OP25B 対策の対策
Outbound Port 25 Blocking (OP25B)とは、各パソコン(ほぼウィルス感染したOutlook)から迷
惑メイルをばらまくことを防ぐ対策のことである。
どうするのかというと、ウィルス感染したパソコンからメイル宛先サーバに直接メイルを送れなくし>てしまう。プロバイダが自分配下の固定IPでないサーバについて、上りの25番portを塞いでしまうの>である。
あほOSのあほメイルソフトのせいで、しどい。。。
複数回線を持っている、独自ドメインで運用しているサイトでは、致命的だ。
対策として、独自ドメインサーバで、通常のSMTP(port25)のほかに、SMTPS(port465)を用意する。
パソコンからメイルを送る場合には、SMTPではなく、SMTPSを使うよう設定すればよい。
SMTPSは、SMTP on SSLのことで、ほとんどのMTA(メイルソフト)が対応している。
すくなくとも、Thunderbirdではバッチリだ。
環境:
qmail の起動
(1)SSL自局認証用キーを作る
/var/service/qmail-smtpd-ssl/cert.pem に、自局認証したキーを作成。※ずんWikiさんを参考にさせてもらいました。
% su # mkdir cd /var/service/qmail-smtpd-ssl # cd /var/service/qmail-smtpd-ssl # PEM1=/tmp/openssl.`date +%s`.$$.1 # PEM2=/tmp/openssl.`date +%s`.$$.2 # openssl req -newkey rsa:1024 -keyout $PEM1 -nodes -x509 -days 365 -out $PEM2 # cat $PEM1 > cert.pem # echo "" >> cert.pem # cat $PEM2 >> cert.pem # rm -f $PEM1 $PEM2 # chmod 600 cert.pem
(2)tcpserverをつかってsmtps用のsmtpサーバを起動
前回作った、/etc/rc.d/init.d/qmailに、以下のsmtps用設定を追加# Start smtpd(SSL) /usr/local/bin/envdir /etc/relay-ctrl \\ /usr/bin/relay-ctrl-chdir \\ /usr/local/bin/tcpserver -qsHR -v -u 502 -g 501 \\ -n /var/service/qmail-smtpd-ssl/cert.pem 0 smtps \\ /usr/bin/relay-ctrl-check \\ /var/qmail/bin/qmail-smtpd 2>&1 | /var/qmail/bin/splogger smtps 3 &
これで、pop before smtp + smtps の設定完了。念のため、qmail 関係を再起動。
あとは、MTAのSMTPの設定を「SSL」すればよい。
