プロキシは Endian Firewall のサービスの1つで、クライアント(Webブラウザなど)とネットワークサービス(インターネット上のWebサーバーなど)との間での門番のような役割を果たします。クライアントは、データを取得、キャッシュ、フィルタしているプロキシに接続し、インターネット上のサーバーの特定のデータをブロックすることもできます。クライアントの設定なしですべてのトラフィックをプロキシ経由にする場合、このプロキシは「透過プロキシ」と呼ばれます。一方、透過プロキシではないプロキシの場合、クライアント(Webブラウザなど)でのプロキシ設定が必要となります。
HTTPレポート
画面上部のメニュー バーで[プロキシ]を選択し、画面左のサブメニューから[HTTP]を選択します。
設定
HTTPプロキシを有効にするには、[HTTPプロキシを有効にする]をクリックしてONにします( Endian Firewall はSquidを使用しています)。プロキシが動作すると、いくつかの設定項目が表示されます。
一番最初に、各ゾーン(GREEN、有効な場合はORANGE、BLUE)のユーザーがプロキシにアクセスできる方法を指定します。各ゾーンで以下の選択肢の中から選択します。
- 非透過
- プロキシサーバーは誰でも利用できます(ログイン不要)が、ブラウザでプロキシを指定するか、プロキシを検索するよう設定しておく(WPADやPAC)必要があります。
- 透過
- プロキシは誰でも利用でき、ブラウザでの設定も必要ありません(HTTPトラフィックはインターセプトされ、プロキシサーバーに転送されます)。
Note
特定のゾーンのプロキシを無効化したい場合は、そのゾーンの設定を「透過」に設定し、
ゾーンのサブネットを [透過プロキシをバイパス] セクションにある [透過プロキシをバイパスする接続元SUBNET/IP/MAC] に追加してください。
Internet ExplorerやFirefoxなどのいくつかのブラウザでは、WPAD (Web Proxy Autodiscovery Protocol) を使って自動的にプロキシサーバーを検出する機能があります。さらに、多くのブラウザでは、特別なURL経由でプロキシ自動構成ファイル (PAC) ファイルをサポートしています。 Endian Firewall を使用している場合、このURLは http://<IP OF YOUR FIREWALL>/proxy.pac のようになります。
次に、全般的な設定を行うためのセクションが表示されています。
- プロキシで使用されるポート
- プロキシサーバーが接続を待機するTCPポートを指定します(デフォルトは 8080 です)。
- エラーの言語
- エラーメッセージが表示される際の言語です。
- プロキシによって使用されているホスト名を可視化する
- プロキシサーバーがこの名前を自分のホスト名として扱うようにします(エラーメッセージの下に表示されます)。
- 通知に使用するメールアドレス(キャッシュ管理者)
- エラーメッセージに表示されるメールアドレスです。
- 最大ダウンロードサイズ
- HTTPの最大ダウンロードサイズをKB単位で指定します(0に指定すると無制限になります)。
- 最大アップロードサイズ
- HTTPの最大アップロードサイズ(HTMLフォームでのファイルアップロードなど)をKB単位で指定します(0に指定すると無制限になります)。
各パネルの[+]アイコンをクリックすると、さらに詳細を指定するためのパネルが表示されます。
許可されたポートとSSLポート
- 許可するポート(クライアントから)
- プロキシサーバーがHTTPを使って接続を受け付けるTCP宛先ポートを指定します(1行に1つずつ、#以降はコメントです)。
- 許可するSSLポート(クライアントから)
- プロキシサーバーがHTTPSを使って接続を受け付けるTCP宛先ポートを指定します(1行に1つずつ、#以降はコメントです)。
ログ設定
- ログを有効化
- プロキシ経由でアクセスしたURLをすべて記録します(マスタースイッチ)。
- クエリ文字のログ
- URL内のパラメータ(?id=123 など)をログに記録します。
- ユーザーエージェントのログ
- ユーザーエージェント(Webブラウザ名など)をログに記録します。
- コンテンツフィルタのログ
- コンテンツがフィルタされたときにログに記録します。
- ファイアウォールのログ(透過プロキシのみ)
- Webアクセスのファイアウォールログを記録します(透過プロキシのみ有効)。
透過プロキシをバイパス
- 透過プロキシをバイパスする接続元SUBNET/IP/MAC
- 透過プロキシを適用しない接続元をサブネット、IPアドレス、MACアドレスで指定します(1行に1つずつ)。
- 透過プロキシをバイパスする接続先SUBNET/IP
- 透過プロキシを適用しない接続先をサブネットまたはIPアドレスで指定します(1行に1つずつ)。
キャッシュ管理
- ハードディスク上のキャッシュサイズ (MB)
- プロキシサーバーがWebサイトのキャッシュに使用するハードディスクの容量をMB単位で指定します。
- メモリ内のキャッシュサイズ (MB)
- プロキシサーバーがWebサイトのキャッシュに使用するシステムメモリの容量をMB単位で指定します。
- 最大オブジェクトサイズ (KB)
- キャッシュするオブジェクトの最大サイズをKB単位で指定します。
- 最小オブジェクトサイズ (KB)
- キャッシュするオブジェクトの最小サイズをKB単位で指定します。
- オフラインモードの有効化
- このスイッチをONにすると、プロキシは上位のWebサーバーからキャッシュされたオブジェクトを更新しようとしません。
これにより、クライアントはアップリンクがダウンしているときでも、キャッシュされたスタティックなWebサイトをブラウズすることができます。
- キャッシュのクリア
- このボタンをクリックすると、プロキシ内のキャッシュがクリアされます。
- この宛先はキャッシュしない
- キャッシュしないドメインを指定します(1行に1つずつ)。
上位プロキシ
- 上位プロキシ
- このスイッチをONにすると、 Endian Firewall のプロキシサーバーは上位のプロキシサーバーに接続しようとします。接続したい上位プロキシを指定してください。
- 上位プロキシのユーザー名 / パスワード
- 上位プロキシで認証が必要な場合は、ここで認証情報を指定します。
- クライアントユーザー名 / クライアントIPアドレスの転送
- ユーザー名やクライアントIPアドレスを上位プロキシに転送します。
[保存]ボタンをクリックして設定を保存します。[適用]ボタンをクリックしてプロキシを再起動させ、設定を適用することを忘れないでください。
認証
Endian Firewall プロキシは ローカル認証 (NCSA) 、 LDAP (v2, v3, Novell eDirectory, AD) 、 Windows Active Directory (NTLM) や Radius といった複数の認証方法に対応しています。それぞれの認証方法によって設定項目は異なります。各設定項目について説明します。グローバル設定のパラメータには次のようなものがあります。
- 認証領域
- 認証ダイアログに表示されるテキストで、Active Directoryに参加するときのkerberos/winbindのrealmとして使用されます(Windows Active Directoryを認証に使用する場合はPDCのFQDNを指定します)。
- 認証子プロセス数
- 同時並行して実行される認証プロセスの最大数です。
- 認証キャッシュTTL(分)
- 認証情報がキャッシュされる時間を分単位で指定します。
- ユーザーごとの異なるIP数
- プロキシに一人のユーザーが並行して接続する際に使用できるIPアドレスの最大数です。
- ユーザ/IPキャッシュTTL(分)
- ログインしているユーザーにIPアドレスが関連付けられる時間を分単位で指定します。
以下のパラメータはローカル認証で使用されます。
- ユーザーの管理
- このボタンをクリックすると、ユーザー管理インターフェイスが開かれます。
- グループの管理
- このボタンをクリックすると、ユーザー管理インターフェイスが開かれます。
- 最小パスワード長
- ローカルユーザーの最小パスワード長を指定します。
以下のパラメータはLDAP認証で使用されます。
- LDAPサーバー
- LDAPサーバーのIPアドレスか完全修飾ドメイン名 (FQDN) です。
- LDAPサーバーのポート
- サーバーがリッスンしているポートを指定します。
- バインドDN設定
- 検索の起点となるベースDN (Distinguished Name) を指定します。
- LDAPタイプ
- 使用するLDAPのタイプを選択します。 Active Directory サーバー、 Novell eDirectory サーバー、 LDAP version 2 サーバー、 LDAP version 3 サーバーから選択します。
- バインドDNユーザ名
- ユーザー属性を読み取る権限のあるバインドDNユーザーの完全DNを指定します。
- バインドDNパスワード
- ユーザーのパスワードです。
- user objectClass
- バインドDNユーザーはこのobjectClassに属している必要があります。
- group objectClass
- バインドDNグループはこのobjectClassに属している必要があります。
以下のパラメータはWindows認証で使用されます。
- ADサーバーのドメイン名
- 参加したいActive DirectoryドメインをFQDNで指定します。
- ドメインに参加
- ドメインに参加するにはこのボタンをクリックします(先に認証設定を保存、適用してください)。
- ADサーバーのPDCホスト名
- プライマリドメインコントローラのホスト名です。
- ADサーバーのPDCのIPアドレス
- プライマリドメインコントローラのIPアドレスです(必要なDNSエントリ/設定を作成する際に必要です)。
- ADサーバーのBDCホスト名
- バックアップドメインコントローラのホスト名です。
- ADサーバーのBDCのIPアドレス
- バックアップドメインコントローラのIPアドレスです(必要なDNSエントリ/設定を作成する際に必要です)。
Active Directoryを使用したWindowsネイティブ認証 (NTLM) を使用するには、いくつかの条件を満たす必要があります。
- ドメインに参加しようとする前に、認証設定を保存、適用しておく必要があります。
- ファイアウォールがドメインに参加しておく必要があります。
- ファイアウォールの時刻とActive Directoryサーバーの時刻が同期している必要があります。
- 認証領域 (realm) は完全修飾ドメイン名 (FQDN) である必要があります。
- PDCホスト名は、Active DirectoryサーバーのNetBIOS名が指定されている必要があります。
Endian Firewall バージョン 2.3以降では、ホストとDNSプロキシのエントリを作成する必要はなくなりました。これらのエントリは認証設定の適用時に自動的に作成されます。
以下のパラメータはRadius認証で使用されます。
- RADIUSサーバー
- RADIUSサーバーのアドレスです。
- RADIUSサーバーのポート
- RADIUSサーバーがリッスンしているポートを指定します。
- 識別子
- 追加の識別子です。
- 共有シークレット
- 使用されるパスワードです。
アクセスポリシー
アクセスポリシーは、認証に関係なく、プロキシを経由するすべてのクライアントに適用されます。アクセスポリシーのルールは、送信元、送信先、認証、ユーザーエージェント、MIMEタイプ、ウィルススキャンやコンテンツフィルタリングなどに基づく時間ベースのアクセスポリシーです。
ルールリストに定義済みのルールが表示されます。各ルールではWebアクセスの許可/禁止を設定でき、許可する場合にはフィルタタイプを選択して有効化することができます。新たなルールを追加するには、[アクセスポリシーの追加]をクリックし、各設定を行います。
- アクセス元種別
- ルールを適用する送信元を選択します。設定できるのは <ANY> 、 ゾーン 、 ネットワーク/IP のリスト、 MAC アドレス(1アドレスに1つずつ)です。
- アクセス先種別
- ルールを適用する送信先を選択します。設定できるのは <ANY> 、 ゾーン 、 ネットワーク/IP のリスト(1行に1つずつ)、 ドメインのリスト(1アドレスに1つずつ)です。
- 認証
- ルールを適用するユーザーの認証方法を選択します。「グループベース」のルールか、「ユーザーベース」のルールかを選択します。ポリシーを適用するユーザーやグループは複数選択が可能です。
- 時間制限
- ルールが適用される曜日や時間の範囲を指定します。
- ユーザーエージェント
- 許可するクライアントやブラウザをリストから選択します。
- Mimetypes
- 受信する際に特定のMIMEタイプのファイルをブロックしたい場合は、ブロックしたいMIMEタイプをこのリストに追加します(1行に1つずつ)。MIMEタイプはブロック(許可しない)のみ可能なので、このオプションは「拒否」アクセスポリシーでのみ利用可能です。この機能は、社内ポリシーに適合しないファイル(マルチメディアファイルなど)をブロックしたい場合などに使用できます。
- アクセスポリシー
- このルールでWebアクセスを許可するか、拒否するかを指定します。
- フィルタプロファイル
- ウィルススキャンのみを行いたい場合は「ウィルス検出のみ」を選択します。また、Webページの内容を分析し、フィルタリングを有効にしたい場合は、使用したいコンテンツフィルタプロファイルを選択します。「なし」を選択すると、チェックは行われません。
- ポリシーのステータス
- ルールを有効化するかどうかを選択します。無効化されたルールは適用されません。
- 場所
- 新しいルールの場所を指定します。数字が小さいほうが高い優先順位になります。
Endian Firewall バージョン 2.3以降では、異なるフィルタやアンチウィルス設定の複数のコンテンツフィルタプロファイルを作成できるようになりました。また、このリリースから、アクセスポリシーを作成することにより、特定のユーザーや送信元に特定のドメインをホワイトリストにするなどの設定もできるようになりました。
一覧内の右側にあるアイコンをクリックすることで、
いつでもルールの有効化/無効化、編集、削除が行えます(各アイコンの説明は一覧の下部を参照してください)。
コンテンツフィルタ
コンテンツフィルタを使用するには、アクセスポリシールール内で「コンテンツフィルタプロファイル」を使用します。 Endian Firewall のコンテンツフィルタ (DansGuardian) は、3つのフィルタリング技術を使用しており、それぞれフィルタプロファイルで設定を行うことができます。
最初のフィルタリング技術は PICS (Platform for Internet Content Selection) です。これはW3Cによって定義された標準仕様で、Webページのメタデータを使用してペアレンタルコントロールが行えるようになっています。2番目のフィルタリング技術はフレーズによる重み付けです。Webページ内の文章を分析し、ページごとにスコアを計算します。最後はカテゴライズされたURLとドメインのブラックリストです。URLへのすべてのアクセスはこのブラックリストで検索され、リストに掲載されていないURLのみアクセスできるようになります。
設定画面は、全般的な設定を行うセクションと、特定のフィルタリングポリシーを選択するセクションとに分かれています。
- アンチウィルスを有効にする
- コンテンツフィルタ (Dansguardian) とアンチウィルスプロキシ (HAVP) を有効にします。
- ログ記録を有効にする
- ブロックされたリクエストをログに記録します。
- Platform for Internet Content Selection (PICS)
- PICSメタデータに基づくペアレンタルコントロールを有効にします。
- 最大スコア (50-300)
- 信頼できるとするページの最大スコアを指定します (50-300)。このレベルの設定値の目安は、 Endian Firewall経由で子どもがブラウジングする場合は50、10代の子どもの場合で100、
青年では160程度です。
- コンテンツフィルタ
- このセクションでは、フレーズ分析によるフィルタリングを設定できます。カテゴリ横のアイコンをクリックすることで、ブロックと許可を切り替えることができます。[+]アイコンをクリックすると、サブカテゴリが表示されます。
- URLブラックリスト
- このセクションでは、URL比較によるフィルタリングを設定できます。カテゴリ横のアイコンをクリックすることで、ブロックと許可を切り替えることができます。[+]アイコンをクリックすると、サブカテゴリが表示されます。
- カスタムブラックリスト/ホワイトリスト
- コンテンツフィルタリングでは、フォルスポジティブやフォルスネガティブなどの誤判定が発生することがあります。ここでは、コンテンツフィルタの分析に関わりなく、常にブロックするドメインや常に許可するドメインを指定できます。
フレーズ分析は他の分析方法(PICSやURLブラックリスト)に比較してコンピュータの性能をより必要とします。このフィルタリング分析を無効にしたい場合は、コンテンツフィルタセクションですべてのカテゴリを許可してください。
ホワイトリストにドメインを追加する場合は、そのサイトで必要なすべてのドメインも併せて指定するようにしてください。たとえば、以下のように設定します。
- google.com をブロックすると、
google.com のすべてのサブドメインもブロックされます。
- maps.google.com にアクセスするため、ホワイトリストに追加します。
- maps.google.com にはアクセスできません。これは、他のGoogleのサーバーから
データを取得しようとするためです。
- それで、関連する他のドメイン (例:
mt0.google.com) もホワイトリストに追加する必要があります。
[保存]をクリックして、コンテンツフィルタプロファイルを保存します。
一覧内の右側にあるアイコンをクリックすることで、いつでもルールの編集、削除が行えます(各アイコンの説明は一覧の下部を参照してください)。
アンチウィルス
ここでは、HTTPプロキシで使用されるウィルススキャンエンジン (ClamAV、バージョン2.3以降では
Sophos Antivirus も利用可能です) を設定します。
- 最大サイズ(MB)
- ウィルスチェックを行うファイルの最大サイズを指定します。
- 以下のURLはスキャンしない
- ウィルススキャンを行わないURLをリストに記述します(1行に1つずつ)。
[保存]をクリックして、ウィルススキャンエンジンの設定を保存します。
ADへの参加
このセクションでは、Active Directoryサーバーへの参加が行えます。これは、認証方式が「Windows Active Directory (NTLM)」の場合のみ使用できます。
POP3
画面上部のメニュー バーで[プロキシ]を選択し、画面左のサブメニューから[POP3]を選択します。このセクションでは POP3(受信メール)プロキシの設定を行います。
グローバル設定
このページでは、POP3プロキシの全般的な設定が行えます。各ゾーンごとにPOP3プロキシの有効化/無効化が設定できます。また、受信メールに対するウィルススキャン、スパムフィルタを有効化することもできます。すべての外部へのPOP接続をログ記録したい場合は、[ファイアウォールログに送信ログを出力]チェックボックスをONにします。
スパムフィルタ
このページでは、POP3プロキシがスパムメールをどのように処理するかを設定します。
- スパムサブジェクトタグ
- スパムメールのメールタイトルに追加する接頭辞を指定します。
- スパム判定しきい値
- スパムと判定されるために必要なスコアを指定します。デフォルト値は「5」です。
- 日本語メールのサポートを有効にする
- チェックすると、日本語のスパムメールをフィルタするために
日本語文字セットのサポートを有効にします。
- メッセージダイジェストスパム検知を有効にする (pyzor)
- メッセージダイジェストによるスパム判定を行いたい場合にONにします。有効にすると、POPプロキシの動作がかなり遅くなることがあります。
- ホワイトリスト
- ホワイトリストに登録する送信者アドレスを指定します(1行に1つずつ)。ホワイトリストには、特定のドメイン全体に合致するようにワイルドカードが使用できます(例: *@example.com )。
- ブラックリスト
- ブラックリストに登録する送信者アドレスを指定します(1行に1つずつ)。ブラックリストには、特定のドメイン全体に合致するようにワイルドカードが使用できます(例: *@example.com )。
FTP
画面上部のメニュー バーで[プロキシ]を選択し、画面左のサブメニューから[FTP]を選択します。
FTP (File Transfer Protocol) プロキシは透過プロキシとしてのみ利用可能で、FTPダウンロードの際にウィルススキャンを行います。
Note
標準的なFTPポート (21) への接続のみがプロキシにリダイレクトされます。これは、もしFTPプロトコル用にもHTTPプロキシを使用するようクライアントを設定した場合、FTPプロキシがバイパスされることを意味します。
透過FTPプロキシはGREENゾーンと他の利用可能なゾーン(ORANGE、BLUE)で利用可能です。
以下の設定が行えます([保存]をクリックして設定を保存します)。
- ファイアウォールログに送信ログを出力
- 外部への接続をファイアウォールログに記録する場合にチェックします。
- 透過プロキシはバイパスする
- 設定された送信元(左)と送信先(右)にマッチするトラフィックについては透過FTPプロキシをバイパスさせます。1行ごとに1つのサブネット、IPアドレス、MACアドレスを指定します。 Endian Firewall はfroxを利用して透過FTPプロキシを実現しており、インターネットに直接接続します。
Endian Firewall とインターネットの間に他のファイアウォールやルーターなどNATを行う機器がある場合、froxは動作しません。froxはアクティブFTPアップストリームを使用するためです。
SMTP
画面上部のメニュー バーで[プロキシ]を選択し、画面左のサブメニューから[SMTP]を選択します。
SMTP (simple mail transfer protocol) プロキシはメールサーバーに送信されるメールトラフィックのリレーとフィルタリングを行います。
SMTPプロキシはSMTPトラフィック全般を制御、最適化し、SMTPプロトコルを使ったネットワーク上の脅威からネットワークを保護することを目的としています。SMTP (Simple Mail Transport Protocol) プロトコルは、メールクライアントからリモートのメールサーバーにメールを送信する場合に使用されます。また、LAN(GREENインターフェイス)やDMZ(ORANGEインターフェイス)に自社のメールサーバーを設置する場合、外部のメールサーバーから自社のメールサーバーにメールを送信させる場合にも使用されます。SMTPプロキシの設定はいくつかのサブセクションに分かれています。
Warning
ローカルのメールクライアントがリモートメールサーバーからメールをダウンロードする際には、POP3やIMAPがプロトコルとして使用されます。これらのトラフィックを保護したい場合には、POP3プロキシを有効にする必要があります。IMAPトラフィックのスキャンは現在のところサポートされていません。メールプロキシの機能を利用すると、送信、受信のどちらのメールトラフィックにおいてもウィルススキャン、スパムチェック、その他の脅威のチェックなどの処理が行えます。必要な場合はメールがブロックされ、メールの受信者と管理者に通知が送られます。受信メールのスキャンが可能なため、メールプロキシが受信接続を処理し、内部のメールサーバー(複数も可)にメールを渡すことができます。これにより、ポート転送を使用することなく、ファイアウォール内部でメールサーバーを運用することができます。
設定
これがSMTPプロキシのメインの設定セクションです。ここには以下の設定オプションが含まれています。
- GREEN/BLUE/ORANGE/RED
- 各ゾーンでSMTPプロキシを有効にし、ポート25でリッスンするかどうかを選択します。
- 透過モード
- 透過モードが有効な場合、ポート25宛のすべての要求はSMTPプロキシによって自動的にインターセプトされ、その後転送されます。クライアント側の設定は必要ありません。
各パネルの[+]アイコンをクリックすると、さらに詳細を指定するためのパネルが表示されます。
[スパム設定]セクションでは、スパムメールをチェックするためのspamassassinとamavisd-newの設定が行えます。SpamAssassinはスパムを検出するいくつかの仕組みを備えています。 spamassassinでは、さまざまなルールに基づいてメッセージをスコアリングし、
スパムかどうかを判断する「スコア集計」システムが組み込まれています。
- スパムメールフィルタ
- スパムメールをフィルタリングしたい場合にこのチェックボックスをONにします。チェックすると、スパムフィルタオプションが表示されます。ブラックリスト、ホワイトリスト、グレイリストは
セクションで設定できます。
- commtouchを有効にする(オプション)
- アンチスパムエンジンとしてcommtouchを使用したい場合にチェックします。
- スパムメールの処理方法を選択
以下の選択肢から選択します。
- 「デフォルトの隔離場所に移動」: スパムメールはハードディスク内のデフォルトの場所 (/var/amavis/virusmails) に格納されます。
- 「カスタムの隔離場所に移動」: スパムメールを格納する場所を指定することができます。
- 「隔離用メールアドレスに送信」: スパムメールは指定されたメールアドレスに転送されます。
- 「スパムとしてマーク」: メールを配信する前にスパムメールとしてマーキングします。
- スパムサブジェクト
- スパムとしてマークされたメールのタイトルの前に付ける接頭辞を指定します。
- 透過プロキシをバイパス
- スパムメールが処理されるたびに通知メールを送るメールアドレスを指定します。
- スパムタグレベル
- SpamAssassinのスパムスコアがこの値を超えた場合、X-Spam-StatusとX-Spam-Levelヘッダをメールに追加します。
- スパムマークレベル
- SpamAssassinのスパムスコアがこの値を超えた場合、このメールはスパムとしてマークされ、X-Spam-Flagヘッダが追加されます。
- スパム検疫レベル
- スパムスコアがこの値を超えるメールは隔離されます。
- このレベル以下の場合に警告メールを送信
- スパムスコアがこの値を下回る場合にのみ通知メールを送信します。
- Greylistingを有効化
- Greylistingを有効にしたい場合はこのチェックボックスをチェックしてください。
- Greylistingの遅延時間 (sec)
- Greylistingの遅延時間を30~3600秒の間で指定します。
- 日本語メールのサポートを有効にする
- チェックすると、日本語のスパムメールをフィルタするために
日本語文字セットのサポートを有効にします。
Note
よく知られたスパムメッセージやスパムメールの送信元からのスパムメールはブロックされますが、その間にもスパムメールの送信者はスパムフィルタを回避するためにさまざまな仕掛けを生み出します。したがって、スパムフィルタ(ベイズフィルタ)をより強力にするため、フィルタを学習させることは非常に大切です。
[ウィルス設定]はSMTPプロキシのメインセクションの1つです。ウィルスが含まれたメールを受信したときに実行できる動作は4つあります。また、通知用のメールアドレスを指定することもできます。
- メールウィルススキャナ
- ウィルスが含まれたメールをフィルタリングしたいときにこのチェックボックスをチェックします。チェックすると、ウィルスチェック用のオプションが表示されます。
- ウィルスメールの処理の選択
以下の選択肢から選択します。
- 「デフォルトの隔離場所に移動」: ウィルスメールはハードディスク内のデフォルトの場所 (/var/amavis/virusmails) に格納されます。
- 「カスタムの隔離場所に移動」: ウィルスメールを格納する場所を指定することができます。
- 「隔離用メールアドレスに送信」: ウィルスメールは指定されたメールアドレスに転送されます。
- 「メールの内容に関わらず受信者へ送信」 : ウィルスが含まれるメールも通常通り配送します。
SMTPプロキシの[ファイル設定]セクションでは、メールに添付されるファイルの拡張子によってファイルをブロックする設定を行います。このフィルタに合致する添付ファイルが添付されたメールが識別され、指定された動作が実行されます。
- 拡張子によるファイルブロック
- このチェックボックスをチェックすると、指定した拡張子のファイルが添付されていた場合にメールをブロックします。チェックすると、ファイル拡張子のオプションが表示されます。
- ブロックされたファイルの処理の選択
以下の選択肢から選択します。
- 「デフォルトの隔離場所に移動」: 該当するメールはハードディスク内のデフォルトの場所 (/var/amavis/virusmails) に格納されます。
- 「カスタムの隔離場所に移動」: 該当するメールを格納する場所を指定することができます。
- 「隔離用メールアドレスに送信」: 該当するメールは指定されたメールアドレスに転送されます。
- 「メールの内容に関わらず受信者へ送信」 : 該当するメールも通常通り配送します。
- ブロックするファイルタイプ (拡張子) の選択
- ブロックするファイル拡張子を選択します(複数選択可)。複数のファイル拡張子を選択するには、Ctrlキーを押しながらクリックします。
- ブロックするファイルタイプ (拡張子) の選択
- ファイル拡張子フィルタに合致してメールがブロックされたときに通知を送るメールアドレスを指定します。
- 重複した拡張子を持つファイルをブロック
- このオプションをチェックすると、重複した拡張子を持つファイルがブロックされます。重複した拡張子を持つファイルはしばしば攻撃用のファイルに使われています( .exe, .com, .vbs, .pif, .scr, .bat, .cmd, .dll などに続けて使われます)。
サーバーが応答するメールドメインを設定しておく必要があります。このドメインのリストは[プロキシ]-[SMTP]-[受信ドメイン]で追加できます。
透過プロキシをバイパス
- 透過プロキシをバイパスする接続元SUBNET/IP/MAC
- 透過プロキシを適用しない接続元をサブネット、IPアドレス、MACアドレスで指定します(1行に1つずつ)。
- 透過プロキシをバイパスする接続先SUBNET/IP
- 透過プロキシを適用しない接続先をサブネットまたはIPアドレスで指定します(1行に1つずつ)。
[保存]ボタンをクリックすると設定が保存され、適用されます。
ブラックリスト/ホワイトリスト
特定の送信者、受信者、IPアドレスやネットワークを[受信メール]セクション内のブラックリストとホワイトリストに登録することで、独自のブラックリスト/ホワイトリストを作成することができます。
- 送信者ホワイトリスト
- このアドレスまたはドメインからのメールは常に受け入れます。
- 送信者ブラックリスト
- このアドレスまたはドメインからのメールは常に拒否します。
- 受信者ホワイトリスト
- このアドレスまたはドメインへのメールは常に受け入れます。
- 受信者ブラックリスト
- このアドレスまたはドメインへのメールは常に拒否します。
- クライアントホワイトリスト
- このIPアドレスまたはホストから送信されたメールは常に受け入れます。
- クライアントブラックリスト
- このIPアドレスまたはホストから送信されたメールは常に拒否します。
送信者/受信者リストの例です。
- 特定ドメイン(サブドメイン含む)
example.com
- サブドメインのみ
.example.com
- 単一アドレス
info@example.com
admin@example.com
クライアントリストの例です。
- ドメイン/IPアドレス
example.com
192.168.100.0/24
スパムメールのブロックにしばしば使用されるのが「リアルタイムブラックリスト (RBL)」です。これらのリストはそれぞれ別個の団体によって作成、管理、更新されています。ドメインや送信元IPアドレスがこれらいずれかのブラックリストにリストされている場合、
その送信元からのメールは通知なしで拒否されます。この場合、ブラックリストにIPアドレスが掲載されていることが確認されるとすぐにメールは拒否され、受信処理は行われないため、
アンチスパムモジュールのRBLを使うよりも帯域幅を節約できます。
- bl.spamcop.net
- ユーザーからの報告に基づくRBLです (www.spamcop.net)。
- zen.spamhaus.org
- このリストは sbl-xbl.spamhaus.org に代わるもので、Spamhausブロックリストに加えてSpamhausのExploitブロックリストとポリシーブロックリストを含んでいます。
- cbl.abuseat.org
- CBLは膨大なスパムトラップをソースデータとして使用しています。このリストは、スパムやワーム、ウィルス、トロイ、スパイウェアなどによって悪用されたことのあるオープンプロキシ (HTTP、socks、AnalogX、wingateなど)としての特性を示すIPのみをリストしています。
- dul.dnsbl.sorbs.net
- ダイナミックIPアドレスの範囲のリストです (www.au.sorbs.net)。
- ix.dnsbl.manitu.net
- スパムフィルタ NiX SpamのスパムハッシュテーブルとIPブラックリストから常時再生成され、公開されているDNSブラックリストです。
- dsn.rfc-ignorant.org
- インターネットの標準であるRFCに準拠しない管理者が管理しているドメインやIPネットワークのリストです (www.rfc-ignorant.org)。
Warning
時折、間違ったIPアドレスがリストに登録されていることがあります。このようなケースでは、問題ないメールが拒否されてしまい、しかも復元できないという悪影響が発生します。なお、このようなケースで被害にあったとしても、RBL管理者以外がRBLに直接手を加えることはできません。
Note
システムに詳しいユーザーであれば、/var/efw/smtpscan/RBL を直接編集することもできます(その際には /var/efw/smtpscan/default/RBL をドラフトとしてお使いください)。
リストに受信者、IPアドレスやネットワークを追加することでGreylistingホワイトリストを作成できます。
- 受信者ホワイトリスト
- テキストエリアにホワイトリストとなるメールアドレスかドメイン名を指定します。(例: test@endian.com またはドメイン名であれば endian.com )(1行に1つずつ)。
- クライアントホワイトリスト
- ホワイトリストに追加したいメールサーバーのアドレスを記入します。ここに追加したアドレスのサーバーから送信されたメールはスパムチェックが行われません(1行に1つずつ)。
ここでスパムメールのブラックリスト/ホワイトリストも作成できます。
- 送信者ホワイトリスト
- テキストエリアにホワイトリストとなるメールアドレスかドメイン名を指定します。(例: test@endian.com またはドメイン名であれば endian.com )(1行に1つずつ)。
- 送信者ブラックリスト
- テキストエリアにブラックリストとしてスパム判定するメールアドレスかドメイン名を指定します。(例: test@endian.com またはドメイン名であれば endian.com )(1行に1つずつ)。
[保存]ボタンをクリックして設定を保存し、SMTPプロキシを再起動します。
受信ドメイン
受信メールを有効にしていて、受信メールを Endian Firewall の配下(一般的にはGREENかORANGE)にあるメールサーバーに転送したい場合は、
SMTPプロキシがメールを受け入れるドメインと、受信したドメインを転送するメールサーバーを設定しておく必要があります。別個のドメインに対して Endian Firewall 配下のそれぞれのメールサーバーを指定することができます。また、 Endian Firewall をバックアップMXとして使用することもできます。
- ドメイン
- メールサーバーが受信するドメインを指定します。
- メールサーバーのIP
- メールサーバーのIPアドレスです。
ドメインを追加するには[追加]ボタンをクリックします。SMTPプロキシに加えられた変更を適用するには、[再起動]ボタンをクリックしてSMTPプロキシを再起動する必要があります。既存の項目についてもアイコンをクリックすることで編集、削除することができます(アイコンの説明は表の下の説明をご覧ください)。
メールルーティング
ここでは、指定したメールアドレスにBCCを送る設定が行えます。この設定は、指定した受信者アドレスへのすべてのメールか、指定した送信者からのすべてのメールに適用されます。
- 方向
- この設定を送信者と受信者のどちらに適用するかを指定します。
- メールアドレス
- 送信者または受信者(どちらになるかは上の設定によります)のメールアドレスを指定します。
- BCCアドレス
- メールのコピーを送信したいメールアドレスです。
メールルーティング設定は[メールルートの追加]ボタンをクリックすると保存されます。既存の項目についてもアイコンをクリックすることで編集、削除することができます(アイコンの説明は表の下の説明をご覧ください)。
Warning
メールがコピーされていることは送信者にも受信者にも通知されません。多くの国では他人宛のメールを読むことは違法です。この機能を悪用しないでください。
詳細設定
このページでは、SMTPプロキシの詳細設定が行えます。[スマートホスト設定]セクションでは、以下の項目が設定できます。
- 配送用スマートホストを有効にする
- メールの配送にスマートホストを使用したい場合にはこのチェックボックスをチェックしてください。チェックすると追加のオプションが表示されます。
- スマートホストアドレス
- スマートホストのアドレスを入力します。
- スマートホストポート
- スマートホストのポートを指定します(デフォルトは25です)。
- スマートホストでは認証が必要
- スマートホストで認証が必要な場合にチェックします。チェックすると追加のオプションが表示されます。
- スマートホストユーザー名
- 認証に使用されるユーザー名です。
- スマートホストパスワード
- 認証に使用されるパスワードです。
- 認証方式の選択
- スマートホストでサポートされている認証方式を選択します。*PLAIN*, LOGIN, CRAM-MD5 および DIGEST-MD5 がサポートされています。
Note
ISDNやADSLなどでインターネットに接続しており、ダイナミックIPアドレスが割り当てられている場合は、しばしばメールサーバーへの配信がエラーになります。送信元がダイナミックIPアドレスかどうかをチェックするメールサーバーは増えており、これらのサーバーからメールの受信を拒否されることがあります。このような場合はスマートホストを使ってメールを送信する必要があります。
Note
スマートホストは、SMTPプロキシが送信用SMTPサーバーとして使用するメールサーバーのことです。スマートホストはSMTPプロキシからのメールを受け取り、リレーすることができなければなりません。通常はプロバイダのSMTPサーバーをスマートホストとして利用できます。他のメールサーバーの場合はリレーが拒否されることがあります。
[IMAPサーバーでのSMTP認証]セクションでは、メール送信時の認証に使用されるIMAPサーバーの設定が行えます。SMTP接続がREDゾーンに公開されている場合はこの設定が特に重要です。以下の項目が設定できます。
- IMAPサーバーでのSMTP認証を有効にする
- IMAP認証を有効にしたい場合はチェックします。チェックすると追加のオプションが表示されます。
- IMAP認証サーバー
- IMAPサーバーのアドレスを指定します。
- IMAP認証ポート
- IMAPサーバーのポートを指定します(デフォルトは993です)。
- 認証デーモンの数を選択
- Endian Firewall からログインが同時並行できる数を設定します。
[メールサーバー設定]セクションでは、SMTPサーバーの追加パラメータが設定できます。以下のオプションがあります。
- SMTP HELOを必須とする
- 有効にすると、接続してくるクライアントはSMTPセッションの最初に必ずHELO(またはEHLO)コマンドを送信する必要があります。
- 不正なホスト名を拒否する
- 接続してきたクライアントがHELOまたはEHLOのパラメータとして不正なホスト名を送信してきたときに拒否するようにします。
- SMTP HELO名
- SMTP EHLOまたはHELOコマンドで送信されるホスト名です。デフォルト値はREDインターフェイスのIPアドレスです。ホスト名かIPアドレスを指定します。
- 常にBCCするアドレス
- ここにメールアドレスを指定すると、SMTPプロキシを経由するすべてのメールのBCCがこのアドレスに送られます。
- メールテンプレートの言語を選択
- 送信されるエラーメッセージの言語です。
- 受信者アドレスの検証
- メッセージの送信前に受信者アドレスを検証したい場合にチェックします。
- ハードエラーの上限を選択
- リモートSMTPクライアントがメール配送なしでエラーを発生させる上限数を指定します。この値を超えるとSMTPプロキシは接続を切断します(デフォルトは20です)。
- メールのサイズの上限を選択
- 1通のメールの最大サイズを指定します。
[スパム防止]セクションではSMTPサーバーの追加パラメータが設定できます。以下のオプションがあります。
- 不正な受信者を拒否する (non-FQDN)
- RCPT TOアドレスがRFCで規定された完全修飾ドメイン名 (FQDN) でない場合に要求を拒否します。
- 不正な送信者を拒否する (non-FQDN)
- HELOまたはEHLOコマンドで渡されるホスト名が、RFCで要求されている完全修飾ドメイン名 (FQDN) でない場合に接続を拒否します。
- 不明な受信者ドメインを拒否する
- 受信者のメールアドレスのドメインで正しくDNS AレコードまたはMXレコードが登録されていない場合に接続を拒否します。
- 不明なドメインの送信者からのメールを拒否する
- 送信者のメールアドレスのドメインで正しくDNS AレコードまたはMXレコードが登録されていない場合に接続を拒否します。
[保存]ボタンをクリックして保存します。
Commtouch
New in version 2.3.
このページでは、Commtouchアンチスパムエンジンの設定が行えます。以下の項目が設定できます。
- spamassassinをバイパスする
- Commtouchがスパムとしてマークしたメッセージはspamassassinをスキップするようにしたい場合はチェックします。
- 無視するIP/ネットワーク
- Commtouchによるチェックを行わないIPやネットワークを指定します。
[SPAMタグレベル]セクションでは、以下の項目が設定できます。
- CONFIRMED
- この値を超えるタグレベルのすべてのメールはスパムとして判定されます(-10~10で指定します)。
- BULK
- この値を超えるタグレベルのすべてのメールはバルクメールとして判定されます(-10~10で指定します)。
- SUSPECTED
- この値を超えるタグレベルのすべてのメールはスパムの疑いありとして判定されます(-10~10で指定します)。
- UNKNOWN
- この値を下回るタグレベルのすべてのメールは不明として判定されます(-10~10で指定します)。
- NONSPAM
- この値を超えるタグレベルのすべてのメールは非スパムメールとして判定されます(-10~10で指定します)。
[保存]ボタンをクリックして保存します。
DNS
画面上部のメニューバーで[プロキシ]を選択し、画面左のサブメニューから[DNS]を選択します。
このセクションではDNSプロキシの設定が変更できます。このセクションは3つのサブページに分かれています。
DNSプロキシ
このページでは、GREEN、ORANGE、BLUEゾーン用(有効な場合)の透過DNSプロキシを有効化できます。また、左下のテキストエリアではプロキシをバイパスする送信元アドレスを指定できます。送信元アドレスにはIPアドレス、サブネットのアドレス、MACアドレスを指定します(1行に1つずつ)。右下のテキストエリアではプロキシをバイパスする送信先アドレスを指定します。ここにはIPアドレスとサブネットのアドレスを指定できます。[保存]ボタンをクリックすると設定が保存されます。
カスタムネームサーバー
このページでは、特定のドメイン向けのカスタムネームサーバーを追加できます。[ドメイン向け新規カスタムネームサーバーの追加]リンクをクリックしてカスタムネームサーバーを追加します。既存のエントリを編集するには、その行の鉛筆アイコンをクリックします。その行のごみ箱アイコンをクリックするとエントリを削除できます。カスタムネームサーバーでは以下の設定を保存します。
- ドメイン
- カスタムネームサーバーを使用したいドメインです。
- DNSサーバー
- ネームサーバーのアドレスです。
- コメント
- 追加のコメントです。
アンチスパイウェア
このページでは、スパイウェアによって使用されていることがわかっているドメイン名を解決する際に、 Endian Firewall がどのように対応するかを設定します。設定できる項目は以下の通りです。
- 利用可能
- 有効な場合、リクエストはローカルホストにリダイレクトされます。
- スパイウェア収集ポストにリダイレクトする
- 有効な場合、リクエストはローカルホストではなくスパイウェア収集ポストにリダイレクトされます。
- ホワイトリストドメイン
- ここに入力されたドメイン名は、リストの内容に関係なくスパイウェアのターゲットとして処理されません。
- ブラックリストドメイン
- ここに入力されたドメイン名は、リストの内容に関係なくスパイウェアのターゲットとして処理されます。
- スパイウェアドメインリストのアップデートスケジュール
- スパイウェアドメインリストの更新頻度を指定します。指定できるのは「1時間毎」、「1日毎」、「1週間毎」、「1月毎」のいずれかです。各選択肢の横にあるクエスチョンマークにマウスカーソルを合わせると、実際に更新が行われるタイミングが表示されます。
[保存]ボタンをクリックして保存します。