OP25B(Outbound Port 25 Blocking)対策

最終更新日: 2012.06.22

<<トップページ <<新着情報 <<サイト内検索 <<CentOSで自宅サーバー構築 <<Fedoraで自宅サーバー構築

■概要

メール送信時に使用するプロバイダがOP25Bを導入している場合、自宅サーバーにおいては以下の影響がある。
各プロバイダのOP25B導入状況

・自宅サーバー接続プロバイダがOP25Bを導入している場合@・・・サーバーから外部宛にメール送信できない(例:root宛メールを外部に転送できない)・・・メールサーバー側対処要
・自宅サーバー接続プロバイダがOP25Bを導入している場合A・・・内部から自宅メールサーバーのメールアドレスでメール送信できない・・・メールサーバー側対処要
・外部でメール送信時に使用するプロバイダがOP25Bを導入している場合・・・外部から自宅メールサーバーのメールアドレスでメール送信できない・・・メールクライアント側対処要

ここでは、メール送信時に使用するプロバイダでOP25Bによる影響を受けるか確認し、影響を受ける場合はOP25B対策を実施する。


■OP25B影響有無確認

メール送信時に使用するプロバイダでOP25Bの影響を受けるか確認するため、外部のメールサーバーへSMTP接続できるかチェックする。
ここでは、GmailのメールサーバーへtelnetコマンドでSMTP接続を行ってみて、接続可否でOP25Bの影響を受けるか確認する。
C:\Documents and Settings\xxxxxxxx>nslookup -type=mx gmail.com ← Gmailのメールサーバー名検索
*** Can't find server name for address 192.168.1.1: Non-existent domain
*** Default servers are not available
Server:  UnKnown
Address:  192.168.1.1

Non-authoritative answer:
gmail.com       MX preference = 50, mail exchanger = gsmtp183.google.com
gmail.com       MX preference = 5, mail exchanger = gmail-smtp-in.l.google.com
gmail.com       MX preference = 10, mail exchanger = alt1.gmail-smtp-in.l.google
.com
gmail.com       MX preference = 10, mail exchanger = alt2.gmail-smtp-in.l.google
.com
gmail.com       MX preference = 50, mail exchanger = gsmtp163.google.com

gmail-smtp-in.l.google.com      internet address = 209.85.147.27
gmail-smtp-in.l.google.com      internet address = 209.85.147.114
alt1.gmail-smtp-in.l.google.com internet address = 64.233.185.27
alt1.gmail-smtp-in.l.google.com internet address = 64.233.185.114
alt2.gmail-smtp-in.l.google.com internet address = 209.85.129.27
gsmtp163.google.com     internet address = 64.233.163.27
gsmtp183.google.com     internet address = 64.233.183.27

C:\Documents and Settings\xxxxxxxx>telnet alt1.gmail-smtp-in.l.google.com 25 ← GmailのメールサーバーへSMTP接続
220 mx.google.com ESMTP 35si17739625wra ← 接続成功=OP25Bの影響を受けない=OP25B対策不要
quit ← quit応答(SMTP接続終了)

接続中: alt1.gmail-smtp-in.l.google.com...ホストへ接続できませんでした。 ポート番号 25: 接続に失敗しました
 ← 接続失敗=OP25Bの影響を受ける=OP25B対策要

■メールサーバーのOP25B対策(Postfix編)

プロバイダのメールサーバーから送信するメールはOP25Bの影響は受けないため、全ての送信メールをプロバイダのメールサーバーを経由するようにする。
※なお、下記に示すOP25B対策は代表的な大手プロバイダでの対策例であり、プロバイダによっては別の対策が必要な場合もある

(1)Postfix設定
[root@scientific ~]# vi /etc/postfix/main.cf ← Postfix設定ファイル編集
# The relayhost parameter specifies the default host to send mail to
# when no entry is matched in the optional transport(5) table. When
# no relayhost is given, mail is routed directly to the destination.
#
# On an intranet, specify the organizational domain name. If your
# internal DNS uses no MX records, specify the name of the intranet
# gateway host instead.
#
# In the case of SMTP, specify a domain, host, host:port, [host]:port,
# [address] or [address]:port; the form [host] turns off MX lookups.
#
# If you're connected via UUCP, see also the default_transport parameter.
#
#relayhost = $mydomain
#relayhost = [gateway.my.domain]
#relayhost = [mailserver.isp.tld]
#relayhost = uucphost
#relayhost = [an.ip.add.ress]
relayhost = [プロバイダのSMTPサーバー名]:587 ← プロバイダのSMTPサーバーを指定
※プロバイダのSMTPサーバー名は各プロバイダのWebサイト等で確認

(2)SMTP認証情報設定
プロバイダのSMTPサーバーが対応している認証方式を調査する
[root@scientific ~]# telnet プロバイダのSMTPサーバー名 25または587 ← プロバイダのSMTPサーバーへ接続
Trying XXX.XXX.XXX.XXX...
Connected to プロバイダのSMTPサーバー名 (XXX.XXX.XXX.XXX).
Escape character is '^]'.
220 プロバイダのSMTPサーバー名 ESMTP
ehlo localhost ← ehlo localhost応答
250-プロバイダのSMTPサーバー名
250-AUTH LOGIN CRAM-MD5 PLAIN ← プロバイダのSMTPサーバーが対応している認証方式
250-AUTH=LOGIN CRAM-MD5 PLAIN
250-PIPELINING
250 8BITMIME
quit ← quit応答
221 プロバイダのSMTPサーバー名
Connection closed by foreign host.

[root@scientific ~]# vi /etc/postfix/main.cf ← Postfix設定ファイル編集
以下を最終行へ追加
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/authinfo
smtp_sasl_security_options = noanonymous
smtp_sasl_mechanism_filter = 認証方式
認証方式・・・プロバイダのSMTPサーバーが対応している認証方式(例:LOGIN, CRAM-MD5, PLAIN)

[root@scientific ~]# echo [SMTPサーバー名]:587 ユーザー名:パスワード > /etc/postfix/authinfo ← SMTP認証情報設定
SMTPサーバー名・・・プロバイダのSMTPサーバー名
ユーザー名・・・プロバイダのメールアカウント名
パスワード・・・プロバイダのメールパスワード

[root@scientific ~]# chmod 640 /etc/postfix/authinfo ← root以外参照できないようにパーミッション変更

[root@scientific ~]# postmap /etc/postfix/authinfo ← authinfo.db作成

(3)Postfix設定反映
[root@scientific ~]# /etc/rc.d/init.d/postfix reload ← Postfix設定反映

■メールクライアントのOP25B対策

メールソフトの設定で、メール送信時に使用するポートをSMTP(25番ポート)から別のポート番号に変更すればよいため、プロバイダ側ではサブミッションポート(587番ポート)の使用を推奨しているが、当サイトではセキュリティ上の理由からSMTP認証を必須としており、かつ、SMTP認証情報の盗み見対策としてTLSによる暗号化通信を必須としているため、メール送信時に使用するポートはSMTPS(465番ポート)としている。これにより自動的にOP25B対策となっているため、対処は不要。

【参考】
メールサーバー間通信内容暗号化(OpenSSL+Postfix+Dovecot)






▲このページのトップへ戻る

LPIロゴ Copyright© 2011-2017 fallenangels, All rights reserved.
ご自由にリンクしてください(連絡は不要です)
本ページへのご意見・ご要望、誤字・脱字・リンク切れ等のご連絡はこちらからお願いします