SMTP 接続の DNS ブラックリストフィルタを有効にする

不要な商用メール (UCE) や SPAM がシステムに入らないようにするため、SMTP 受信接続が 1 つ以上の DNS ブラックリスト (DNSBL) にリストされたサーバーから発信されていないかどうかを確認するように Domino® を設定することができます。DNSBL は、SPAM の既知の発信元や、サードパーティを許可するオープンリレーであるインターネット SMTP ホストを記録するデータベースです。

このタスクについて

DNS ブラックリストフィルタを有効にすると、SMTP 受信接続ごとに、Domino® が指定されたサイトのブラックリストに対して DNS 照会を実行します。接続ホストがリストに掲載されている場合、Domino® は、コンソールメッセージと Notes® Log の [Mail Routing Events] ビューへのエントリでレポートします。コンソールメッセージとログエントリには、そのサーバーのホスト名と IP アドレス、サーバーがリストされていたサイトの場所が記載されます。

イベントがログに記録されるだけでなく、Domino® を設定してブラックリストに載っているホストからのメッセージを拒否したり、そのホストから受信したメッセージにフラグを付ける特別な Notes® アイテムを追加することができます。

チェックする DNS ブラックリストサイトを指定する

このタスクについて

DNS ブラックリストフィルタを有効にすると、接続ホストが「既知」のオープンリレーや SPAM の発信元であるかどうかを判別するために SMTP タスクが使用するサイトを指定できます。IP ベースの DNS ブラックリスト照会をサポートするサイトを指定します。

Domino® でブラックリストの 1 つに接続ホストと一致するものがあった場合、その他に設定されたサイトのリストのチェックは行われません。

Domino® では接続ごとに各サイトに対して DNS 検索が実行されるため、パフォーマンス上の理由からサイト数を制限することを推奨します。

DNS ブラックリストを保持しているパブリックおよびプライベートの購読サービスはいくつかあり、その中から選択できます。パブリックブラックリストサービスを使用する場合、Domino® ではインターネットを介して DNS 照会が実行されます。場合によっては、インターネットサイトに送信された DNS 照会の解決にかなりの時間を要することがあります。インターネットを介して実行された DNS 照会のネットワーク待ち時間によってパフォーマンスが低下した場合、ゾーン転送を使用できるプライベートサービスと契約し、Domino® が必要な DNS 検索をローカルホストで実行できるようにすることを検討してください。ゾーン転送中に、サービスプロバイダの DNS ゾーンファイルの内容は、ローカルネットワークの DNS サーバーにコピーされます。

各ブラックリストサービスは、サーバーをそのリストに追加するための独自の基準を使用しています。ブラックリストサイトは、自動化されたテストとその他の方法を使用して、対象のサーバーが SPAM を送信しているかやオープンリレーとして稼働しているかを確認します。制限がより厳しいブラックリストサイトでは、サーバーが SPAM の発信元として確認されたかどうかに関係なく、自動化されたテストに不合格になると直ちにリストに追加されます。制限が厳しくないサイトでは、指定された猶予期間に管理者がそのサーバーからサードパーティへの中継を閉じるのに失敗するか、サーバーが既知の SPAM 発信元に対してホストとして稼働している場合にのみ、サーバーをリストに追加します。

インターネットを検索すると、さまざまな DNS ブラックリストサービスのエントリ数の定期的なレポートを提供するインターネットサイトが見つかります。

DNS ブラックリストチェックから除外されるホスト

このタスクについて

Domino® では不要な DNS 検索を避けるために、SMTP インバウンドリレー制限の指定に従ってリレーチェックが行われるホストでのみ DNS ブラックリストチェックが行われます。中継を許可されたホストは、ブラックリストチェックから除外されます。たとえば、デフォルトでは、Domino® では外部ホストにのみインバウンド・リレー制限が適用されます ([ルーター/SMTP] > [制限と制御] > [SMTP インバウンド] タブの設定 [指定した接続ホストへアンチリレー制限を実施する])。デフォルトの設定を使用すると、内部ホストはリレー制御を適用されないため、ブラックリストチェックからも除外されます。

DNS ブラックリストにあるホストからの接続を Domino® が処理する方法を指定する

このタスクについて

ブラックリストの 1 つに接続ホストが見つかった場合に、次のアクションを実行するように Domino® を設定することができます。

  • [ログのみ]
  • [メッセージのログとタグ]
  • [メッセージのログと削除]

どちらの場合も、サーバーは次の情報を Notes® ログ内に記録します: ホストの IP アドレス、ホスト名 (DNS 逆検索がこの情報を判別できる場合)、ホストがリストされているサイトの名前。

メッセージにタグを付けると、Domino® でブラックリストに掲載されていたホストから受信したメッセージに特別な文書 (Note) アイテムが追加されます。Domino® によってブラックリストに接続ホストがあると判別されると、MAIL.BOX に保管する前に、そのホストからの受信した各メッセージに文書 (Note) アイテム、$DNSBLSite が追加されます。$DNSBLSite アイテムの値がホストが含まれていたブラックリストサイトです。管理者は、$DNSBLSite 文書 (Note) アイテムを使用して、ブラックリストに掲載されていたホストから受信したメッセージのカスタム処理を提供できます。たとえば、エージェントまたはビューの式を使用してアイテムの存在をテストしたり、アイテムを含むメッセージを特別なデータベースに移動するなど、メッセージを条件に応じて処理できます。

Domino® がブラックリストにホストを見つけたときに実行されるアクションを検討する場合、使用する DNS ブラックリストサイトのポリシーに応じてアクションを選択してください。たとえば、使用するサービスがとても厳しい基準を使用している場合、ブラックリストには、「偽陽性」のホストが含まれていることがあります。つまり、ブラックリストに記載されたホストが既知の SPAM 発信元ではないことがあります。その結果、ブラックリストに掲載されていたすべてのホストからのメールを拒否するアクションを実行すると、重要なメッセージの受信を妨げることもあります。

特に制限がより厳しいサイトのブラックリストを使用する場合、慎重にアクションを実行してください。選択したアクションは、指定された各ブラックリストサイトに適用されます。つまり、1 つのサイトのリストで見つかったホストの接続は拒否するが、別のサイトのリストで見つかったホストについてはそのイベントをログに記録するだけにするように Domino® を設定することはできません。

DNS ブラックリストの統計

このタスクについて

SMTP タスクは、設定された各サイトの DNSBL で検出された接続ホストの数や、結合されたすべてのサイトの結合された DNSBL で検出された接続ホストの総数をトラッキングする統計を管理します。統計は SMTP タスクによって管理されるため、タスクの実行期間中にのみ収集され、タスクが停止すると消去されます。

統計を表示するには、Domino® Administrator やサーバーコンソールで SHOW STAT SMTP コマンドを使用します。統計をさらに拡張し、設定された DNSBL の 1 つで特定の IP アドレスが検出された回数を記録できます。詳細な情報を収集するには、サーバーの NOTES.INI ファイルに変数 SMTPExpandDNSBLStats を設定します。統計を拡張すると生成される数値が大きくなるため、デフォルトでは、Domino® では拡張された統計は記録されません。

注: Domino® 接続ホストがブラックリストに掲載されているかどうかを調べるために DNS ブラックリストサイトに照会するときは IP version 4 (IPv4) アドレスが使用されます。接続ホストが IP version 6 (IPv6) アドレスの場合、Domino® では、そのホストについては DNSBL チェックはスキップされます。

デフォルトのエラーメッセージを変更する

手順

ブラックリストに載せられたホストを拒否する場合、Domino® ではそのホストにはデフォルトの SMTP 応答が返されます。これには、リモートホストの IP アドレスとそのホストをリストに載せているブラックリストサイトが含まれます。この応答は、サーバー設定文書の [削除されたメッセージにカスタム SMTP エラーを返信する] フィールドでカスタマイズできます。応答をカスタマイズするときには、拒否するホストの IP アドレスとホストがブラックリストに掲載されていた DNSBL サイトを表すために文字列形式指定子 %s を使用できます。詳しくは、次の手順の表を参照してください。

DNS ブラックリストフィルタを有効にするには

このタスクについて

設定するサーバーのサーバー設定文書が既に存在することを確認します。

手順

  1. Domino® Administrator で、[設定] タブをクリックし、[メッセージング] セクションを展開します。
  2. [設定] をクリックします。
  3. メールサーバーか DNS ブラックリストフィルタを有効にする必要があるサーバーのサーバー設定文書を選択し、[サーバー設定の編集] をクリックします。
  4. [ルーター/SMTP] > [制限と制御] > [SMTP インバウンド] タブをクリックします。
  5. [DNS ブラックリストフィルタ] セクションの以下のフィールドに入力し、[保存して閉じる] をクリックします。
    1. DNS ブラックリストフィルタのフィールド

    フィールド

    Enter

    DNS ブラックリストフィルタ

    新しく作成したグループのオプションとして、

    • [有効] - Domino® は、SMTP 接続要求を受信すると、指定されたサイトのブラックリストにその接続ホストが掲載されているかどうかをチェックします。
    • [無効] - Domino® では、接続ホストがブラックリストに掲載されているかどうかはチェックされません。

    DNS ブラックリストサイト

    DNS ブラックリストフィルタを有効にした場合に、Domino® が SMTP 接続要求を受信したときに、チェックする DNSBL サイトを指定します。

    接続しようとしているホストが DNS ブラックリストで見つかったときに必要なアクション

    新しく作成したグループのオプションとして、

    • [ログのみ] - Domino® で接続ホストがブラックリストに掲載されていると判明した場合、そのホストからのメッセージは受け付けられ、接続サーバーのホスト名と IP アドレス、およびサーバーがリストされていたサイトの名前が記録されます。
    • [メッセージのログとタグ] - Domino® で接続ホストがブラックリストに掲載されていると判明した場合、そのホストからのメッセージは受け付けられ、接続サーバーのホスト名と IP アドレス、およびサーバーがリストされているサイトの名前が記録されます。さらに、受け付けられた各メッセージに Notes® アイテム $DNSBLSite が追加されます。
    • [メッセージのログと削除] - Domino® で接続ホストがブラックリストに掲載されていると判明した場合、接続は拒否され、設定可能なエラーメッセージがそのホストに返されます。

    削除されたメッセージにカスタム SMTP エラーを返信する

    Domino® で、DNS ブラックリストにホストが掲載されていたために接続を拒否する場合に返されるエラーメッセージを入力します。デフォルトのエラーメッセージは、ポリシー上の理由で接続が拒否されたことを示します。

    Domino® では、拒否されたホストの IP アドレスとそのホストがリストに掲載されていた DNS ブラックリストサイトを示すために、形式指定子 %s を使用できます。たとえば、次のように入力します。

    Your host %s was found in the DNS Blacklist at %s

    Domino® により接続が拒否されると、ホストにエラーが返されます。そのエラーメッセージでは、最初の %s はホストの IP アドレスに、2 番目の %s は DNS ブラックリストサイト名に置換されます。

  6. SMTP タスクを再ロードするか、SMTP の設定を更新して、新しい設定を有効にします。