電子メール - みる会図書館

1. UNIX MAGAZINE 1999年4月号

ファイアウォールの作り方 17 第白崎博生図 1 third-party-relay - 電子メール ( 3 ) 則回、 third-party-relay 対策のノヾッチと sendmail. cf の成疋について説明すると予告しましたが、 third-party- relay 対策だけで予想以 - ヒの分量になってしまいました。そこで、 sendmail. cf の成疋については次号にまわすことにします。 smap と third-party-relay 文このところ、インターネットでは、電子メール酉当医サーバーの中幻機能を悪用する不正アクセスか問題になっていナルの smap では無効になっている転送制限を利用したます。サイトの糸目織の大小や有名 / 無名の別、ネットワー third-party-relay 対策について説明します。クの規インターネット、、の接月、接続形態にかかわらす、 2 月号で紹介したようなネ皮害に遭うおそれがあり third-party-relay 文のます。たとえば、インターネットに初めて接続した寺間パッチを紹介する前に、 third-party-relay 対策の基本後や、そのつど IP アドレスか変わるダイヤルアッフ鮟続的な考え方を説明します。などの場合でも、サーバーを悪用される可能性は十分にあ third-party-relay とは、ある電子メールの送信者も受ります。信者もともに自分のサイトのユーサーではないにもかかわしたがって、外部から電子メールを受け取るように設定らず、メールサーバーがそのメールを処理 ( 中してししている場合は、外部からの侵入や情報の漏洩 ( パスワーまうことです。見方を変えると、あるドメインのユーサード・ファイルの盗難など ) を想定するだけでなく、かならか別のドメインのユーザーへ電子メールを送るとき、無関す third-party-relay 対策も施さなけれはなりません。係な第三者のドメインのメールサーバーに中継させること今回は、 smap に third-party-relay ヌ寸策の機能を追加といえます。メールの送信者と受信者、第三者のメールサする作業をおこないます。ーバーの関係は図 1 のようになります。前回説明したように、オリジナルの FWTK をそのままコンノヾイルしただけの smap には third-party-relay 公衆電話糸釜由で UUCP を用いてデータを送受信して対策の機能がありません。ただし、 smap にこの機能を追いた日罸にには、図 1 のような酉占逶は珍しくなく、むしろー加するパッチがいくつかあり、インターネットから入手で勺なガ去でした。しかし、現在では TCP/IP によってきます。ここでは、そのなかから FWTK 2.1 に対応しインターネットーヒの言 t. 算機と直孑妾続できるので、ドメイていてイ甦リだと思われるパッチを紹介し、さらに、オリジン間の電子メール酉当は、相手ドメインのメール酉占医サーメール転送させたろ 0 0 ドメイン X ドメイン Y メールサーバーローカルドメイン 54 UNIX MAGAZINE 1999.4

2. UNIX MAGAZINE 1999年4月号

ワークステーションのおと一 0 図 2 自宅と ISP の旧 DN ルータ旧 DN 回線 ISP, 104 す。ハブ手動での接続にしているのは、次のような理由からで電子メールを取り込む。 2. デスクトップ PC かノート pc でメーラーを起動し、クロ機能で自動化しています ) 。倒なので、 Windows で動く Telnet クライアントのマし、 ISP との接続を有効にする ( さすがに手竹璞では面 1. ISDN ルータ ( ヤマハ RT100i) に TeInet でアクセス ISP と接続するときは次のようにします。で ISP (lnternet Service Provider) と接続しています。ちょっと話がずれましたが、自宅では図 2 のような構成 Mew から離れられない。を書かなくてはならないので、使い慣れた UNIX 上の・ 1 日に 200 ~ 300 通のメールを読み、それなりに返事高くない。勤務先と自宅とは謝妾した区にあり、電言富にはそれほどたくない。・仕事に関するメールをインターネット経由でやりとりし読み書きしています。これは、次のような理由からです。て TeInet でログインし、 UNIX 上のメーラーを使って事に関する電子メールは、勤務先にダイヤルアップ孑し読と編集部とのやりとりに電子メールを使っています。仕ある PC では、おもにコンピュータ里の情報配信の購次なる野望は、電子メールの定期的な受信です。自宅にに ) 処理できるはすです。おけは、 UNIX 上の本物のシェルで ( 私にとっては簡単・自重妾続にすると、接続したままになってしまうのがちょっと怖い。・ 2 つク妾続先を使い分けるためのルールが、ルータの機能ではうまくできない ( たとえば、勤務先に関連することであれは勤務先経由で Web を参照し、プライべートな用件なら ISP 経由で利用するといった接続のルールはルータでは設定できません ) 。そもそも、自第勺な接続というのカ鮏に合わないだけなのかもしれませんが・・とにかく、このような接続ガ去では、 Windows とその上のメーラーでは一勺な、 ISP 内のメールサーバーを定期的にチェックしてメールがあればダウンロードするという機能力イ吏えません。そこで、いまは出社前に ISP に接続してノート PC に電子メールを取り込み、通勤途中にそれを読むというガ去をとっています。とりあえすはこれでもなんとかなりますが、うつかりしてデスクトップ pc に電子メールを取り込んでしまい、ノート pc にファイルをコピーするといった間抜けなことがときどき起こり、そのたびに不幸な婦寺ちになります。こで UNIX が使えれば、もうすこし便利になるような気がします。メールの耳石ムみは cr 。Ⅱとシェル・スクリプト、 ISDN ルータを使った ISP との孑Æと切断は expect を使えはなんとかなります。さらに、すでに ISP と接続されていたらあらためてダイヤルアッフ髞作はせす、切断操作もしない、あるいは、勤務先とすでに接続していたら ISP とは接続しないといった気の利いたこともできそうです。取り込んだ電子メールを pc で読むには pop か IMAP4 サ→ヾーカ硬えます。そうすれば、ノート pc で読むつもりのメールを誤ってデスクトップ PC に入れてしまうような事故も防げるでしよう。メールの送信は send - mail カ症番ですれすこし凝りすぎかもしれませんが、私がしたいのはこのようなことです。 Windows のツールを組み合わせただけでは、これを実現するの ( 隹しそうです。「そないにゆうんやったら、 UNIX 使うたらええがな」来月は、もうすこしこの考えを進めてみましよう。 UNIX MAGAZINE 1999.4 ( さかした・しゅう ASTEC)

3. UNIX MAGAZINE 1999年4月号

バーに直接送信するガ去が一イ殳的です。したがって、現在では図 1 のようなメールの中幻幻ま、すべてのメール酉サーバーに求められる処理ではなくなりました。とはいえ、多くのメール配送サーバー・プログラムにとって、外部から受信した電子メールの外部への中幻幻ま特別なことではなく、本来もっている医機能を適用するだけの処理です。逆に、図 1 のような逶を禁止したい場合は、それを判別するためク寺別なプログラムを追加し、さらにユーザーカ畤別な設定ファイルを書かなけれはなりません。しかし、最低限の酉占医を実現する設定ファイルの記述は難しく、一部の醪医を制限するような設定を追加することはさらに難しいうえに面倒でもあり、しかも必要な配送もうまくできなくなる可能性があります。したがって、これまでは、自サイトのサーバーが third-party-relay 処理をすることを気にする人はあまりいませんでした。 party-relay の機能が悪用され始めたのです。それ以後ところが、数年前から状兄が一変しました。この third- せんでした。たしかに、匠までは、、あっても困るもの " ではありま「大は小を兼ねるゆうやんか」「あっても困るもんやなし、ええやん」 UNIX MAGAZINE 1999.4 サーバーではどのようなメール中継処理がおこなわれるか third-party-relay の禁止について考える前に、メールることはできません。対策の内容を理解しておかなけれは設定ファイルを作成すアップできなかったり、あるいは sm 叩を使う場合には、ん。なんらかの事情でメールサーバーをすぐにバージョンっていれは、よりよい設定ファイルカ乍れるかもしれませ対策も施すことかできます。しかし、その対策の内容を知イルをインストールすると、自重加勺に third-party-relay たしかに、このような最斤のメールサーバーと言置ファように変更されています。では、デフォルトで third-party-relay をおこなわないー・ノヾッケージ理の禁止力甘隹奨され、一緇 ; のメールサーバー己のような理由から、現在では third-party-relay 処さい ) 。です ( どのような被害に遭うかは、 2 月号を参照してくだ利益もないばかりか、逆に被害か発生するようになったの third-party-relay 処理はメールサーノヾーにとってなんの図 2 外部から内部への中継メー丿レサーバー外部のメー丿レサー / ヾーファイアウォールロロロロをみてみましよう。通常、組織の内部と外部とのあいだで電子メールをやりとりするためのメールサーーは、次の中継処理をおこなうことを求められます。・外部から内部への中継 ( 図 2 ) 外部から自サイトのユーザー宛に送られてきた電子メールを内部のメールサーバーに中継する。・内部から外部への中継 ( 図 3 ) 自サイト内のユーサーが送信した電子メールを外部のメールサーバーに中継する。・内部から内部への中継 ( 図 4 ) 自サイト内のユーザーが送信した電子メールを内部のメールサーバーに中継する ( 本来、内部のメールサー上でローカルに処理されるべきかもしれませんが、メール酉占医の言 t カ去によってはこのような中継もありえます。もちろん、禁止してもよい場合もあります ) 。・外部からセカンダリ MX となっているドメインへの中継 ( 図 5 ) 外部からセカンダリ MX を引き受けているドメインのユーサー宛に送られてきた電子メールを、プライマリ MX のメールサーバーに中継する ( 外部ドメインのセ 55

4. UNIX MAGAZINE 1999年4月号

ドメイン名に相当する文字列を取り出し、その文字列に対する NS レコードをネームサーバーに問い合わせます。そして、ネームサ→ヾーから、 Response code 3 ( そのようなドメインはない ) " カってきたら不正なドメイン名、それ以外の場合は正当なドメイン名とみなします。タイミングとしては、 SMTP クライアントが smap に接続し、 MAIL FROM コマンドを実行した時点で、 smap がコマンドの引数に与えられたアドレスをチェックします。アドレスカ坏正であると判断された場合は、次のようなメッセージをクライアントに送り返します ( ただし、 SMTP のコネクションは切断しません ) 。 550 sender ignored : dom れ does not have a name server record そして、次のようなメッセージを syslog に言求します。 Feb 14 13 : 37 : 41 sugar smap [ 18160 ] : sender' s - domain does not have an NS record : from=spammer host=hostname/IPaddr 夘 amm は SMTP の MAIL FROM コマンドの引数に与えられたメールアドレス、面 m れはそのアドレスから取り出したドメイン名、 IP 靃靃は SMTP クライアントの IP アドレス、 hostname は DNS の逆引きによって得たホスト名です。さきほど説明した MAPS RBL の場合と同様、なんらかの障害によって一日勺に DNS にアクセスできなくなったときも、受信を拒否するはずの電子メールを受信する可能性があります。上記のように、ファイアウォール・ホスト上のリゾルバが MAIL FROM に指定されたドメインの名前を参照するため、外部のネットワークのドメインを参照できない場合は From アドレスをチェックする機能は使えません。最後の RFC821 オプションは、、、 null reverse-path の扱いを制御するために用います。 null reverse-path とは envelope from が空文字列であることで、次のように MAIL FROM: く > 設定されます [ 1 ] 。 62 Status Notifications)[2] がループしないように用いられこのような null reverse-path は、 DSN (Delivery ます。 DSN とは、電子メールの酉当結果のステータスを送信元に通知するメールです。郵便小包の、、醋室通知 " のようなものだと考えてください。メール酉占医のエラー通知メールは DSN の 1 つです。配送に成功したことを知らせるメールを送ることもできます。通常、メール配送サーバーは、電子メールの配送に失敗すると送信元にエラー通知メールを返信します。ところが、エラー通知メールの酉古幻こも失敗すると、エラー通知メールのエラー通知メールカ芍区信されてしまいます。最悪の場合には、メール酉当逶サ→ヾーか互いにエラー通知メールを送信しあって、エラー通知メールのエラー通知メールのエラー通知メール・・・・というようにループ状態になってしまいます。そこで、エラー通知メールに対するエラー通知メールを送らないようにするために、エラー通知メールの envelope from を null reverse-path にして送信します。つまり、 null reverse-path は、、この電子メールの酉逶に失敗してもエラー通知メールを返さないではしい " という印であり、、、返送不要 " と書かれた郵便物のようなものです。 sendmail を含むいくつかのメール配送プログラムは、 null reverse-path 付きの DSN を送信します。そこで、通常は null reverse-path を許可する必があり、 RFC 2505 [ 3 ] では、、 MUST NOT refuse ( 受信を拒否してはならない ) " と定義されています。ーヨ殳に、、、通常どおりに " 動いてくれればいいというときはとくに何もしなくてもよいことが多いのですが、このパッチを当てた smap は、なんとデフォルトでⅡ u Ⅱ reverse-path を拒否するように作られています。したがって、とくに理由がなけれは null reverse-path を許可するために、 RFC821 オプションを設定するルールを netperm-table に追加する必要があります ( 図 9 ) 。 spam-database ノヾラメータ属・性 spam-database にファイル名を成疋すると、それをプラックリストのデータベースとして参照します。そして、電子メールを受イ言するときに送信元の IP アドレスやメールアドレスをチェックし、データベースに当求されているものと一致すると受信を拒否します。 spam-database に設疋するファイル名のノヾスは、ノヾラメータ属性 directory で成疋するディレクトリ directory UNIX MAGAZINE 1999.4

5. UNIX MAGAZINE 1999年4月号

図 3 内部から外部への中継メールサーバー図 4 内部から内部への中継ロロメールサーバーメールサーノヾー外部のロ図 5 外部からセカンダリ MX となっているドメインへの中継ロ外部のメールサーハーファイアウォール . イプライマリ MX メー丿レサー / ヾーファイアウォールロロファイアウォー丿レロロロロカンダリ MX を引き受けている場合は、そのドメイン宛に送られた電子メールも受信する必喫があります。のルールは忘れがちなのて注意してください ) 。そして、上言び人タ ) 中継は拒否します。以 E の要 ) 頁目は、次のような上交的単純な規則で実現できます。糸哉内部のネットワークから受信する電子メール 56 制限する必要はありません。すべて受信し、それを適切なサーバーに転送します。・糸目系鬱トのネットワークから受信する電子メールその宛先ドメインを調べそれがあらかしめ許可したドメインであれば受信し、適切なサーバーに転送します。、、あらかじめ許可する " ドメインとしては、自糸目織のドメインと、セカンダリ MX となっているドメインを設定しておきます。それ以外の電子メールは、受信を拒否するか、を拒否します。以 - ヒが基本的な third-party-relay 対策です。たいていは、この規則にもとづいた対策だけで一ト分ですが、場合によっては次のような規則を追加することもあります。・プラックリストによる制限・ From アドレスの正当性これらは、どちらかといえば SPAM 対策として適用されるものであり、 third-party-relay 対策とは別の規則ともいえます。しかし、 third-party-relay 封策と同時に施されることもあるので、簡単に説明しておきます。プラックリストとは、 SPAM の発信源として有名な計算機や、 third-party-relay 対策を施していない言算機を列挙したものです。いくっかのグルーフ。がこのようなリストを作成し、インターネット上で公開しています。内部で使用するために、非公開のプラックリストを作成している UNIX MÄGAZINE 1999.4

6. UNIX MAGAZINE 1999年4月号

サイトもあるようです。それぞれのグループは、独自の方針にもとづいてプラックリストを作成しています。もちろん、そのプラックリストを利用するかしないかの判断はメールサーバーの管理者に委ねられており、かならす使わなければならないというものではありません。プラックリストを利用するには、それらのリストを参照する機能をもつメール酉占逶サ→ヾーを使ったり、その機能を追加するパッチを当てる必要があります。多くの場合、プラックリストに記載された計算機から電子メールの送信要求を受け取ったときの処理ガ去は設定ファイルに記述できるようになっています。通常は、受信を拒否したり、いったん受信してからサーバー内部で消去するように設定します。各プラックリストはそれぞれ異なるガ去で公開されているので、どれか 1 つを選んて利用したり、複数を同時に使うこともできます ( 後者の場合は、各リストについての設定を個々に追加する必喫があります ) 。ただし、なかには有効性か疑間視されている眉唾もののプラックリストもあります。本当に必喫なメールを受け耳 t なくなる可能性もあるので、利用するときは十分に注意してください。有名なプラックリストとしては、 MAPS RBL が知られています。詳しくは以下の URL を参照してください。・ http://maps.vix.com/ 次は、 From アドレス ( いわゆる envelope from) を調べる方法です。これは、 envelope from アドレスのドメイン名に相当する文字列を DNS サーバーに問い合わせます。間い合わせるレコードのタイプは実装によって異なりますが、 A 、 MX 、 NS レコードのいすれか、あるいは複数のレコードです。間合ぜに失敗した場合は、不正な電子メールと判断されます。つまり、メールを受信したサイト内でなんらかの送信工ラーカ起きたとき、エラーメールを適切に返信できるもの以外は受け取らないわけです。たとえば、 SPAM メールではすべての送信が成功することはなく、数百通もの醋医工ラーが発生します。このとき工ラー通知メールを正しく返信できないと、エラー通知メールの酉占医工ラーが発生する可能性があります。 enve- lope from アドレスの正当性を石忍するガ去は、このような場合に有効かもしれません。 UNIX MAGAZINE 1999.4 ただし、このガ去には、、嘘を書かれたら意味がない " という問題があります。ですから、大きな効果か得られると期待するのではなく、 SPAM や third-party-relay 対策を補完するものだと考えたほうがいいでしよう。 smap の third-party-relay 文寸策機能オリジナルの smap にも、ごく簡単な third-party- relay 対策の機能が含まれています。 third-party-relay 対策というより、送信先を制限する機能といったほうがいいかもしれません。動かしてみよう説明する前に、ますは使ってみましよう。この機能を利用するときは、 SPECIALDOMAIN を定義して sm 叩をコンパイルします。 sm 叩ディレクトリの Makefile を次のように変更してください。そして、次のコマンドを実行して再コンパイルとインス $ (COPT) —DSPECIALDOMAIN . $(COPT) CFLAGS= ↓ CFLAGS = トールをおこないます。 smap をデーモンとして起動している場合は、 smap を # make install # make # make clean # /usr/local/src/fwtk/smap 終りです。 quit を実行して smap との接続を終了してくことを要求されているわけではありません。実験はこれで示されているからといって、疑惑をもみ消すメールを書くホワイトハウスのドメイン名 (whitehouse. gov) が例に失敗するはずです。たところで、図 6 のようなエラーが出力さメール送信を送信してみましよう。、、 RCPT TO " コマンドを実行しを使って実験用計算機 exp から smap に接続してメールこ、 telnet コマンドこれで準備は終りです。図 6 のよ引る場合は、とくに何もする必要はありません。します。 inetd や netacl から起動するように設定していいったん停止し、新たにインストールした smap を起動ださい。以下に、このメッセージの未を説明します。 57

7. UNIX MAGAZINE 1999年4月号

図 8 netperm-table に追加するルール # ファイアウォール内部からの接続 netacl—smtp: permit—hosts 192.168.255. * -exec /usr/local/etc/smap # その他のネットワークからの接続 netacl—smtp: permit—hosts * —exec /usr/local/etc/smap—rst netacl と組み合わせるこのようにして作成した smap をそのまま使うと、ファイアウォールの内部から外部へ電子メールが送信できなくなってしまいます。前述したように、ファイアウォール内部から送信するメールについては制限したくないのですか : この smap では raccoon. doubutsu. co. jp ドメイン以外にメールを送れません。そこで、制限付きの smap と制限なしの smap を用意し、アクセス元に応じてどちらか適切なほうを起動すれはよさそうです。つまり、ファイアウォール内部からのメールについては制限のないオリジナルの smap を、外部からのメールの場合は制限付きの smap を起動するわけです。このようなときに便利なのが netacl です。たとえは、ふつうにコンパイルした smap を smap という名前で、 SPECIALDOMAIN を定義してコンノヾイルしたものを smap-rst という名前でインストールします。そのうえで、 netperm-table に図 8 のようなルールを追加します。、 192.168.255. * " の部分は、ネットワーク環境に合わせて適当に変更してください。図 8 のルールについて簡単に説明しておきます。ファイアウォール内部から SMTP ポートに接続要求を受けた場合、 netacl は送信先を制限しない smap を起動します。そして、 smap はユーサーからメールを受信し、それをはかのメールサーバーに中幻逶します。一方、ファイアウォール外部から SMTP ポートに接続要求を受けた場合には、 netacl は送信先を制限する smap を起動します。この smap は、あらかじめ設定したアドレス宛の電子メールしか受信しません。したがって、たとえ third-party-relay を試みられたとしても、攻撃は失敗します。さらに、ファイル rc.local の末尾に次の行を追加しておきます。 /usr/local/etc/netacl —daemon smtp smtp & 60 smap をデーモンとして、あるいは inetd から起動するその設定を削除します。万と万ように設定している場合は、 UNIX MAGAZINE 1999.4 ると、一緇レヾッチの適用に失敗します。この場合には、パ smap ・ c に前回紹介した currecip 十十の変更を加えてい # patch -p く Makefi1e . diff # patch -p く smap. c . diff # gtar xvfz somewhere/smap—nospam. tar ・ gz # cd smap を当てます。次のコマンドを夫行し、 smap. c と Makefile にパッチパッチを当てる smap-nospam. tar. gz ・ http://www.sabernet.net/software ドします。まず、下記の URL からパッチファイルをダウンローパッチのダウンロード独自のプラックリストを参照する機能も追加されます。 smap か前述のプラックリスト MAPS RBL に対応し、 Jason R. Rhoads が作成したこのパッチを当てると、 Nospam! / ヾッチします。て十分なので、とくに問題がないのならこのガ去をお勧め多くの場合は、基本的な third-party-relay 対策だけない点です。ールを変更するたびにプログラムを書き換えなければなら短所は、ルーノレカワ。ログラムに言当されているため、ル対策か施せます。イ 1 喋そのものも簡単です。 TIS がリリースするプログラムだけで third-party-relay す。つまり、 smap の機能に変更を加えなくてもよく、この方法の長所は、パッチを当てる必要がないことで

8. UNIX MAGAZINE 1999年4月号

手軽に最新情報が手に入る ! GNU Emacs マニュアル日 90 ソ - スコートシリーズ・ 386BSD カーネルソースコードの秘密 ASCII POW 田 AD SERVICE 簡単 ! 無料 ! 手間要らず ! ! ※ QUO カードはファミリーマートをはじめ、セブン・イレブン、デーズの全店と日本石油、三菱石油、ゼネラル石油の各加盟店でご利用いただけるとっても便利なプリペイカードです。資料請求で PRESENT!! 資料請求サービスをご利用いただいた方の中から ( 3 ) QUO カード抽選でいずれかの商品をプレゼントいたします。 ( 1 ) 386 カーネル BSD ( 2 ) GNU Emacs カ - ネルソ - スコ - ドの秘密マニュアル ( なお当選者の発表は、商品の発をもってにかえさせていただきます。 ) インターネットで入手 ! powe 「 AD のサービスペーシ www.ascii.co - jp / powe 「 a 出へアクセスしてくたさい。記入フォームが表示されますので、画面の注意事項にしたがって記入してください。電子メールで入手 ! \ 2 電子メールでも資料請求サービスが受けられます。メールアドレスにメールを送信してくたさい ( 送信していたたくメールには、何も記入する必要はありません ) 。自動返送される記入フォームの注意事項にしたがって必須事項をご記入いたたき、指定のメールアドレスにこ返送くたさい FAX で入手 ! \ 3 裏面の記入用紙をコピーしてご記入下さい。色の濃いポールペン等でハッキリと記入くたさい。資料請求カードで入手 ! 広告資料請求番号は各ペ→の下欄 \ 4 に記してあります。広告資料請求カードはこ面倒でも全項目にご記入くたさい。記入もれがある場合、資料をお届けできないことがあります LJNIX MAGAZINE AD リンク・ホームページ OPEN IJN Ⅸ MAGA 乙 NE に掲載されている広告主のホームページに、以下のアドレスからアクセス出来ます。 http://www.ascii.co.jp/ad/link/unix 広告誌面だけではわからない製品の詳細や資料検索等にこ利用下さい。資料請求方法資料請求してプレセントをもらおう www.ascii ・ (0 ・ ip/powerad/ サー者資料請求カード読 LL<X 電子メール広告資料請求サービスシステム ASCII 資料送付請求者リスト送付広告主お問い合わせ先 FAX : 03-5286-8043 資料請求サービスシステムに関する〒 151-8024 東京都渋谷区代々木 4-33-10 株式会社アスキー広告部 TEL : 03-5351-8199 ADVERTISEMENT CONTENTS ( 資料請求 No. ) く五十音順〉 CTC 工スピー 26 , 27 51 数理システム表 4 , 10 高岳製 f 怦斤 22 , 23 11 WRQ トムテック 30.31 15 ①日本アイ・ビー・エム日算化学ナービス 17 日本サン・マイクロシステムズ 45 日 28 , 四 50 ネットマネージジャパンのフォア・チューン 20 , 21 ぶらっとホーム 48 プラットホームファクトリー 32 25 0 マクニカ ⑦アイ・エイ・アイアズジェントアステックィーエムシージャ / ヾンィー・エム・ティウインドウ APC Japan SCO エムシーイージャ / ヾンメディアポートのコムテックコンピュータダイナミックス ①サイバーキャッシュサイバネットシステム SeagateTechnoIogy 18 , 19 2 , 3 33 12 , 13 , 14 45 46 , 47 36 , 37 表 2. 見開 35 本文 107P 16

9. UNIX MAGAZINE 1999年4月号

図 9 あらいぐま部の言聢例 smap , smapd : directory /var/spool/smap smap , smapd : userid uucp smapd : smapd : smap : smap : smap : smap : sendmail /usr/sbin/sendmail badadmin root relay—domain 192.168.255. * relay—domain raccoon. doubutsu. CO. JP nospam RFC821 ns-required spam—database spam ッチを当てる前に該当する部分をもとの状態に戻しておく必要があります。 Makefile については、かならす一部のパッチの適用に失敗します ( 手竹業て修正するしかありません ) 。パッチを当てたら、 make を実行してプログラムを再コンパイルし、インストールします。追加されるパラメータ属性 relay-domain 、、内部 " とみなすネットワークや計算機の IP アドレスと、宛先として受信を許可するドメイン名を指定します。通常は、ファイアウォール内部のネットワーク・アドレスと、自分のドメイン名、セカンダリ MX となっているドメインの名前を指定すればよいでしよう。複数行に分けて書くことも、ワイルドカード ( * ) を使うこともできます ( 図 9 ) 。受信する電子メールに対して制限を加える場合には、パラメータ属生 nospam を設定します。 nospam には、次の 3 不頁のなかから 1 つ以 E のオプションを指定します。・ maps-rbl ・ ns-required ・ RFC821 オプション maps-rbl を設定すると、 smap が MAPS RBL を参照し、そのリストに登録されている計算機からの電子メールを拒否するようになります。タイミングとしては、 SMTP クライアントが smap に接続し、、、 MAIL FROM" コマンドを実行した時点で、 smap が MAPS RBL を参照します。 SMTP クライアントが MAPS RBL に登録されていたら、次のようなメッセージをクライアントに送り返します ( ただし、 SMTP のコネクションは切断しません ) 。 UNIX MAGAZINE 1999.4 550 sender ignored : lPaddr was found in the MAPS RBL そして、次のようなメッセージを syslog に言求します。 Feb 14 13 : 35 : 46 sugar smap [ 16283 ] : spam - ignored address=spammer - host=hostname/IPaddT ・ (MAPS RBL) / P 佖 d は SMTP クライアントの IP アドレス、 host- name は DNS の逆引きによって得たホスト名、 spamm- er は SMTP の MAIL FROM コマンドの引数に与えられたメールアドレスです。こで、 smap が MAPS RBL を参照するガ去を説明しておきます。 MAPS RBL は、 DNS を用いて参照できる去で公開されています。ある IP アドレスをもつ計算機がリストに当求されているかどうかは、 DNS の A レコードを間い合わせることによって判断できます。たとえば、 IP アドレスが A. B ℃ . D である計算機が登録されているかを調べるには、 A. B. C. D → D. C. B. A. rbl. maps . vix. com という変換によってホスト名を生成し、このホスト名に対する A レコードを DNS に問い合わせます。そして、ネームサーバーから D ℃ . B. A. rbl.maps.vix.com に対する A レコードカってくれは、 MAPSRBL のリストに登録されていると判断します。一方、エラーか返ってくれは、登録されていないと判断します。なんらかの障害が原因で、一判勺に DNS にアクセスできなくなったときも smap にエラーカ亟されます。この MAPS RBL 対応の smap はエラーの原因をチェックしないので、 DNS のエラーによるものなのか、登録されていないのかの区別がつきません。つまり、 MAPS RBL を利用しても、受信を拒否するはすの電子メールを受信してしまう可帽生があります。上記のように、ファイアウォール・ホスト上のリゾルバが maps.vix.com ドメインの名前を参照するため、外部のネットワークにあるドメインを参照できない場合には MAPS RBL 対応の機能は使えません。次に、オプション ns-required を成疋すると enve- lope from のアドレスを調 , まそのアドレスか不正だと判断された場合に電子メールの受信を拒否するようになります。チェックの方法は、 envelope from のアドレスから 61

10. UNIX MAGAZINE 1999年4月号

( 25 ) NAB ' 98 ・・・・ 1998 / 06 90 (26)NetWorId 十 lnterop ' 98 Las Vegas " ・・・・ 1998 / 07 54 (27)ATM メガリンク・サービス・・・・・・ 1998 / 08 26 ( 28 ) メールサーノヾーのリプレース・・・・・・ 1998 / 10 57 ・・ 1998 / 11 90 ( 29 ) メールサ→ヾーのリプレース ( 2 ) ・・ (30)CATV によるインターネット孑を・・・・・ 1998 / 12 121 (31)virtuaI LAN ・・・・・・ 1999 / 01 100 ( 32 ) ニッチなネットワーク製品・・・・・・ 1999 / 02 73 ( 33 ) お買物リスト ' 99 ・・・・ 1999 / 03 154 ・こけつまろびっ UNIX ( 杜ゆずこ ) (I)UNIX との出合い・・・・・・ 1998 / 10 120 (2)X のインストール・・・・ 1998 / 11 147 ( 3 ) ネットワークオを・・・・・ 1999 / 01 127 (4)NetBSD に羽騨文・・・・・ 1999 / 02 107 (5)NetBSD に羽馘 ( 2 ) ・・・・ 1999 / 03 113 ・コミュニケーション用サーバーのインストールと運用 ( 小山洋一 ) ( 1 ) INN -2.0 のインストール・・・ 1998 / 08 59 ( 2 ) INN ー 2.0 のインストール ( 2 ) ・・・ 1998 / 09 40 (3)INN-2. x のインストール・・・・ 1998 / 10 24 (4)sendmaiI のインストール・・・・・ 1998 / 11 19 (5)sendmail. cf の概要とアドレステスト・モード・ 25 (6)sendmail を用いたメーノこ送系の構築・・・・・・ 1999 / 01 34 ( 7 ) メールサーバーの移設・・・・・・ 1999 / 02 29 ・ 1999 / 03 23 (8)Squid のインストール・・・ファイアウォールの作り方 ( 白崎博生 ) (6)Telnet プロキシー・ 1998 / 05 41 (7)rlogin プロキシーと FTP プロキシー ( 8 ) ユーザー認証システム・・・・・・ 1998 / 07 25 ・・ 1998 / 08 32 (9)X プロキシー・サーバー・・ 1998 / 12 ・ 1998 / 06 30 (II)DNS とファイアウォール・・・・・ 1998 / 10 16 (IO)HTTP プロキシー・サー・・ 1998 / 09 78 ・プログラミング・テクニック ( 多治見寿和 ) ・・ 1998 / 05 148 (40)Microsoft の Web 技術 ( 9 ) ・・・ 1998 / 04 143 (39)Micr,osoft の Web 技術 ( 8 ) ・・・プログラマー入門慌井美千子 ) ・・・ 1999 / 03 34 ( 16 ) 電子メールとファイアウォール ( 2 ) ・・ ( 15 ) 電子メールとファイアウォール・・・・・ 1999 / 02 22 ( 14 ) 続・機能の実装・・・・・・ 1999 / 01 24 ( 13 ) 機能の実装・・・・・・ 1998 / 12 38 (12)DNS とファイアウォール ( 2 ) ・・・・・ 1998 / 11 30 (6)AVL 木・・・・・・ 1998 / 04 74 ( 7 ) ノ、ツシュ・・・・ 1998 / 05 99 ( 8 ) ハッシュ②・・・ 1998 / 06 126 ( 9 ) 端末巣作・・・・・・ 1998 / 07 85 ( 10 ) 端末の制衂ー termcap データベース・・ (ll)cat コマンド・・・ 1998 / 09 134 ( 12 ) ls コマンド・・・ 1998 / 10 100 ( 13 ) ファイルのロック・・・・・・ 1998 / 11 116 UNIX MAGAZINE 1999.4 ・・ 1998 / 08 107 ・ 1998 年 4 月 ~ 1999 年 3 月 ( 14 ) パスワード・ファイル・・・・ 1998 / 12 67 NetBSD と NetBSD.org ・・・・ 1999 / 03 142 ( 114 ) ハードディスクのまるごとコピー・・ 1998 / 05 68 (113)Ultra 30 " ・・ 1998 / 04 97 ・ワークステーションのおと ( 坂下秀 ) BeOS に関するニュースグループ・・・・・・ 1999 / 03 136 ・・ 1999 / 02 133 国幇玄惑 C コードコンテスト・・・・ 1999 / 01 152 GNU Emacs 用ニュースリーダー GNUS/Gnus フリー・ソフトウェアの配布と NetNews ・・・・ 1998 / 12 138 japan ニュースグノレーフ。・・・・・・ 1998 / 11 158 Windows 98 に関するニュースグループ・・・・・・ 1998 / 10 133 電子メール版ダイレクトメール対策・・・・・・ 1998 / 09 140 史 - : 筑悪のコマンド・・・・ 1998 / 08 127 巧の記事にみる略語・・・・・・ 1998 / 07 127 NetNews の利用状冫兄・・・・・・ 1998 / 06 142 フリー・ソフトウェアの名前の由来・・・・・・ 1998 / 05 134 ネチケット・・・ 1998 / 04 134 ・ NetNews 便り ( みるく ) ・ NetBSD 通信 G 午先明 ) ・・ 1998 / 07 75 、 144 lnterop の楽しみ方、 vip-mode の勧め土本康生 / 藤枝和宏ポータブル MPEG3 プレイヤー鴨中茂調 ; ・・・・・・ 1998 / 06 55 先生の、 hash" 補攀公之 / 播ロドー・・・・・ 1998 / 05 73 、 107 AT マザーポード用の RS232C ケープル・チェッカー、 Knuth ・ Coffee Break ( 11 ) ラジオの日赫に・・・・・・ 1998 / 07 116 ( 10 ) 完結メディアから、流れ " のメディアへ・・・・・・ 1998 / 06 109 ( 9 ) ストリーミング・ツールを求めて・・・・・・ 1998 / 05 81 ・ AUTONOMOUS ZONE ( 粉川哲夫 ) Column (17)Secure Shell ・・・ 1999 / 03 74 ( 16 ) 公け巒盟音号・・・・・ 1999 / 02 62 ( 15 ) ワンタイム・パスワード・・・ 1999 / 01 59 ・ BooksheIf ROM サーバー・・・・・・ 1999 / 03 104 ( 124 ) MP3 プレイヤー、 USB ネットワーク・アタブタ、 (123)ProLiant 1600 ・・・ 1999 / 02 79 (122)Ultra 5 ・・・・・ 1999 / 01 97 ・ 1998 / 12 93 (121)HP-UX 11.0 のインストール・・ (120)Deskpro EN SF ・・・・・・ 1998 / 11 127 (119)HP-UX ・・・・・・ 1998 / 10 83 ( 118 ) Ⅵ ndows 98 のイ更用感・・・・・・ 1998 / 09 113 ( 117 ) PC 用ネットワーク監視ツール・・・・・ 1998 / 08 79 (116)FIexScan E141L ・・・・・・ 1998 / 07 98 ( 115 ) IME98 のキーカスタマイズ・・・・・・ 1998 / 06 105 175 CD-