■ 構築問題 第十二問
おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !!
さて、ドメイン名をげっとして、ネームサーバ置いて、URLでのアクセスもできるようになったわね。
だね。内部と外部の2つのネームサーバを配置するんだね。
まぁ、1つでもいいことはいいけど、内部サーバもドメイン名で接続したいなら、内部のドメイン名を解決してくれるサーバが必要ってことなのよ。
兼用してもいいんだよね、外部と内部。
いいけど、外部に内部のドメイン名を解決できるようにしてしまうと、外部から内部のIPアドレスがバレる可能性があるからねぇ、ちょっとねぇ。
あー、なるほど。
さて、今回だけどさ、ほげたん。せっかくドメイン名も使えるようになったんだから、インターネットサービスのもう1つの花形、メールも使いたいなぁ、おね〜さん。
メールを送受信可能にしなさい
[FigureSS12-01:第十二問]
- メールをドメイン名を使って送受信できるようにしなさい
- 現在のネットワーク構成は第十一回の問題と同じとする
- ドメイン名として3min.jpをJPRSに登録済み
- プロバイダのネームサーバ(name.prov.ne.jp)をセカンダリとして使用する
- 内部同士でもメールのやりとりを行う。
- セキュリティも考慮しなさい
外部からメールはくるんだよね。
もちろん。外部のメールアドレスに送信できるし、外部からメールもくるわ。
で、内部同士って、例えばフロア間どうしとか、フロア内で?
もちろんもちろん。社内メールって奴ね。
ん〜〜〜。
■ 構築問題 第十二問 解答
さてさて、ほげたん、できたかな〜。
ん、うん。なんとか。
もちろん、外部メールサーバと内部メールサーバは分けたわよね。
ぎく。
[FigureSS12-02:ほげたんの解答]
分けなきゃ、ダメ?
ん〜〜〜。そうね、メールは無理に分けなくてもいいと言えばいいわね。
うんうん。じゃ、これでOK?
ちょっと考えて見ましょ?
じゃ、まずデータの流れを書いてみるわね。
[FigureSS12-03:データの流れ]
サーバはSMTP/POP兼用サーバで、外部からはSMTP。内部からはSMTPとPOPがくることになるわね。
だね。
まず、不正中継対策をしっかりとならないといけないわね。
不正中継をするようなメールサーバをもつ会社はインターネットから隔離されるべきよ。
うわぉ、言い切った。
もっとヒドイ事言おうと思ったけど、ちょっとマイルドにしました。
それでマイルドなの? なんて言こうと思ったの?
そんなサーバ立てた管理者はLANコードで首つって死ねかな?
違うかな、アンタんとこの会社は産廃垂れ流し企業と同列だかしら?
なるほど、それに比べればすいぶんとマイルドだね。
まぁ、それはそれとして、送信元IPアドレスなんかで区別して不正中継すべきね。
このネットワークのNATは前書いたから、それと合わせてこんなのとかね。
| 分類 | インタフェース | IPアドレス | インタフェース | IPアドレス |
|---|---|---|---|---|
| NAPT | WAN | 200.100.10.3 | LAN | 172.16.0.0/24 |
| LAN | 172.16.1.0/24 | |||
| LAN | 172.16.2.0/24 |
[TableSS10-01:NATテーブル]
| 送信元IP | 宛先IP | 動作 |
|---|---|---|
| 200.100.10.3 | * | 中継 |
| * | * | 禁止 |
[TableSS12-01:不正中継防止]
大体、こんな感じで不正中継を防止する、と。
200.100.10.3って、内部のホストがマスカレードかかって使うグローバルだね。
内部からは転送をするけど、外部からは転送しないってことだね。
ん、そゆこと。まぁ、詳しくはそれぞれのSMTPサーバアプリケーションで設定方法があるから。
で、一方POP。POPを外部に公開しているということは、メールを外部から受け取れるということね。
それ便利かも? だって、自宅で会社のメールが見えるんだよね。
ん〜〜〜。どうかな。そこらへんは会社のセキュリティポリシー次第ね。駄目な会社は駄目だから。
まぁ、万が一に備えて、POPも送信元IPアドレスを固定にすべきかも。
社内からのみ、にするんだね。
そうね。こう考えてみると、2つのサーバにしてしまった方が楽といえば楽になるかも。
そうなの? 2つもあると大変なようだけど。
サーバ2つだと、こうなるわね。
[FigureSS12-04:サーバ分割]
うん、こないだのネームサーバの時と同じ考えだよね。
そうね。違うのはデータの流れね。こうなるわ。
[FigureSS12-05:サーバ分割・データの流れ]
なんか、ずいぶん線が多いね。
ポイントは矢印の向きよ。
サーバ分割により多くの利点が生まれるわ。
- 外部メールサーバ(mx)は、内部メールサーバ(mx2)にのみ転送を行う。
- メールは必ず外部メールサーバ(mx)を中継する。
- 内部メールサーバ(mx2)が外部に公開されない。
(3)はわかるよ。外部に公開されない分、セキュリティが高まるよね。
あとの2つは?
まず(1)。不正中継って結局のところ、「任意の宛先への中継」を許可するかしないか、よね。
サーバが1つの場合、内部からのメールを外部へ送るため、どうしても「任意の宛先への中継」を許可せざるを得ないわけでしょ?
うん、それをしないと、外部へメールが送れないからね。
サーバを分割すると、「受け取ったメールはすべて内部サーバへ転送」という設定ができるわけよ。それ以外はすべて禁止ってことになるの。
あまり変わらないように見えるけどなぁ。
そうでもないのよ、これが。メールサーバアプリケーションでは、「転送」と「中継」は別物として扱われることがあるのよ。こうなってくると、「中継」は一切禁止な分、前の「これはOK。こっちはダメ」なんていう設定より強いわけなのよ。
う〜ん。中継設定の穴を突かれる可能性がなくなるわけだね。
そうね。外部への転送はすべて内部メールサーバからのみ行うわけだからね。
なるほど。で、(2)は?
(2)は、外部からのメールは必ず外部メールサーバを中継するわけだから、この外部メールサーバの時点でチェックがかけられるのよ。
ウィルスチェックとか?
そう、あとはspamとかね。ウィルスチェックが侵入段階でチェックできれば感染の危険性が激減するし、spamをはじけるということは、各クライアントで余計な処理が減ることになるわけだからね。
は〜。いいことずくめっぽいねぇ。
特に不正中継対策としては、おね〜さん、これが有効だと思うな。
ん〜っと、あとはネームサーバのゾーンを変更しておしまい、かな?
| Name | Type | RData | |
|---|---|---|---|
| 3min.jp. | SOA | - | |
| 3min.jp. | NS | ns.3min.jp. | |
| 3min.jp. | NS | name.prov.ne.jp. | |
| 3min.jp. | MX | 10 | mx |
| www | A | 200.100.10.14 | |
| ns | A | 200.100.10.13 | |
| mx | A | 200.100.10.12 | |
[TableSS12-02:ns.3min.jpのゾーンファイル]
今回追加したのは色を変えたわ。MXレコードと、そのAレコードを追加ね。
あ、プリファレンスも忘れないように。
優先度だね。これって、プライマリは10にするのがお約束なの?
そういうわけじゃないけど、なんかみんな10にするわね。不思議ね。
じゃ、今回はこれでおしまい。また次回。おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !! でした〜〜〜っ!!
まったね〜〜〜!!
- そんなサーバ立てた管理者
-
しまった、昔1度ある。慌てて不正中継禁止にした思い出が……。
逝ってきます。(プラーン)