからの接続は許可しません。これは、EIMS 3.2 以上のバージョンにある IP Range Restriction for SMTP に似ています。
Blocked ホストからの接続があれば Last seen の時間が更新されます。

Listed until 時間

Whitelisted、Blacklisted、Blocked ステータスのホストが接続してきた時、Listed until の時間を経過していて Graylisting が ON ならば、Delayed に切り替わり、Graylisting が OFF ならば、OK に切り替わります。
Delayed ステータス以外のホストが接続してきた時、Listed until の時間が Preference - SMTP Host List - Host Listing time で指定された時間より短かかった場合、延長されます。
Whitelisted、Blacklisted、Blocked のホストから Host listing time の時間内に接続がなければ、同じステータスのままです。

SMTP Host List のホストは、手動で削除するか、Maximum host list size 設定で設定されたメモリ量まで記録されています。
Maximum host list size 設定で設定されたメモリ量いっぱいになると、(Listed until が Permanent になっていない)Last Seen 時間の古いものから削除され、新規のホストを追加します。

重要

Listed until の時間が Permanent のものは、使用期限切れやゴミ箱を空にすることから以外、何もしないでください。
例えば、フィルタや他の設定によって、ブロックされた設定から OK のステータスになるのを防ぐでしょう。
通常、Blocked や Whitelisted のエントリーは Permanent に設定されます。


アップグレード

EIMS 3.2 以前からアップグレードした場合、IP Range Restriction for SMTP は自動変換され SMTP Host List に Blocked ステータスかつ Listed until の時間が Permanent として登録されます。
EIMS 3.2 以前の DNS Filter Exclusion ファイルを使用していたならば、Host List メニューの Import IP Range オプションを使いインポートすることができます。
一般的に、Whitelisted ステータスの IP アドレスをインポートするでしょう。それ以外に、他のステータスの IP アドレスの範囲をインポートすることもできます。


ビルトインフィルタ

EIMS Admin で EIMS へ接続すると、オンザフライでビルトインフィルタのルールを変更したり追加したりすることができます。

正規表現をサポートし. は任意の一文字にマッチし、[ ] カッコ内の一文字にマッチし、? はオプションのマッチのため、+ と * は連続するマッチのため、{ } カッコの中にはマッチする範囲を指定します。
? + * { } は複数の文字にマッチします。
例えば、.* は全ての文字列にマッチし、正規表現の最後に使うだけにしてください。

フィルタルールは、SPAM を送信するホストをトラップするため、SMTP Host List のホストステータスを変更する機能もあります。
知っておいて欲しいことは、自動でブロック、あるいはホストをブラックリストにするルールは、いくつかの悪意のあるトリガーによってサービス妨害のために利用されるかもしれません。

フィルタアクション

Refuse recipient
(RCPT TO フィルタのみ)フィルタにマッチする受取人アドレスを拒否します。
Refuse message
(MAIL FROM と RCPT TO フィルタのみ)フィルタにマッチすれば、メッセージを拒否します。しかし、(その接続中の)直後のメッセージについては影響しません。
Refuse messages
フィルタにマッチすれば、(その接続中の)直後のメッセージも全て拒否します。
Blacklist host
フィルタのマッチすると、ホストは SMTP Host List で Blacklisted ステータスに変えられます。そして、その IP アドレスからのメールは全て拒否されます。
Block host
フィルタにマッチすると、接続をドロップし、そのホストを SMTP Host List で Block ステータスに変えます。そして、その IP アドレスからの接続を許可しません。

EIMS 3.3 のビルトインフィルタのルールは、次のフィルタの機能を完全に置き換えます。

設定する価値のある基本的なルールは、HELO/EHLO で、あなたのサーバと同じ IP アドレス、同じホスト名、同じドメイン名を返してくる場合、ブロックするルールです。
複数のドメインを使用している場合、必要に応じて使用しているドメインを追加してください。
まっとうなホストは、あなたと同じ IP アドレスや同じホスト名、同じドメイン名と答えないので、安全に使用できます。
もしあなたが、同じコンピュータで他のサービスを動かしているならば、ポート 25(むしろ ポート 578)の SMTP のEIMS に接続するかもしれないので、ループバックアドレス(127.0.0.1)やサーバの IP アドレスがホワイトリストに必要かもしれません。
同じコンピュータで他のサービスを運用しているときは、一般的にホワイトリストは良いアイデアです。


辞書攻撃と DoS 攻撃からの防御機能

Graylisting は辞書攻撃を遅くするのに効果があります。
ふるまいの悪いホストをブロックする他の設定と組み合わせることができます。

一般的に辞書攻撃で起こる不明なアドレスをブロックする設定には3種類あり、同一接続中に送信者が不明なもの、受信者が不明なもの、メールアドレスが不明なもの全てをブロックします。
メールアドレスが不明なもの全てとは、送信者が不明で、受信者が不明なものの合計で、SMTP Host List にリストされます。

あるアドレスへのフォワーディングに設定された不明なユーザへのフォワーディングは、(使用されている)ドメインに宛先アドレスはないと考えられます。
同様に、もし Allow unknown MAIL FROM addresses 設定 (メニュー Admin - Domains window の domain settings にある Unknown addresses: 設定) が ON(チェックON)ならば、(使用されているドメインに)送信者のアドレスはないと考えられます。

If a domain has forwarding for unknown users set to forward to an address, no recipient addresses in that domain will be considered to be unknown. Similarly, if the "Allow unknown MAIL FROM addresses" setting is on no sender addresses in that domain will be considered unknown.

Delayed ステータスの大量の接続の後にブロックする設定は、連続して接続してくる(DoS 攻撃の)ホストをブロックするのに役に立ちます。

SMTP Host List に Whitelisted されたホストは、これらの設定によりブロックされることはありません。


SMTP 接続の優先順位

SMTP DoS 攻撃は、サーバの使用可能な SMTP 接続の全てを使用してしまい、正当なメールを通さなくしてしまいます。 DoS (サービス妨害)がアタッカーの意図ではないかもしれません。スパマーが単に大量のスパムを送ろうとしている時に見られます。

A distributed SMTP attack can result in all the available connections on an SMTP server being tied up, resulting in a denial of service that prevents legitimate mail from getting through. Denial of service may not be the intention of the attacker, these sorts of attacks have been seen where a spammer is simply trying to send a huge volumes of spam with no regard for the consequences this may have on the servers for the target domain. In order to minimize the impact of these sorts of attacks, EIMS 3.3 supports 3 level SMTP connection prioritization using the "SMTP connections reserved for Whitelisted and OK hosts" and "SMTP connections reserved for Whitelised hosts" settings. This can be used to prevent untrusted hosts from tying up all the SMTP connections on your server, assuring mail from Whitelisted hosts can always get through, and mail from OK hosts is more likely to get through. When the number of free SMTP connections reaches the "SMTP connections reserved for Whitelisted and OK hosts" setting, only connections from hosts in a Whitelisted or OK state in the SMTP Host List will be accepted. When the number of free SMTP connections reaches the "SMTP connections reserved for Whitelised hosts" setting, only connections from hosts in a Whitelisted state will be accepted.

For example, with the default settings of 16 SMTP connections, 4 reserved for Whitelisted and OK hosts, and 2 reserved for Whitelisted hosts, connections from Blacklisted or Delayed hosts, hosts that are not in the SMTP Host List, and hosts that are past their "listed until" time, will stop being accepted when 12 SMTP connections are in use (4 connections are available). If the number of connections in use reaches 14 (2 connections available), then only connections from whitelisted hosts will be accepted.

If you don't wish to use this feature, set both the connection reserve settings to zero.

It is a good idea to move clients to port 587 for sending mail via SMTP, that way they have their own separate pool of connections to use and will not be affected by a denial of service on port 25. See Email client configuration for more information.


SMTP AUTH

Require AUTH on SMTP Submit 設定は、常に ON になっています。
この設定は EIMS 3.2.5 以上ではデフォルトで ON になっていて、EIMS 3.2 から EIMS 3.2.4 では OFF になっています。
この設定は、ON になるようハードコードされ、将来のバージョンではチェックボックスは無くなるでしょう。

AUTH on SMTP 設定は、ポート 25 番での AUTH(認証)をどのようにするか指定します。

Allowed
これがデフォルト設定で、EIMS の以前のバージョンと同じ振る舞いをします。
ユーザはメールをリレーするのに SMTP AUTH を使うことができますが、SMTP AUTH はローカルユーザのメールを受け取るのに使用する必要はありません。
Disabled
この設定は、ポート 25 番で SMTP AUTH が使用されないようにします。
例えば、全てのユーザが SMTP Submission ポート(ポート 587)を使用していて、ポート 25 を使用してほしくない時に設定してください。
Required
この設定は、ポート 25 の全てのメールで SMTP AUTH を要求します。

重要

この設定は、他のメールサーバがあなたのサーバのメールを止めることになります。
あなたのサーバが、全ての受信メールを処理する SPAM フィルタの背後にあるか、EIMS にフォワーディングする時に SMTP AUTH を使うときだけに使用するようにしてください。


ポート 25 を使用しメールを送信するクライアントは、SMTP Host List の Blacklisted と Delayed ステータスを迂回して SMTP AUTH を使用します。そして、MAIL FROM あるいは RCPT TO フィルターにチェックされないません。ポート 587 を使用するクライアントは、SMTP Host List やビルトインフィルタリングに影響されません。


Logs

SMTP server、SMTP Host List、ビルトインフィルタリングからのエラーは、新しく Receive Error Log になります。
このログには、リモートホストの IP アドレスのフィールドが追加され、SMTP Host List のホストを右クリックすることで、ステータスを素早く変更することができます。
Mail Log も同じことができ、メッセージの from エントリーを右クリックすると、reciver from のホストのステータスを返ることができます。

フィルタプラグインは、ログを再構築する必要があり、エラーは Recieve Error Log に記録されます。


LDAP

LDAP サーバは、有効な宛先であるかチェクする SPAM ファイアウォール/アプライアンスをサポートします。
email オブジェクトの LDAP クエリー、例えば email=user@domain は、SMTP RCPT TO recipient として許可されたアドレスならば "email" を返します。

ユーザの画像が、ユーザフォルダの中に JPEGPhoto.jpg という名前で配置され、LDAP を通して提供されます。
このファイルは 10KB 以下のサイズにしてください。

The LDAP server now supports spam firewalls/appliances checking for valid recipients via LDAP. LDAP queries for "email" objects, eg: email=user@domain, will return an "email" object if that address would be accepted as an SMTP RCPT TO recipient.

Images for users can now be served up via LDAP by putting a file named JPEGPhoto.jpg in to the users folder. The file must be 10KB or less in size.


eimsd

eimsd は EIMS Server のデーモンバージョンです。
Mac OS X 10.4 以上で、launchd から起動することを推奨します。
launched plist ファイルの例は、launchd.plist の man ページを見てください。OnDemand key を削除し、Program arguments array の文字列(eimsd へのパス)を変更し、いくつかのパラメータを追加してください。
テストするために、Terminal から eimsd を起動することができます。
eimsd は次のパラメータをサポートします。

-d
デーモンにする。古いバージョンの OS への互換性のためか、あるいは、起動時の手段としてのみ使用してください。
-p priority
指定したプライオリティで eimsd を起動します。これも、古いバージョンの OS への互換性のためか、あるいは、起動時の手段としてのみ使用してください。または、launchd の Nice key を使ってください。
-u username
TCP ポートを binding した後、指定したユーザーネームで eimds を動作させます。
-g group
指定したグループで eimsd を動作させます。
LINEで送る このエントリーをはてなブックマークに追加
個人用ツール
名前空間
変種
表示
操作
案内
ツールボックス

注目のページ

このサイトのはてなブックマーク数