体験したことありませんか? メール運用のヒヤリハット(後編)(1/2 ページ)

今や欠かせないコミュニケーションツールとなった電子メール。それだけに安定運用が欠かせないのだが、意外な落とし穴があちこちに待ち受けている。

» 2007年03月20日 07時00分 公開
[佐藤潔、内田雅生、衣笠茂浩、加藤雅彦,ITmedia]

 「動いて当たり前」と思われがちな割に、意外にやっかいな電子メール関係のトラブル。前回の記事に続き、現役管理者の経験を踏まえたさまざまなトラブルとその対処法を紹介していこう。

「OP25B」でメールが送れない!

 ある日、メールサービスを利用しているユーザーから、「自宅でインターネットを使っているのだが、Webの表示やメールの受信は問題ないけれど、これまでは支障なくできていたメールの送信だけができなくなった」という問い合わせを受けた。

 こういう場合にまず考えられるのが、セキュリティ対策ソフトの障害などだ。そこで、いったんそれらを止めて試してもらったものの、やはりメールの送信だけができなかった。次にtelnetを使って25番ポートへの接続を試してもらったところ、そのユーザーからは25番ポートでの接続自体ができないことが判明した。

 そのユーザーは、自宅から個人で契約しているプロバイダー経由でメールサービスへ接続しようとしていたのだ。そこで、そのプロバイダーの情報を確認したところ、案の定「Outbound Port 25 Blocking(OP25B)の制限を開始した」というアナウンスが出されていた。なおOP25Bとは、25番ポートをブロックし、プロバイダーのSMTPサーバを経由しないメール送信を禁じることで、スパム送信者による迷惑メールの転送を防ぐ対策である。

 実はそのユーザーにもプロバイダーからメールで連絡が来ていたらしい。しかしよく分からないため「自分とは関係ない」と思っていたのだ。

●対策

 問い合わせをもらった時点では残念ながら、自社のメールサービス側では、OP25Bが実施されている場合でも接続できるSubmissionポート(587番ポート)での送信に対応していなかった。早急に、Submissionポートでの接続とSMTPで認証を行う「SMTP-Auth」に対応する必要があった。

 ただ、ユーザーとしては「とりあえず急ぎでメールを送信したい」ということだったため、一時的にメールの設定を変更し、送信サーバとしてプロバイダー側が用意しているSMTPサーバを指定して試してもらったところ、無事送信することができた。

 国内の主要なプロバイダーでは、OP25Bの導入が広まってきている(関連記事)。POPやSMTPを外からも利用できるようにしておくのならば、SubmissionポートからSMTP-Authで認証し、メールを送信できるよう設定しておくとよいだろう。

ユーザーへのお願い

管理者からのお知らせ、プロバイダーからのお知らせの中には重要な情報が含まれています。どうか読み流さないで!


打つ手なし? DoS攻撃への対応

 postfixを使っているMTA(メールサーバ)で、ある日たまたま「ps ax」コマンドでプロセスの状況を見てみると、smtpdが妙に多いことを発見した。詳細を見てみようと「netstat -a」と入力し、現在のネットワーク接続の一覧を表示させてみると、同一IPアドレスばかりから多数の接続があることが判明。MTAのログを見ても、当該IPアドレスからの接続と切断を繰り返している状況が分かった。

 この問題が顕在化しなかった理由としては、

  • postfixでは、デフォルトで設定されているプロセス数の上限(100)でsmtpdの数が頭打ちになり、OS自体の稼働には影響がなかった
  • プライマリMXがDoSを受けてもセカンダリMXに再送してくれていたので、少々遅延しながらも社内にはメールが届いていた

ためである。

●対策

 postfixの設定値である「smtpd_client_connection_count_limit」を調整し、接続数を制限した。しかしDDoS攻撃を受けた時には、システム全体のプロセス数の上限までリソースが使われてしまう。この結果正当な接続ができなくなってしまい、結局のところ無力なのではあるが……。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ