ファイアーウォール越えの外部POP,SMTPアクセス

現在は、内部LANから外部のPOP及びSMTPにアクセス出来ないような設定となっています。
そこで、外部のPOP及びSMTPにアクセス出来るようにして欲しいと要望があり、検討していますが、バックドア等、セキュリティ上の問題が発生する（発生した）ことがあるものでしょうか？
理由以外に問題がある場合は事例等があれば、お教え願います。
無論、問題が無いと言っても、今後とも影響が無いと言い切れるものではないことは承知していますので、現状、考えられる範囲でお願いします。

No.4 ベストアンサー 回答者： bonnumaman 回答日時： 2007/09/29 23:19

基本だと思いますが、一般的なネットワーク構成書いて見ます。

外部メールサーバ
インターネット
｜
ルータ
｜
ファイヤーウォール－(DMZ)－ＤＮＳ－ウィルス、スパム対策サーバ－自社メールサーバ
｜
(LAN)
HTTPプロキシ
|
クライアント

自社メールサーバはDMZに置かなくてもウィルスサーバがリダイレクトしてくれるならLAN内でもよいです。

ＦＷのセキュリティポリシー
外部からLANは基本破棄。外部からのメールは一度ウィルスサーバでチェック→内部メールサーバ。
内部からのメールも一度ウィルスサーバ→内部メールサーバ
クライアントは常にウィルスパターンファイルを無条件更新している。
ｈｔｔｐは必ず内部プロキシを通る。

この条件でクライアントが外部メールサーバへＰＯＰアクセスしたところで何が問題になるのか私にはわかりません。
添付ファイルのレベルのチェックならクライアントでも十分だろうし、どうしても気になるのならウィルスチェックしている外部メールサーバを利用するとか。

勘違いしてるのかもしれませんが、あくまで穴を開けるのはLAN→WANですよ。
WAN→LANをあけるわけではないです。

統制という意味がわかりませんが、基本は全てのパソコンにウィルス対策、リアルタイム検索は必須です。それから必ず常に最新であること。これは現在のウィルス関連製品（企業版）なら常識です。
個人使用のソフトではだめですよ。そもそも。最悪はwindows updateが当たってなくてもウィルスソフトで防御してくれます。

サーバで規制してもクライアントは必須ということです。クライアントに十分な対策がされてなければまったく意味ないです。ポート云々いう前に大きな大穴が開いてるレベルです。

この回答へのお礼

bonnumamanさんの御意見を踏まえて、システム業者と調整してみます。

何度も詳細な説明。ありがとうございました。

お礼日時：2007/09/30 00:38

No.3 回答者： bonnumaman 回答日時： 2007/09/29 20:58

メールプロキシはこの手のものを参考にしてください。

http://www.ntts.co.jp/products/ccraftmail/detail …

ただ質問読み返してみるとどうもこういうことを聞いてるのではないのですかね。
話戻りますが、内部から外部のメールサーバにアクセスしたいということですよね。
暗号化やセキュリティ、ウィルス対策には上記メールプロキシのような形式は有効だと思います。
元の話の外部にアクセスして云々でいうのであれば、ブラウザだって同様に外部にアクセスしているのでしょう。
これはどうしてるのですか？同じリスクはメールサーバだってあります。

つまり、クライアント毎のセキュリティ対策、ウィルス対策は必須というか当たり前。
その上であれば別に内部から外部メールサーバにアクセスするのはこれだけで問題を起こすわけではないと思います。
特別の事情がない限り。今の制限の理由がよくわかりません。

この回答へのお礼

この度、ネットワークを更新した際に全てのクライアントにウイルス対策ソフトをインストールしました。
また、スパム、ウイルスチェックサーバーを導入しています。
これで、外部のメールサーバーへのアクセスを解放しても特に問題になることは無いと考えていいのでしょうか。

ただ、各クライアントに対して、完全な統制がとれていないのが問題と考えています。
よって、クライアントの対策ではなく、サーバー側で規制・対策をかけたいと考えています。

お礼日時：2007/09/29 22:16

No.2 回答者： bonnumaman 回答日時： 2007/09/29 10:58

プロキシ（ｈｔｔｐ）はご存知ですか？ご存知なら重複説明失礼。

プロキシはクライアントから要求を受け取って、新たに自分がネットに代理でつなげなおす機能です。
パソコンからyahooのページを開こうとすると、まずプロキシサーバに要求がいきます。プロキシはその要求を受け取り自分自身がyahooに接続しホームページを開き、それをクライアントに渡します。

プロキシのメリットはネット側から見るとあくまで通信しているのはウェブサーバとプロキシサーバであり、その先のクライアントは全く見えません。
セキュリティ確保の一つの方法です。またプロキシを経由するため、禁止ＵＲＬの設定も可能です。各クライアントのアクセスログなども可能です。情報漏えいなどの問題の対策用にもよいです。（トレースができるという意味で）
パソコンが沢山あった場合にセキュリティ上問題があるものもいるかもしれませんが、プロキシ経由にするとプロキシに穴がなければある程度安全は確保されます。

メールプロキシも同様です。ＰＯＰやＳＭＴＰの要求を一旦メールプロキシが受け取ってネット上のメールサーバとやり取りします。
これもＨＴＴＰと同様、ネット上からは１台のサーバしか見えないため
セキュリティ確保がしやすいです。

この回答へのお礼

前回に引き続き詳細な説明ありがとうございます。

httpプロキシと同様にメールプロキシ経由で不特定多数のSMTPサーバーにアクセス（一切規制をしなければ）する事が出来ると考えていいものでしょうか。

お礼日時：2007/09/29 13:59

No.1 回答者： bonnumaman 回答日時： 2007/09/29 00:55

そのファイヤーウォールは当然外部からのアクセスは基本破棄ですよね。

内部から規制することが意味あるんでしょうか。
メールだけ規制してｆｔｐやｈｔｔｐは規制してないということですか？
全てのパソコンやサーバはウィルス対策を行っていて、windows updateなどもかけている事は前提ですよね。

その前提の上であれば、その前提の範囲では問題はないと思いますが。
メールプロキシなどをたててみるのもいいかもしれませんが。

基本は
・ＦＷでのセキュリティポリシーの設計（外部からのアクセスは絶対必要な最低限か）
・内部から外部はウィルス、セキュリティ対策ソフトの運用、定期的なwindowsアップデート

要するに外からは完全シャットアウト、中からは常にチェックが可能であること。

この回答へのお礼

早速の回答、ありがとうございます。

> メールだけ規制してｆｔｐやｈｔｔｐは規制してないということですか？
規制しています。
> メールプロキシなどをたててみるのもいいかもしれませんが。
メールプロキシはどのような機能なのでしょうか

以上、よろしくお願いします。

お礼日時：2007/09/29 07:19