はじめに
社内で内製のメールサーバーを使用していると、クラウドEメールフィルタリングの導入に踏み切れないお客様がおられます。その理由は、MXレコード変更や内部NWのルーティングだけでなく、内製メールサーバーの設定が原因で、メールが届かなくなる可能性があるからです。つまり、切り分けの手間が増加してしまうということですね。万が一、メールフィルタリングがうまく動作しなかった場合、切り戻しをしなければならなくなるかもしれない…と思うと、なかなか一歩踏み出す勇気が出ないものです。
しかし、クラウドEメールフィルタリングは、現代のサイバー攻撃対策において、必要なシステムです。「手軽に導入できるのであれば、導入したい」というお気持ちがあるセキュリティ担当者様も多いのではないでしょうか。
そこで、本日は自社へクラウドメールフィルタリングを導入する際、担当SEがハマったMDaemonの設定をご紹介させて頂きます。
ハマったポイントその1 受信メールはフィルタリングされるようになったが、メールの送信がうまくいかない
MXレコードをクラウドEメールフィルタリングサービスへ向けて変更した後、受信メールはすぐにフィルタリングされるようになったのですが、メールの送信ができなくなる現象が発生しました。原因の調査を行う過程で、MXレコードの設定と、社内NWのルーティングに問題がないことは確認できました。
この問題が発生した原因は、内製メールサーバーであるMDaemonの「SPF検証」にありました。「SPF設定」にある「メッセージ転送時SMTP envelopeでローカルアドレスを使用する」の箇所に、チェックが入っていなかったことが原因でした。
MDaemonのSPF設定部分に書かれたマニュアルを以下に要約します。
一般的に、転送されたメッセージは、実際に転送を行っている電子メールアドレスではなく、元の送信者の電子メールアドレスが使用されて送信されます。ただし、状況によっては、受信サーバーが転送されたメッセージを「偽装されたアドレスを有する」と誤認識しないようにするために、ローカルアドレスを使用することが必要な場合があります。 このオプションは、デフォルトで有効になっています。
参考Webサイト:SPF 検証 (wareportal.co.jp)
この、太字の箇所が影響していました。この環境では、それまでオンプレミス型のメールフィルタリングシステムを使っていたため、敢えてこのチェックを外していたようです。
ハマったポイントその2 古いメール転送システムを持つサービスから届いたメールを受け取り拒否してしまう
受信メール、送信メール共にEメールフィルタリングが有効になり、これで問題ないと思われていた、数日後のことでした。一部のサービスから転送されたメールだけが弾かれるという現象を、担当者が確認しました。
それは、Eメールフィルタリングシステムが、一部のサービスから到達するメールのみ、SMTP認証エラーで受信そのものを拒否するという現状でした。そのサービスから届いたメールヘッダーを確認してみると、SMTP認証の手法が古いため、Eメールフィルタリング側のセキュリティ判断で弾かれていた事が分かりました。
こういった状況が発生した場合は、MDaemon側でIPシールドの設定を行う必要があります。IPシールドは、対象ドメインからのSMTPセッションに対して、正しく関連付けられたIPアドレスからの接続である場合のみ許可する仕組みです。
上記の設定に対象ドメインとIPアドレスを追加した所、受信できなかったメールが受信可能になりました。
原因の究明を少しでも楽にするために
このように、クラウドEメールフィルタリングシステム導入の際は、内製メールサーバーの設定変更が必要になる場合があります。過去の担当者の運用方針によって、デフォルトでオンになっているはずの設定が、オフになっている場合もあります。そのため、クラウドEメールフィルタリングシステムの導入をする際は、原因の切り分けがしやすいシステムを選定いただくことをおすすめします。
その結果、導入で万が一問題が発生した際に、原因がEメールフィルタリングシステムなのか、社内NWのルーティングなのか、メールサーバーなのかの判断を素早く行う事ができます。
おわりに
ここまでお読みいただき、ありがとうございました。
以上で、今回のブログを終わらせて頂きます。少しでも皆様のご参考になりましたら幸いです。
Heimdal Eメールセキュリティは、MXレコードの変更で開始できる、クラウドEメールフィルタリング製品です。シンプルな設定かつ、低コストで運用が開始できるため、中小企業向けかつ、現場作業の切り分けにも最適です。
