TeamWARE Office 200X V2.0 管理者ガイド
目次 索引 前ページ次ページ

第8章 MIMEゲートウェイの管理> 8.9 スパムメールフィルタ

8.9.1 コネクションフィルタ

ここでは、コネクションフィルタに含まれる2つの機能(IPフィルタ機能、SMTPフィルタ機能)について説明します。

◆IPフィルタ機能

IPフィルタ機能は、MIMEゲートウェイのSMTPレスポンダスレッドへの接続を制限する機能です。接続に関する制限機能としては、“8.8 外部からの接続制限”で説明した「allow_ip_address」と「no_relay」がありますが、この機能はそれを拡張したものです。

この機能では、外部からSMTPレスポンダへの接続に対して、IPアドレスをチェックすることにより、「接続」や「Relay」の許可/拒否が設定できます。これにより、見知らぬネットワークからの接続や、中継機能を悪用した不正メールの第三者中継などを防ぐことができます。

◆IPフィルタ機能の設定

IP フィルタ機能のフィルタ定義は、ipfiltersファイルに記述します。ipfiltersファイルには、「ACCEPT」、「REJECT」、「RELAY」の3つのセクションが存在し、それぞれにIPアドレスの範囲を記述します。セクションの意味を以下に示します。

セクション名

説明

[ACCEPT]

このセクションに定義されたIPアドレスは、接続を許可されます。

[REJECT]

このセクションに定義されたIPアドレスは、接続が拒否されます。

[RELAY]

このセクションに定義されたIPアドレスは、中継が許可されます。

なお、各セクションに同じIPアドレスがかかれた場合の優先度は、以下のようになります。

[RELAY] > [ACCEPT] > [REJECT]

また、どのセクションにも属さないIPアドレスの接続権限は、許可となります。中継については、no_relayオプションの設定に依存します。

[RELAY]セクションによる中継権限の制御を行う場合は、no_relayオプションの設定を行う必要があります。中継が許されない設定を行った場合、外部からはTeamWAREのベースアドレスを持っているアドレスにしかメールを送ることができなくなります。

no_relayオプションはto.iniの[MIME]セクションに記述し、パラメータにより、以下の動作をします。

no_relay=0

すべての中継を許します。(デフォルト)

no_relay=1

すべての中継を拒否します。(TeamWAREの内部宛のみ送りことができます)

no_relay=2

送信者アドレスのベースアドレスがTeamWAREのベースアドレスと一致する場合のみ、中継を許します。

no_relay=3

ipfiltersファイルの定義により中継が制御されます。

上記以外の値を指定した場合の動作は、0が指定された場合と同じになります。

no_relay機能の設定値とIPフィルタ機能の各セクションに書かれたIPアドレスとの関係は以下のようになります。

no_relay=0の場合

セクション

接続

中継

デフォルト

[REJECT]

×

×

[ACCEPT]

[RELAY]

no_relay=1の場合

セクション

接続

中継

デフォルト

×

[REJECT]

×

×

[ACCEPT]

×

[RELAY]

×

no_relay=2の場合

セクション

接続

中継

デフォルト


送信者アドレスが
TeamWAREの場合は許可

[REJECT]

×

×

[ACCEPT]


送信者アドレスが
TeamWAREの場合は許可

[RELAY]


送信者アドレスが
TeamWAREの場合は許可

no_relay=3の場合

セクション

接続

中継

デフォルト

×

[REJECT]

×

×

[ACCEPT]

×

[RELAY]

各セクションに記述するIPアドレスのフォーマットは、CIDR形式で記述します。CIDR形式では、標準的な32ビットIPアドレスを表現することができます。さらに、先頭から有効なビット数を指定することができます。

例えば、CIDR形式は「206.13.01.48/24」のように記述します。この「/24」が先頭から24ビットが有効なネットワークアドレスという意味になります。ipfiltersの定義のフォーマットを以下に示します。

{CIDR address range}, {logging}

ipfilters定義

フォーマット

説明

CIDR address range

IPアドレス

IPアドレスをCIDR形式で記述します。

logging

on または off

onの場合、動作ログを出力します。省略時はspam.iniの初期設定に依存します。

ipfiltersのフォーマットに違反した場合、以下のようなメッセージがspamfilter.logに出力されます。

#tomime# INFO 2004-01-16 05:40.46 pid:444/1772 1bc/6ec 128
070411 SPAM: IP filter: Line 2, invalid syntax :aaa.bbb.ccc.ddd:

CIDR形式の基本的な記述例を以下に示します。

1.2.3.4/32;1.2.3.4のみ
1.2.3.0/24;1.2.3.0〜1.2.3.255
1.2.0.0/16;1.2.0.0〜1.2.255.255

ipfiltersの記述例

#
# Reject list
#
[REJECT]
12.129.164.128/25 ; Rejects all from 128-255 BRIGHLIGHTOFFERS.COM (spam)
63.110.128.0/20 ; NetRange: 63.110.128.0 - 63.110.143.255
205.179.40.0/24 ; NetRange: 205.179.40.0 - 205.179.40.255
205.179.0.0/16 ; NetRange: 205.179.0.0 - 205.179.255.255
211.157.36.4/30 ; Blocks 36.4-36.7
211.157.36.8/31 ; Blocks 36.8-36.9

#
# Accept list
#
[ACCEPT]
12.129.164.171/32 ; Allows this specific IP address
#
# Relay list
#
[RELAY]
10.142.130.0/24 ; All local addresses can relay

◆IPフィルタ機能とallow_ip_addressオプションについて

allow_ip_addressオプションとIPフィルタ機能が同時に指定された場合は、allow_ip_addressオプションが優先されます。そのため、IPフィルタ機能を有効にするためには、allow_ip_addressオプションの定義を削除し、設定をipfiltersに記述しなおす必要があります。

allow_ip_address形式からCIDR形式への変換テーブルを以下に示します。

1.2.3.4
1.2.3.*
1.2.*

→ 1.2.3.4/32
→ 1.2.3.0/24
→ 1.2.0.0/16

;1.2.3.4のみ
;1.2.3.0〜1.2.3.255
;1.2.0.0〜1.2.255.255

allow_ip_addressオプションは、オプションに指定されているIPアドレスしか接続が許されないようにするオプションです。記述されているIP以外は接続拒否となります。したがって、allow_ip_addressをipfiltersに転記する場合は、以下のような記述になります。

[REJECT]
0.0.0.0/0 ;デフォルトはすべて拒否

[ACCEPT]
1.2.3.0/24 ;allow_ip_addressからCIDRに変換して転記。

◆IPフィルタ機能のログ出力

IPフィルタにチェックされた場合、spamfilter.logにログを出力します。

以下にログの例を示します。

#tomime# INFO 2003-11-26 02:08.58 pid:1672/1800 688/708 128
070403 SPAM: IP filter (#5:Start:10.123.113.128 - End:10.123.113.255(Can relay)) matched 10.123.113.145

◆SMTPフィルタ機能

SMTPフィルタ機能は、MIMEゲートウェイのSMTPレスポンダスレッドとSMTPサーバ間で会話されるSMTP(Simple Mail Transfer Protocol)を制限する機能です。

この機能により、特定の送信者、受信者アドレスによりメール拒否などが行えるようになります。

◆SMTPフィルタ機能の設定

SMTP フィルタ機能のフィルタ定義は、smtpfiltersファイルに記述します。

smtpfiltersの定義のフォーマットを以下に示します。

{Command}, {Pattern}, {Action}, {Logging}

smtpfilter定義

フォーマット

説明

Command

HELO
MAIL
RCPT

チェックするSMTPコマンド名を記述します。

Pattern

文字列

一致条件の文字列を記述します。

Action

Accept
Reject:text

Acceptは許可である。Rejectの場合は、「:」で区切って、応答メッセージを記述します。

logging

on または off

onの場合、動作ログを出力します。
省略時はspam.iniの初期設定に依存します。

なお、ActionがRejectの場合、応答メッセージも記述する必要があります。応答メッセージは、フリーテキストですが、メッセージの最初は、RFC2821に定義される応答コード(例えば550など)の範囲内である必要があります。

また、Patternには、カンマ「,」を含む文字列は指定できません。

smtpfiltersのフォーマットに違反した場合、以下のようなメッセージがspamfilter.logに出力されます。

#tomime# INFO 2004-01-16 05:40.46 pid:444/1772 1bc/6ec 128
070411 SPAM: Message filter: Line 1, invalid command :aaaa:

以下にコマンドとその用途について説明します。

smtpfilters の記述例を以下に示します。

HELO, bigbadspammer.com, reject:550 Mail not allowed from this domain, on
MAIL, @hotmail.com, reject:550 Mail not accepted from hotmail, off
MAIL, gooduser@hotmail.com, accept, off


◆SMTPフィルタ機能のログ出力

SMTPフィルタにチェックされた場合、spamfilter.logにログを出力します。

以下にログの例を示します。

#tomime# INFO 2003-12-25 05:57.20 pid:824/1888 338/760 128
070403 SPAM: SMTP filter (#1:HELO:mail.com:Action:reject) matched mail.com

◆SMTPフィルタ機能の一致条件について

SMTPフィルタ機能は、一致条件に書かれた文字列とSMTPコマンドで送られてきた文字列を比較します。

指定された文字列がコマンドに含まれた場合、一致したと判断します。なお、一致条件{Pattern}を省略した場合、すべてに一致することになります。


目次 索引 前ページ次ページ

Copyright(C) TeamWARE Group Oy 2005 and Fujitsu Limited 2005 and/or their licensors