マンガでよめる痔のこと・薬のこと

現在メールサーバはASPを利用しており、社内に環境はありません。
今回、社内に設置してあるFWに、DMZを新設して、
そこにメールサーバを設置しようとしています。

通常なら、DMZにはSMTPサーバ(メールリレーサーバ)のみ設置し、
POPサーバ(Exchange等)は社内LANに設置する方法がセキュリティ的にも
妥当かと思いますが、今回の用件としては、どうしてもインターネット上からの、
メール参照が必須となります。
(インターネット上からDMZ上のPOPサーバにPOPしに来る)
要は、自宅からメールが見たいということになります。

そこで、FWに空ける穴としては、下記追加を想定しておりますが、
問題等あればご指摘願いますでしょうか。

Untrust⇒DMZ ・・・SMTP(25)、POP3(110)を許可
Trust⇒DMZ ・・・SMTP(25)、POP3(110)を許可

※なお、SMTPサーバ、POPサーバはPostfixでの構築です。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

複数からのアクセスがある状態で、自前で置くのならばIMAPという方法もありますが…。


クライアントソフトがイマイチということが多いですかね。

>※なお、SMTPサーバ、POPサーバはPostfixでの構築です。

postfixではPOPサーバになりませんのでご注意を。
ありがちなのとして、postfixではMaildirに配信してPOPサーバがmboxを参照(あるいはその逆)してして、メールが受信できない。なんてのも。

ポートに関しては#1さんが回答されていますし。
他ドメインへの中継の際にOP25Bに引っかかることもあります。
その場合は契約されているISPなどで中継用のサーバが用意されていると思われますので、問い合わせしてみてください。
    • good
    • 0

最近は、「Outbound port25 blocking」といって、そういう目的で25番が使えなくなっているプロバイダが多いです。


「自宅」のプロバイダがOP25Bをしている場合、ポート25番宛のままではメールが送信できなくなります。
http://bb.watch.impress.co.jp/cda/special/14369. …

SMTPの方は、自宅からのメール送信用に Submission ポート(587)も使うようにした方がよいでしょう。
SMTPサーバ側で、
25番: 認証なし。自ドメイン宛のメールのみ受け取る
587番: 認証あり。他ドメイン宛のメール中継を受け付ける
ようにし、メーラ側では、メール送信設定をポート587番宛にします。

あとは、可能なら、POP3S/SMTPSの導入も検討すべきでしょう。
http://www.atmarkit.co.jp/fwin2k/win2ktips/973ma …
独自のポート(POP3S:995/SMTPS:465)を使うことも出来ますし、
既存のポート(POP3:110/SMTP:587)のまま、TLSによって途中から暗号化する方法もあります。
どちらを使うかはクライアント次第です。
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

Q内部メールサーバと外部メールサーバを分けない?

http://www5e.biglobe.ne.jp/~aji/3min/ss/ss12.html

解答には、おねーさんのセリフとして
「メールは無理に分けなくてもいいと言えばいいわね。」
とありますが、WebサーバやDNSサーバと比較してメールサーバは何故制限を比較的緩くできるのか?

Aベストアンサー

WebサーバとDNSサーバは外部用、内部用で中身
(登録されている情報)が違うので、分ける必要が
あるという考えでこの方は書かれていると思います。

運用方法によって違いますが、普通内部用DNSサーバには
内部のコンピュータの情報が登録されていますので、
外部用、内部用は分ける必要があります。

Webサーバについては全く同じ内容のサーバであれば
分ける必要はあまりないと思いますが、外部用、
内部用でコンテンツが全く違うのであれば分けるのは
当然です。

本題のメールサーバについてですが、私の意見としては
「外部用、内部用は分けるべき」
であると思います。

Web、DNSとは使い方がちょっと違うのですが、

・ユーザはメールの送受信を内部用メールサーバに対して行う。
・内部用メールサーバはユーザから要求があった社外へのメール送信を
 逐次外部用メールサーバに中継を行う。
・外部用メールサーバは内部用メールサーバから中継されたメールを
 社外のネットワークに中継する。また社外からの受信メールを
 内部用メールサーバに中継する。

こういう使い方ですね。

この構成であればF/Wになんらかの障害が発生しても
社内のメール送受信は止まりませんし、F/Wの外側に
社内から社内へのメールが流れることもありません。

>「メールは無理に分けなくてもいいと言えばいいわね。」
インターネット経由で内部の方がF/Wの外側のメールサーバを
利用するというニーズでもない限り、これは正しくないと思います。

WebサーバとDNSサーバは外部用、内部用で中身
(登録されている情報)が違うので、分ける必要が
あるという考えでこの方は書かれていると思います。

運用方法によって違いますが、普通内部用DNSサーバには
内部のコンピュータの情報が登録されていますので、
外部用、内部用は分ける必要があります。

Webサーバについては全く同じ内容のサーバであれば
分ける必要はあまりないと思いますが、外部用、
内部用でコンテンツが全く違うのであれば分けるのは
当然です。

本題のメールサー...続きを読む

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む

Q外向け(DMZ)・内向けの名前解決について

現在、ルータを2台接続し、
バリアセグメント(DMZ)とLAN側とネットワーク帯に分けています。
それぞれのネットワーク帯の名前解決はできており、
それぞれのネットワーク対からインターネットを閲覧できることも確認しています。
また、バリアセグメント(DMZ)内サーバからバリアセグメント(DMZ)内設置の公開webサーバを閲覧できることも確認できております。
ここで、疑問にもっておりますのは、
LAN側内設置のクライアントから
バリアセグメント(DMZ)内設置の公開webサーバを閲覧することなのですが、どのように設定すればよろしいのでしょうか?
IPaddressを直打ちすれば閲覧できることは確認しています。
よろしくお願いします。

Aベストアンサー

こんにちは
アドレス等の情報が不足しているので、推測になってしまいますが、
nslookup で検索したアドレスは、グローバルIP アドレスで、
かつ
DMZ セグメントのアドレスはプライベートIP アドレスではありませんか?

この状態の時には、社内DNS を用意し、
社内PC には公開Web サーバのアドレスを
プライベートIP アドレスで返すようにする必要があります。

もしくは、hosts ファイルにプライベートIP アドレスを記載し、
PC にインストールすると言う方法があります。

Qメールにもproxyってありますか?

メールに使うためのproxyというものはあるのでしょうか??

もし出来れば使いたいのですが、設定方法やproxy自体も何を使ったらよいのかわかりません??

どなたかご存知の方おられましたらアドバイスいただけたら幸いです。

宜しくお願いいたします。

Aベストアンサー

単に送信メールを中継したいだけでしたら、qmailでもsendamilでもできます。メールの中継はメールサーバの基本機能ですから。

匿名性が欲しいということでしたら、フリーメールを使うのが一番手っ取り早いのではないでしょうか?

#2の方のおっしゃるように目的をはっきりさせたほうが良いと思いますよ。

Q【MTA】postfixとsendmail【違い】

はじめまして。シアトルでシスアド見習いをしている者です。

今日みなさんにお聞きしたいのは、postfixとsendmailMTAの違いについてです。

いろいろな記事で比較されておりましたが、Google先生に聞いたところ
・sendmailは設定が複雑だけど未知のプロトコルにも対応している
・postfixは設定は簡単、MailDir構造を使用していて、SMTPプロトコルに特化
のような内容が沢山出てきました。

また、itmedia様の過去ログにて
・sendmailは送受信共にsendmailにて可能
・postfixは受信は受けるが、送信は外部MDA(?)
のような違いがあるとも書いてありました。

しかしながら、動作的にこれら二つのMTAが具体的にどう変わるのかについての説明がなされている記事が見当たらず、ここで質問させていただいた次第でございます。

内容としましては現在、システムが使用するMTAとして、現在postfixとsendmailがサーバーに入っております。
システムが使うMTAの設定は

/etc/alternatives/mta -> /etc/alternatives/sendmail.sendmail

となっています。
またMTAの候補は以下の二つです。

/etc/alternatives/sendmail.sendmail
/etc/alternatives/sendmail.postfix

そこで質問なのですがこのmtaのリンクをsendmail.sendmail -> sendmail.postfixに変更した場合、何か具体的に動作の違いは出てくるのでしょうか?

よろしくお願いいたします。

はじめまして。シアトルでシスアド見習いをしている者です。

今日みなさんにお聞きしたいのは、postfixとsendmailMTAの違いについてです。

いろいろな記事で比較されておりましたが、Google先生に聞いたところ
・sendmailは設定が複雑だけど未知のプロトコルにも対応している
・postfixは設定は簡単、MailDir構造を使用していて、SMTPプロトコルに特化
のような内容が沢山出てきました。

また、itmedia様の過去ログにて
・sendmailは送受信共にsendmailにて可能
・postfixは受信は受けるが、送信は外部MDA(?...続きを読む

Aベストアンサー

どちらもデフォルトの状態であればローカル配送のみでしょうから、SMTPとしての表面的な動作にそれほど違いはありません。

altanativesして不都合が生じるとしたら、コマンドベースのsendmailのリンクが張り替えられてオプションに違いがでてくるので、それを呼び出してるプログラム(CGIなど)がネイティブsendmail固有のオプションを付加している場合はエラーになるってくらいですかね。


まあそれはあくまでも表面的な動作としてであってです。内部的にはたくさん違いがありますよ。
SMTPサーバとして稼働済みのSendmailをPostfixに置き換えようとしているのだとしたら、話はもっとややこしくなると思います。

QDBサーバをどこに置くのがよいか

インターネットに公開しているWebシステムのDBサーバを内部ネットワークに置くのがよいのか、
DMZに置くのがよいのかで悩んでいます。

※ここでいうDBサーバは、個人情報を取り扱っていますが、外部に公開していない別の
システム等が使用しているデータは居候していません。

以前の私の認識では、WebサーバをDMZに置き、DBサーバは内部ネットワークに置いて、
DBサーバへの接続はWebサーバからのみに限定するというのが一般的なのではないかと
思っているのですが、今も同じでしょうか?

内部ネットワークにDBを置いた場合、次の問題が考えられるので、本当に大丈夫なのかと
思ってしまいます。。

- DMZから内部ネットワークへの通信が許可しなければならないこと。
- WebサーバとDBサーバの接続をFWで遮断したとしても、WebサーバからDBサーバに
接続するためには、あらかじめWebサーバの設定ファイルにDBサーバのユーザ名とパスワード
を書いておく必要があります。なので、、WebサーバとDBサーバ間のFWがあまり役に立たないのではないか。(Webサーバが乗っ取られた時点で、苦労なく個人情報も抜かれるリスク大)
そればかりか、DBサーバを内部に置くことで、DBサーバをDMZに置いた時よりも内部
ネットワークが脆弱になると考えられる。(DMZから内部ネットワークへの通信を許可する必要あり)
- 総合すると、最近の Linux や Windows にはFW機能があるので、何も内部ネットワークに
置かなくても、その機能を有効化しサーバ自体はDMZに置けば内部ネットワークに置くよりも
全然よいのではないかと思える。

よろしくお願いいたします。

インターネットに公開しているWebシステムのDBサーバを内部ネットワークに置くのがよいのか、
DMZに置くのがよいのかで悩んでいます。

※ここでいうDBサーバは、個人情報を取り扱っていますが、外部に公開していない別の
システム等が使用しているデータは居候していません。

以前の私の認識では、WebサーバをDMZに置き、DBサーバは内部ネットワークに置いて、
DBサーバへの接続はWebサーバからのみに限定するというのが一般的なのではないかと
思っているのですが、今も同じでしょうか?

内部ネットワークにDB...続きを読む

Aベストアンサー

>こちらで決められるのは、WebサーバとDBサーバを
>どこのセグメントに置くかのみなんです。

そういうことなら選択肢はDMZしかないと思いますけど。
DBサーバーを内部ネットワークに配置してDMZからの通信を許可するとかDMZの意味がないですし。

#1の方の案を提案してみるだけしてみるのが一番だと思いますが。

Qサーバ仮想化におけるCPUコアについて

こんばんは。まだ勉強中なのですが、
サーバ仮想化を行う時のCPUのコアについて教えてください。

たとえば、
6Core/12スレッドのCPUを2個搭載します。
ハイパーバイザーはVMware vSphere5またはHyper-Vを使います。

この時、計12Core有していますので、
仮想マシンに対しては、12コアから各々割り当てていくということを認識していますが(ESX等が使う分は置いといて)

1.ハイパースレッドが有効なら、2倍の計24コアいけるということでしょうか。
2.実際このあたりを考慮する際はあくまで物理コアをもとに設計をするのでしょうか。
3.上記のとおりとすれば性能的には落ちるよう感じてしまいますが実際はどうなんでしょうか。

そもそも考え方が間違っていればご教示頂ければ幸いです><

Aベストアンサー

>1.ハイパースレッドが有効なら、2倍の計24コアいけるということでしょうか。

そうであるとも言えるし、そうでないとも言える。
要は設計次第。

>2.実際このあたりを考慮する際はあくまで物理コアをもとに設計をするのでしょうか。

サイジングの考え方としては正しい。

>3.上記のとおりとすれば性能的には落ちるよう感じてしまいますが実際はどうなんでしょうか。

設計と運用には開きがあるので一概には言えない。

ハードウエアメーカーにサイジングさせると、ゲストOSの使用CPUは物理コア数以下に抑えるよう見積もってくる。
VMware社のセミナーでは物理CPUの1.5倍くらいまでは大丈夫と言う。

仮想化技術とはゲストOSのリソースを振り分けてロードバランスを行い、物理リソースを有効活用する技術だから。
全てのゲストOSのCPU使用率が常時100%なら、物理コア数以下にするのが正しいが、運用においてそのようなことはあり得ない。
要は、全てのゲストOSの使用リソースを合算して、割れば必要量が見えてくるはず。

ただし、使用リソースの見積をピークに持ってくるのか、アベレージで持ってくるかによって違う。
CPUだけでなく、メモリやハードディスクやネットワークもね。

>1.ハイパースレッドが有効なら、2倍の計24コアいけるということでしょうか。

そうであるとも言えるし、そうでないとも言える。
要は設計次第。

>2.実際このあたりを考慮する際はあくまで物理コアをもとに設計をするのでしょうか。

サイジングの考え方としては正しい。

>3.上記のとおりとすれば性能的には落ちるよう感じてしまいますが実際はどうなんでしょうか。

設計と運用には開きがあるので一概には言えない。

ハードウエアメーカーにサイジングさせると、ゲストOSの使用CPUは物理コア数以下に抑え...続きを読む

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

QNTP の TCPポートは?

NTPは123/UDPでようは足りると思うのですが、
WELL KNOWN PORTとかいろいろな資料に「123/TCP」ポートが割当たってます。
ntpd,ntpdate等でNTPを使う場合、実際には123/TCPは使われているのでしょうか?

Aベストアンサー

RFC1305では「ntpには123/udpを割り当てる」となっていますが、RFC1700では「123 ntp」となっており、「123/udp」と明示されているわけではありません。
よって、「123/tcp ntp」が間違っている(または使えない)という明確な根拠にはなりません。

「現状では『123/tcp ntp』を実装するための定義が存在しない」程度に考えた方が良いと思います。

ただ、将来的にRFC2030のSNTPが(IPv6対応などの点で)主流になる可能性があるので、「123/tcp ntp」は定義されない可能性もあります。


人気Q&Aランキング