安全なメール環境の構築

以下のテキストは、執筆時当時の情報を元に書いたものであり、 現在の情勢にそぐわないことを含む場合があるので注意されたい。 また、テキストは最終提出原稿で校正を経る前のものなので、実際にUNIXUSER 本誌に記載されたものとは異なる。誤字脱字等そのままである。

致命的な誤り以外は加筆修正等は行なわないので情報の鮮度に気をつけつつ 利用して欲しい。

目次

註1: 本記事は当初Part4として執筆したが前後の記事のバランスを 考えてPart3として掲載された。

註2: 記事では tcp wrappers を利用するように書いているが、 今となっては tcpserver(ucspi-tcp) の利用を断然お勧めする。


PartIV 安全なメイル環境の構築

電子メイルはいまや最も基本的なインターネットを利用したインフラであるとい
えよう。基本的であるがゆえに新しく導入されたサーバに最初に入れることを要
求される初級管理者も多いのではなかろうか。ここではqmailを利用したメイル
サービス環境を構築する手順を説明する。

ここでの解説は一般的なシステム環境でのインストールを前提にしているが、
PartIIIで解説したJail環境内にメイルシステムを構築するのも効果的だろう。
PartIIIで作成したjail環境はユーザレベルで見ればおおむね本体システムの環
境と変わらないものであるため、以後の説明での作業をjail環境内で行なったと
してもさほど変わらないはずである。


■メイルサーバの導入

	メイルサーバを構築するときにセキュリティ上気をつけるべき点は何だ
	ろうか。ひとつはサービスデーモンプログラムのセキュリティホールに
	よる侵入に警戒するという点。そしてもう一つはアカウントを所有して
	いない外部の不心得者にSMTPサーバを勝手に利用させないよう注意する
	という点である。

	前者に関しては現在最も安全だとの評判が高いqmailを利用することを、
	後者に関しては外部ネットワークからのSMTPサーバ利用に "POP before
	SMTP" 手法を用いることを今回の方針とする。

  ●qmailの特長

	D. J. Bernstein 氏によるqmailは信頼性の高さと高速な配送性能が特
	長である。現在最も良く利用されているMTAである sendmail はインター
	ネットの大普及のはるか以前からインターネット以外のネットワークと
	のメイルのやりとりをも実現するサービスプログラムとして長く活躍し
	て来た。しかしその分プログラムは大きく、複雑化し、それを制御する
	設定ファイル sendmail.cf (を生成するCFなどの定義ファイル) も設定
	すべき項目が非常に多く、それを初めて目にする管理者を悩ませている。

	qmailはsendmailが担っていた過去のサービスや習慣を全く捨てた、現
	代のインターネットを利用する電子メイルに即した新しいデザインとなっ
	ている。それゆえsendmailでの運用に慣れている管理者が最初にqmail
	の設定を試みるときには、sendmailでの設定に対応するものが見当たら
	なくて面食らうかもしれない(※ほ)。むしろ、sendmailの知識が少ない
	管理者の方がすんなりqmailの管理に馴染めるのではないだろうか。

--- 註[ほ] ---------------------------------------------------------------
  筆者もその口であった。
--------------------------------------------------------------------------

	また、安全性と高速性という謡い文句に隠れてあまり着目されないのだ
	が、qmailが一般利用者に与える利便性の高さは、乗り換えの苦労を補っ
	て余りあるものである。代表的なものとして一般利用者が個人で持つこ
	とのできるメイルアドレスの数に制限が無くなるというものがあり、こ
	れをうまく利用すると「個人メイル用」、「管理者メイル用」、「仕事
	のML受信用」、「趣味のML受信用」など複数の立場で別々にメイルを受
	けることや、簡単な連絡用メイルリストなどを手軽に作成することが可
	能になる。

  ●qmail導入の流れ

	新規にメイルサーバを構築する場合の作業の流れは以下のようになる。

		1. メイルドメインのDNS登録
		2. qmailのインストール
		3. アクセス制限

	qmail自体のインストールは簡単なので、2.まではあっさりとできてし
	まう。しかし、初期状態では外部からのメイルサーバ不正利用も可能な
	状態になりかねない。いくらqmailの安全性が高くても、管理者がしっ
	かりとアクセス制限を施さなければUBE(Unsolicited Bulk E-mail:いわ
	ゆるSPAMメイル)発信の温床となってしまうので、最後のステップまで
	一気に設定するよう気をつけて欲しい。

  ●メイルドメインのDNS登録

	新規にメイルドメインを起こすときに必須の作業として、メイルドメイ
	ンのDNS登録がある。これを正確に行なわないと、メイルが届かないば
	かりか外部のメイルサーバに無駄な負担をかけて迷惑をかけることにも
	つながるので慎重に行なって欲しい。

	すでにWWWサーバのDNS登録の手順で説明したのと同様にゾーンファイル
	を編集する。ここでは、新規にメイルを受けるホストを
	mail.hoge.co.jp であると仮定する。

	/--- リスト4 [hoge.zone] -------------------------------------------
	|$TTL	86400
	|@	IN	SOA	ns.hoge.co.jp. postmaster.hoge.co.jp. (
	|			2000101000	; Serial No
	|			10800		; Refresh = 3 hours
	|			3600		; Retry   = 1 hour
	|			3600000		; Expire  = 1000 hours
	|			86400		; Minimum = 1 day
	|			)
	|	IN	NS	ns.hoge.co.jp.
	|	IN	NS	ns2.hoge.co.jp.
	|	IN	MX	0  mail.hoge.co.jp.	;プライマリサーバ
	|	IN	MX	10 mail2.hoge.co.jp.	;セカンダリサーバ
	|;メイルサーバ
	|mail	IN	A	192.168.0.2
	|	IN	MX	0 mail.hoge.co.jp.  ;自身のプライマリサーバ
	|	IN	MX	10 mail2.hoge.co.jp.;自身のセカンダリサーバ
	|mail2	IN	A	192.168.0.3
	|	IN	MX	0 mail2.hoge.co.jp. ;自身のプライマリサーバ
	|	IN	MX	10 mail.hoge.co.jp. ;自身のセカンダリサーバ
	\-------------------------------------------------------------------

	リスト4の設定では、@hoge.co.jp 宛のメイルを受け取るプライマリサー
	バとして mail.hoge.co.jp を、さらにそのサーバが不調のときに一旦
	メイルを受け取るセカンダリサーバとして mail2.hoge.co.jp を指定し
	ている。MXを受け持つホストの指定にあるピリオドも重要なので間違え
	ないようにする。また、mailサーバを将来移転する可能性を考えてMXレ
	コードにCNAME(別名)を書いてしまいがちだが、これは外部のMTAを混乱
	させる可能性がある(※へ)ので、MXを受け持つホスト名は、**必ずAレ
	コードを定義する** ように注意する。また、このとき 192.168.0.2 の
	逆引き登録は必ずしも mail.hoge.co.jp でなくとも良いが、逆引きの
	登録先が CNAME になっていてはいけない。ややこしいので例を挙げよ
	う。リスト5では、メイルサーバとなるIPアドレスの逆引き登録として 
	www.hoge.co.jp. が定義してある。いっぽうこのホスト名の順引
	きゾーンファイルをを見ると、そこにはCNAMEが定義されている。

	/--- リスト5 メイルサーバにふさわしくない設定例 --------------------
	| [hoge.zone (順引き設定ファイル)] の一部
	|	:
	| mail		IN	A	192.168.0.2
	| venus		IN	A	192.168.0.2
	| www		IN	CNAME	venus
	|	:
	|
	| [192.160.0.rev (逆引き設定ファイル)] の一部
	|	:
	| 2		IN	PTR	www.hoge.co.jp.
	| 		;; www.hoge.co.jp. はCNAMEなので×
	|	:
	\-------------------------------------------------------------------

	このような設定は、古典的なIPアドレス偽造のテクニックと同種とみな
	されて、TCP Wrappers などのアクセス制御ツールを利用しているサイ
	トへの接続が拒否されるので、そうならないようとくに慎重に設定を行
	なう。

--- 註[へ] ---------------------------------------------------------------
  古いMTAの組合せではプライマリサーバにトラブルがあったときにループを起
  こす可能性が、qmail同士の組合せでは VirtualDomain 宛のメイル配送がうま
  く行かなくなる可能性がある。
--------------------------------------------------------------------------

  ●qmail-1.03のインストール

	メイルサーバのDNS登録を確実に済ませたら(※と)qmailのインストール
	に移る。執筆時最新版は qmail-1.03.tar.gz でこれも付録CDROMに収録
	されているのでそちらを利用されたい。

--- 註[と] ---------------------------------------------------------------
  利用するホストのDNS登録が不十分だと自動初期設定がうまくいかない。
--------------------------------------------------------------------------

	パッケージを展開すると INSTALL.* にマッチするファイルにインストー
	ル手順の説明が書いてある。これを参考に作業を進めよう。作業は

		1. qmail動作に必要なUID/GIDの登録
		2. qmailのコンパイルとインストール

	という流れとなる。以後の説明は、サーバマシンに初めてqmailをイン
	ストールするという前提で進める。また、作業は、qmail-1.03パッケー
	ジを展開したディレクトリで行う。

	+-------------------------------------------------------------------
	| # tar vzxpf qmail-1.03.tar.gz
	| # cd qmail-1.03
	+-------------------------------------------------------------------

	(1)UID/GIDの登録

	    INSTALL.ids ファイルを参考に登録作業を行う。

	    +-------------------------------------------------------------
	    | # pw groupadd nofiles
	    | # pw useradd alias -g nofiles -d /var/qmail/alias -s /nonexistent
	    | # pw useradd qmaild -g nofiles -d /var/qmail -s /nonexistent
	    | # pw useradd qmaill -g nofiles -d /var/qmail -s /nonexistent
	    | # pw useradd qmailp -g nofiles -d /var/qmail -s /nonexistent
	    | # pw groupadd qmail
	    | # pw useradd qmailq -g qmail -d /var/qmail -s /nonexistent
	    | # pw useradd qmailr -g qmail -d /var/qmail -s /nonexistent
	    | # pw useradd qmails -g qmail -d /var/qmail -s /nonexistent
	    +-------------------------------------------------------------

	(2)qmailのコンパイルとインストール

	    まずqmailをインストールするディレクトリを作成する。

	    +-------------------------------------------------------------
	    | # mkdir /var/qmail
	    +-------------------------------------------------------------

	    続いてコンパイル、インストールを行う。

	    +-------------------------------------------------------------
	    | # make setup check
	    +-------------------------------------------------------------

	    そしてそのホストに固有の設定ファイルを作成してもらう。

	    +-------------------------------------------------------------
	    | # ./config
	    +-------------------------------------------------------------

	    ホストのDNS登録が完了していればconfigスクリプトにより必要最
	    低限の設定ファイルが自動作成される。もしうまく行かない場合は、
	    定義ファイルを全て手動で作成する必要があるがさほど難しくない。
	    基本的な定義ファイルの書き方に関しては後述する。

	    次に最低限のシステム全域のアドレスエイリアスを定義する。

	    +-------------------------------------------------------------
	    | # (cd ~alias
	    | >  touch .qmail-postmaster .qmail-mailer-daemon .qmail-root
	    | >  chmod 644 ~alias/.qmail*
	    | >  )
	    +-------------------------------------------------------------

	    この例では postmaster, MAILER-DAEMON, root というメイルアド
	    レスを有効化している。

	    ここまでエラーがなく進めば、qmailのインストールに必要な最低
	    限の設定は完了していると言って良い。実際に起動してみて正しく
	    配送されるかどうかを確認しよう。起動に必要なスクリプトを作成
	    する。

	    +-------------------------------------------------------------
	    | # cp /var/qmail/boot/home /var/qmail/rc
	    +-------------------------------------------------------------

	    qmailの配送デーモンを起動する前に、qmailを利用する場合の障害
	    とならないようsendmailを止めておくことが必要である。まず、本
	    体システムの /etc/rc.conf にsendmailの非起動を記述する。

	    /--- [/etc/rc.conf に追加] -------------------------------------
	    | sendmail_enable="NO"
	    \---------------------------------------------------------------

	    もし、sendmailが動いている場合はこれを止め、さらに sendmail
	    コマンドをqmail付属のwrapperに置き換える。

	    +-------------------------------------------------------------
	    | # killall sendmail
	    | # cd /usr/sbin
	    | # mv sendmail sendmail.bak
	    | # chmod 0 sendmail.bak
	    | # ln -s /var/qmail/bin/sendmmail sendmail
	    +-------------------------------------------------------------

	    /var/qmail/bin/sendmail はコマンド経由でメイルを送信するとき
	    に sendmail と同様のインタフェースで送れるようにするものであ
	    る。これは送信時の日付をGMTで記録するのだが、もしローカル時
	    刻(JST)で記録して欲しい場合は /var/qmail/bin/sendmail のかわ
	    りに /var/qmail/bin/datemail を /usr/sbin/sendmail の置き換
	    えとすると良い。

	    最後にSMTPサーバとして機能させるために /etc/inetd.conf に登
	    録しよう。FreeBSD 4.1.1R の場合は標準状態の inetd.conf に
	    qmail用の定義がコメントアウトされた形で入っているので通常は
	    このコメントを外して

	    /--- [/etc/inetd.conf の一行] ----------------------------------
	    | smtp   stream  tcp     nowait  qmaild  /var/qmail/bin/tcp-env  tcp-env /var/qmail/bin/qmail-smtpd 
	    \---------------------------------------------------------------

	    とする。あとで直ちに動作実験に入る場合はinetdにHUPシグナルを
	    送っておく。

	    +-------------------------------------------------------------
	    | # killall -HUP inetd
	    +-------------------------------------------------------------

	    ここでqmailを起動しよう。

	    +-------------------------------------------------------------
	    | # csh -cf '/var/qmail/rc &'
	    +-------------------------------------------------------------

  ●qmailの動作定義ファイル

	動作確認に入る前にqmailの動作定義ファイルの種類とそれらの意味を
	確認しておこう。基本的な利用に必要なのは、configスクリプトにより
	生成される defaultdomain, locals, me, plusdomain, rcpthosts 
	と、defaulthost ファイルだけである。

	* me ファイル

	  メイルサーバ自身のホスト名を書いておく。以下で説明する
	  defaultdomain, defaulthost, locals, plusdomain ファイルが存在
	  しないときのデフォルト値としても利用される。

	* locals ファイル (qmail-sendが参照)

	  このメイルサーバで「ローカル配送」として処理すべきドメインを一
	  行に一つずつ列挙する。受け取ったメイルの宛先のドメイン部(@記号
	  より後ろ)が、localsに書かれているものである場合、そのメイルは
	  qmail-local に渡されてローカルで処理されることになる。qmailの
	  動作中にこのファイルを更新したら qmail-send に HUP シグナルを
	  送る必要がある。

		
	* rcpthosts ファイル (qmail-smtpdが参照)

	  ネットワーク経由で来たメイルのうち、このメイルサーバで受理する
	  べきドメインを一行に一つずつ列挙する。rcpthostsファイルに書い
	  てないドメイン宛のメイルは不正リレーとみなして受け取りを拒否す
	  る。UBEの温床となる Open Relay サイトとならないために
	  重要な設定ファイルである。例外として、qmail-smtpdの起動時に環
	  境変数 RELAYCLIENT がセットされていた場合はrcpthostsファイルの
	  内容は無視され、全てのドメイン宛のメイルを受理するようになる。
	  これを利用して POP before SMTP などを実現する。方法については
	  後述する。

	  ドメイン名をピリオド(.)で始めるとそのドメイン配下のアドレスは
	  全て受理するものみなす。たとえば、@hoge.co.jp 宛のメイルも 
	  @XXX.hoge.co.jp (XXXは任意) 宛のメイルも全て受理したい場合は

		+--------------------------------------------------------
		| hoge.co.jp
		| .hoge.co.jp
		+--------------------------------------------------------

	  と書く。ローカル配送すべきメイルは全て受理するわけであるから、
	  すくなくとも locals ファイルに書いてあるものはすべて rcpthosts 
	  ファイルにも書くのが普通である。通常はこれに加えてセカンダリメ
	  イルサーバを受け持つドメインや、virtualdomain なども書き加える
	  ことになる。

	* defaultdomain ファイル (qmail-injectが参照)

	  このホストからメイルを送信するときに(※ち)、宛先もしくは送信者
	  のドメイン部にドット(.)が無いときに自動的に後ろに付加するドメ
	  イン名。たとえば、defaultdomain ファイルの内容が hoge.co.jp の
	  場合 foo@venus というメイルアドレスは自動的に 
	  foo@venus.hoge.co.jp に置換される。

	* defaulthost ファイル (qmail-injectが参照)

	  このホストからメイルを送信するときに、宛先もしくは送信者のドメ
	  イン部が省略されているときに自動的に後ろに付加するドメイン名。
	  たとえば、defaulthost ファイルの内容が hoge.co.jp の場合 foo 
	  というアドレスは自動的に foo@hoge.co.jp に置換される。外部ドメ
	  インにメイルを出すときにホスト名を隠蔽したい場合は defaulthost 
	  ファイルにドメイン名だけを書いておく必要がある。

	* plusdomain ファイル (qmail-injectが参照)

	  宛先のドメイン部が + で終っているときに追加するドメイン名。
	  plusdomain に ac.jp と書いてある場合、foo@hoge+ というアドレス
	  は foo@hoge.ac.jp に置換される。このような使い方を使用しない場
	  合 plusdomain ファイルは不要である。

--- 註[ち] ---------------------------------------------------------------
  qmail-injectコマンドによりメイルを送信するとき。多くの場合 sendmailコ
  マンドやMailコマンドを利用してメイルを送信するときにあたる。
--------------------------------------------------------------------------

	以上の解説を見ながら ./config コマンドによって自動的に生成された
	ファイルの内容を吟味し、問題がなさそうなら導入後試験に移ろう。

	以後の説明では、各動作定義ファイルの内容がリスト6のようになって
	いる場合を仮定する。

	/--- リスト6 /var/qmail/control/* ファイルの内容 -------------------
	| [me]
	|    mail.hoge.co.jp
	| [locals]
	|    localhost
	|    localhost.hoge.co.jp
	|    hoge.co.jp
	|    .hoge.co.jp
	| [rcpthosts]
	|    prison.hoge.co.jp
	|    hoge.co.jp
	|    .hoge.co.jp
	| [defaulthost]
	|    hoge.co.jp
	| [defaultdomain]
	|    hoge.co.jp
	| [plusdomain]
	|    co.jp
	\-------------------------------------------------------------------


  ●qmailの動作試験

	FreeBSD上に標準インストールした場合、qmailは配送関係のログを
	/var/log/maillog に吐き出す。動作試験時にはこれを別端末に表示し
	ておくと良いだろう。

	+-------------------------------------------------------------------
	| # tail -f /var/log/maillog
	+-------------------------------------------------------------------

	/var/qmail/rc スクリプトの起動によりqmailが正常に待機している場
	合はログファイルに以下のようなメッセージがあるはずである。

		qmail: status: local 0/10 remote 0/20

	"cannot start" などのエラーメッセージが出ている場合はインストー
	ルに失敗している可能性がある。手順を良く確認してやり直そう。うま
	く行った場合は、配送試験に入る。まずはローカル配送から。

	+-------------------------------------------------------------------
	| prison# echo to: root@hoge.co.jp | /var/qmail/bin/qmail-inject
	|         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	+-------------------------------------------------------------------

	maillogに以下のようなメッセージが書き込まれたら配送が行なわれて
	いる。
	
	+-------------------------------------------------------------------
	| starting delivery 1: msg 88607 to local root@hoge.co.jp
	+-------------------------------------------------------------------

	デフォルトでは、このメイルは ~alias (/var/qmail/alias) ディレク
	トリにある Mailbox というmbox形式ファイルに書き込まれているはず
	である。


  ●リレー許可ホストの設定

	通常 rcpthosts には、メイルサーバが受理すべき宛先ドメインのみを
	列挙する。この場合外部のドメイン宛のメイルは一切受理しないことに
	なるので、LAN内のPCなどからSMTPサーバとして利用することができな
	いことになり不便である。部署内LANに属するホストからは、任意のア
	ドレス宛に送信できるように設定しよう。qmailの場合はこれを
	qmail-smtpd 起動時の環境変数で調整する。qmail-smtpdの起動は、
	inetd経由、もしくはtcpserver(※り)経由で行なうのが一般的である。
	前者の場合は TCP Wrappers を組み合わせて利用することで接続要求を
	して来たホストに応じて qmail-smtpd に任意の環境変数を渡すことが
	可能である。幸いにも FreeBSD はバージョン3.2R以降において、inetd
	自身に TCP Wrappers のライブラリが組み込まれているので新たなパッ
	ケージをインストールすることなくリレー許可ホストの設定ができる。

--- 註[り] ---------------------------------------------------------------
  http://cr.yp.to/ucspi-tcp.html
--------------------------------------------------------------------------

	TCP Wrappers では、/etc/hosts.allow ファイルに接続要求ホスト名か
	IPアドレス(またはそのパターン)を書き、それに対応するサービスデー
	モンプログラムの起動方法を決定できる。例えば今回の場合、

	* hoge.co.jp ドメイン配下の全てのホストからのSMTP接続
	  → 任意の宛先へのリレー許可

	* 上記以外のホストからのSMTP接続
	  → rcpthosts に列挙してある宛先ドメインのみ受理

	という切替えをしたいので、/etc/hosts.allow には以下のように記述
	する。

	/---[ /etc/hosts.allow の一部 ] ------------------------------------
	| tcp-env : localhost 192.168.0. .hoge.co.jp : setenv = RELAYCLIENT
	| tcp-env : ALL : ALLOW
	\-------------------------------------------------------------------

	hosts.allow ファイルは

	    プログラム : 接続要求パターン : オプション [ : オプション... ]

	という書式で記述する。これを踏まえて tcp-env に関する設定の一行
	目を読むと、接続要求をして来たホストが

		localhost  192.168.0.  .hoge.co.jp

	のいずれかである時のオプションとして

		setenv = RELAYCLIENT

	を施すという意味である。もちろん、"192.168.0." が hoge.co.jp ド
	メイン全ての部署ないLANマシンを指し示すのであれば、".hoge.co.jp"
	は不要であるし、逆もまた然りである。

	接続要求ホストとのマッチングはホスト名ベース、またはIPアドレスベー
	スでパターンを記述できる。前者の場合はホスト名をそのまま書くか、
	先頭がピリオドのドメイン名を書くことでそのドメインに属す全てのホ
	ストというワイルドカード指定ができる。IP アドレスベースで書く場
	合は、完全なIPアドレスを書くこともできるし、末尾をピリオドにする
	ことで残りのオクテットが何番でもマッチするワイルドカード指定も書
	ける。また、192.168.0.0/255.255.255.0 のような netmask 指定を書
	くこともできる。なお、DNS偽造ホストは接続拒否されるので安心して
	ホスト名ベースでの記述を利用して良い。

	hosts.allow ファイルの場合オプションに明示的に "DENY" を指定しな
	い場合のデフォルトの動作は接続許可となる。よって、二行目は
	ALLOW(接続許可を表すオプション)を省略しても同じである。オプショ
	ン "setenv" は指定した環境変数をセットした状態でデーモンプログラ
	ムを起動する。つまり、一行目の例は

	  localhost, 192.168.0.*, *.hoge.co.jp のいずれかにマッチするホ
	  ストからの接続要求があったときに、環境変数 RELAYCLIENT をセッ
	  トした状態で tcp-env を起動する

	ということを意味する。つまり、上記のパターンにマッチするホストが
	部署内LANのものであると仮定すると、それらホストからのSMTP接続で
	あった場合にはLAN内外問わず任意の宛先に送信できるということであ
	る。それ以外のホストからは、該当メイルサーバを利用したリレー送信
	はできないということである。

	hosts.allow ファイルにはここで紹介した以外にさまざまな動作を定義
	できる。より詳しい書き方については、hosts_access(5),
	hosts_options(5) のマニュアルを参照するか、本誌1999年12月号を参
	照して欲しい。


  ●qmailのアドレス管理(エイリアス)

	qmailでは、xxx@hoge.co.jp という宛先にメッセージが来た場合、ロー
	カルに xxx というユーザが存在する場合はそのユーザに送られる。存
	在しない場合はシステムのエイリアスが参照される。これはqmailイン
	ストール時に作成した ユーザ alias のホームディレクトリにある
	.qmail-xxx というファイルによって配送先が定義される。たとえば、
	(fooというユーザがいないときに)foo@hoge.co.jp という宛先のメイル
	を受け取りたい場合は ~alias/.qmail-foo というファイルに配送先を
	記述すれば良い。このファイルの書式は次節で解説する。

	また、qmailでは一般ユーザも任意個のエイリアスを作成することがで
	きる。ユーザ名を "someone" とすると、"someone-" で始まる任意の英
	数字名を自分宛のメイルアドレスとして作成することができる。もし、
	someone-yyy@hoge.co.jp というメイルアドレスを受信できるようにし
	たいときは自分のホームディレクトリに .qmail-yyy というファイルを
	作成し、そこに配送先を記述すれば良い。

	また、.qmail-default というファイルを作ると 
	someone-zzz@hoge.co.jp の zzz の部分がどんな文字列でも受け取るア
	ドレスを定義できる。

  ●dot-qmailファイルの書式

	上述のルールにしたがって作成された .qmail- で始まるファイルのこ
	とを dot-qmail と呼ぶ。dot-qmail にはそのアドレス宛に来たメイル
	の実際の配送先を記述する。配送先を大別すると3種類のものがある。

	1. ユーザのメイルボックス

	   メッセージがテキストファイルとして保存される一般的な最終形式
	   である。メイルボックスの形式はさらにsendmailのメイルボックス
	   と同じ mbox 形式(※ぬ) と、より安全な Maildir 形式がある。
	   前者を利用する場合 dot-qmail ファイルに

		./Mbox

	   と書けばホームディレクトリの Mbox というファイルに全てのメッ
	   セージが結合された状態で格納される。後者を利用する場合は
	   dot-qmail ファイルに

	        ./Maildir/

	   とピリオド(カレントディレクトリ)ではじまり末尾が / で終わるディ
	   レクトリ名を書けばその宛先に届いた各メッセージが ~/Maildir/ 
	   というディレクトリにMaildir形式で保存される。Maildir形式はた
	   とえメイルボックスへのメッセージの書き込み中にシステムクラッ
	   シュが起きたとしてもメイルボックスが崩壊しないように設計され
	   たきわめて信頼性の高い形式である。もし旧来の mbox 形式に特別
	   の愛着があるのでなければ、メイルボックスとしては Maildir 形式
	   を利用することを強く勧める。また、本記事の後半で紹介するPOPサー
	   バは拡張機能を使う場合 Maildir 形式にしか対応していないことも
	   あるので、以後の説明では Maildir 形式で利用することを前提とす
	   る。

	   Maildirは使い始めるときに maildirmake コマンドを利用して作成
	   する必要がある。一般ユーザでログインして

	   +-------------------------------------------------------------------
	   | % /var/qmail/bin/maildirmake ~/maildir-admin
	   +-------------------------------------------------------------------

	   とすると、新しい Maildir である ~/maildir-admin を作成できる。
	   これを someone-admin というアドレスで受け取りたい場合はホーム
	   ディレクトリに .qmail-admin ファイルを作成し
	
	   /---[ ~/.qmail-admin ] ---------------------------------------------
	   | ./maildir-admin/
	   \-------------------------------------------------------------------

	   と書けば良い。maildir-admin と .qmail-admin の -admin は揃え
	   る必要はない。実際に配送されるか確かめる場合は、

	   +-------------------------------------------------------------------
	   | # echo to: someone-admin@hoge.co.jp | /var/qmail/bin/qmail-inject
	   +-------------------------------------------------------------------

	   などとしてみて、~someone/maildir-admin/new/ ディレクトリの下
	   に新しくメッセージの入ったファイルができているか確認する。

	   +-------------------------------------------------------------------
	   | # ls -lF ~someone/maildir-admin/new
	   | total 3
	   | drwx------ 2 someone 512 Oct 14 13:19 ./
	   | drwx------ 5 someone 512 Dec  6  1999 ../
	   | -rw------- 1 someone 327 Oct 14 13:19 971497455.268.prison.hoge.co.jp
	   +-------------------------------------------------------------------

--- 註[ぬ] ---------------------------------------------------------------
  全てのメッセージを単一ファイルに含める形式
--------------------------------------------------------------------------

	2. プログラム起動

	   配送先記述の二つ目の形式は、プログラム起動である。dot-qmail 
	   ファイルの行の先頭を |(縦棒) で始める形で、

		| /somewhere/somecommand

	   のように記述すると、メッセージを標準入力として与える形で 
	   somecommand を起動する。もし、someone-bsdml という宛先のもの
	   を自分の ~/Mail/bsdml フォルダに全て格納したい場合はホームディ
	   レクトリに .qmail-bsdml というファイルを作成し、

	   /---[ ~/.qmail-bsdml ] ---------------------------------------------
	   | | /usr/local/bin/imstore -d +bsdml
	   \-------------------------------------------------------------------

	   のように書けば良い(※る)。| は行頭に書き、コマンドラインはクォー
	   トせずに手動でコマンド起動するときと全く同じ文字列を書くこと
	   に注意する。コマンドを起動するきっかけとなったメッセージの差
	   出人・宛先のメイルアドレスなどが環境変数にセットされる。これ
	   らについては qmail-command(8) 参照。

--- 註[る] ---------------------------------------------------------------
  imstore は IM に含まれるコマンドで、標準入力をフォルダに格納してくれる
  機能を持つ。http://www.mew.org/
--------------------------------------------------------------------------

	3. 他アドレスへの転送
	
	   行の先頭を & で始めると別アドレスへの転送となる。たとえば、
	   someone-job 宛に届いたメイルを someone@shigotoba.co.jp に転送
	   して欲しいときは ~/.qmail-job ファイルを作成し、

	   /---[ ~/.qmail-job ] -----------------------------------------------
	   | &someone@shigotoba.co.jp
	   \-------------------------------------------------------------------

	   と記述する。もちろん転送先は外部のアドレスだけでなく、ローカ
	   ルアドレスでも構わない。

	dot-qmail ファイルには、以上3つの形式を一行に一つ、何個でも書く
	ことができる。dot-qmailの書き方の、より詳しい情報に関しては
	dot-qmail(5) を見ると良い。

  ●Virtualdomainを立てる

	qmailでは標準のメイルアドレス空間(ローカルユーザと ~alias ディレ
	クトリ)とは独立した空間を virtualdomain としていくつでも持つこと
	ができる。これを利用すると、あるドメイン宛のメイルを全て特定のユー
	ザに向けることができる。例として、yamada.hoge.co.jp というメイル
	専用のドメインを作成し、@yamada.hoge.co.jp 宛に来たメイルを全て
	ローカルユーザの yamada さんに向ける設定を紹介しよう。まず、
	/var/qmail/control/virtualdomains ファイルを作成し以下のように記
	述する。

	/---[ /var/qmail/control/virtualdomains ]---------------------------
	| yamada.hoge.co.jp:yamada
	\-------------------------------------------------------------------

	virtualdomains を書き換えたら qmail-send に HUP シグナルを送る。

	+-------------------------------------------------------------------
	| # killall -HUP qmail-send
	+-------------------------------------------------------------------

	さらに、SMTP経由で届いた @yamada.hoge.co.jp 宛のメイルを受理する
	ように /var/qmail/control/rcpthosts ファイルに yamada.hoge.co.jp
	を追加する。ただし、今回の例の場合はすでに .hoge.co.jp が
	rcpthosts ファイルに存在しているので敢えて yamada.hoge.co.jp を
	書かなくともメイルを受理する状態になっている。

	qmail側の設定が終わったら、yamada.hoge.co.jp というメイルドメイ
	ンをDNS登録する。DNSゾーンファイルに

	/---- [hoge.zone] --------------------------------------------------
	| yamada	IN	MX	0 mail1.hoge.co.jp.
	|		IN	MX	10 mail2.hoge.co.jp.
	\-------------------------------------------------------------------

	というエントリを追加し、シリアル番号を上げて ndc reload する。

	さて、上記の virtualdomains 定義により qmail は

		xxx@yamada.hoge.co.jp  →  yamada-xxx@yamada.hoge.co.jp

	というアドレス書き換えを行なった上でローカルの yamada-xxx 宛に配
	送する。これを利用すると、見栄えの良いメイルアドレスを何個でも作
	れるという個人的利点が得られるほか、メイリングリスト用の
	virtualdomainを作成することで、全ての作業を非管理者権限でMLを運
	営でき、なおかつ他のアカウント名とのバッティングを気にせず自由に
	ML名を決定できる、などという利用者全体の利点も得られる。

	virtualdomains ファイルではドメイン名部分にワイルドカードなども
	指定できる。それらの方法については qmail-send(8)参照のこと。

 +---[コラム]--------------------------------------------------------------
  = qmail と procmail =

  procmailは個人に来たメイルを、差出人、宛先名、サブジェクト、などのパター
  ンに基づいて格納先を変更する、いわば自動振り分けのためのツールである。
  sendmailからqmailに乗り換えてしばらくすると出て来る質問に「qmailでは
  procmailは使えないか?」というものがある。もちろん答はYESで、qmailパッ
  ケージのFAQファイルに答が書いてある。

  しかし、そもそもprocmailのようなツールがなぜ必要なのだろう? それは
  sendmailでは原則として一般ユーザは一つしかアドレスを持てないので、あら
  ゆる種類のメイルを混ぜこぜに受け取らざるを得ないからである。qmailや
  postfixでは個人のメイルアドレスをいくらでも作れるので、自分の持ってい
  る職務毎に違うアドレスを作ることが可能である。メイルの発信源となるリス
  トに自分の基本アドレスを登録するのではなく、職務に応じたアドレスを登録
  することで100%確実に的確なフォルダに配送される。

  既に procmail のレシピ書きの達人になってしまった場合はprocmailを使い続
  けるのが最も負担が少ないであろうが、そうでない場合は登録アドレスを使い
  分ける工夫をしたほうが、より確実な振り分け処理を簡単に実現できるのであ
  る。
 +-------------------------------------------------------------------------


  ●セカンダリサーバを立てる

	プライマリのメイルサーバの構築に成功したら、セカンダリサーバを立
	てよう。プライマリのサーバが落ちているときに代理で一時的にメッセー
	ジをため込んでくれるサーバである。これがないと、プライマリサーバ
	のシステムダウン時に発信されたメッセージは、送信者側のSMTPサーバ
	に残り負担を与えることになったり、場合によってはエラー配送となる
	可能性もあるので信頼の置けるメイルサーバを作る場合はセカンダリサー
	バの設置も怠らないようにする。

	セカンダリサーバはネットワークと電源経路の異なる場所に設置するの
	が望ましいが、それが難しい場合は手の届く範囲にあるマシンで構わな
	いだろう。サーバの構築自体はとくに難しいことはない。

	* qmailをインストールする
	* /var/qmail/control/rcpthosts にプライマリサーバの rcpthosts
	  の内容を追加する
	* セカンダリサーバをDNSに登録する

	リスト4で例示したDNSゾーンファイルで hoge.co.jp のセカンダリメイ
	ルサーバとして mail2.hoge.co.jp を定義してある。このホストでは
	/var/qmail/control/rcpthosts に

		hoge.co.jp
		.hoge.co.jp

	を書いておけばセカンダリサーバとして機能する。なお、mail2 の
	locals ファイルに hoge.co.jp, .hoge.co.jp を書くとローカル配送し
	てしまうので注意する(その方が好ましい場合もある)。なお、いくつも
	のサイトのセカンダリサーバを引き受けるなどして rcpthosts ファイ
	ルが大きくなって来た場合(目安として50程度)は、morercpthosts ファ
	イルを併用するようにした方が効率が良い。morercpthosts の使い方に
	関しては qmail-smtpd(8), qmail-newmrh(8) を参照。

  ●配送キューの監視

	現在配送が完了せずキューに溜っているメッセージは qmail-qread コ
	マンドで確認できる。

	+-------------------------------------------------------------------
	| # /var/qmail/bin/qmail-qread | grep -v done
	+-------------------------------------------------------------------

	とすると、現在のキューの様子が分かりやすい。キューに入っているメッ
	セージの強制的再配送を指示するには動作中の qmail-send に ALRM シ
	グナルを送る。

	+-------------------------------------------------------------------
	| # killall -ALRM qmail-send
	+-------------------------------------------------------------------

  ●迷惑メイルの排除

	メイルサーバを設置すると間もなく国内外からローカルユーザ宛に迷惑
	メイルが届くようになる。これらは手を変え品を変え様々な抜け道を探
	して送りつけて来るので、それらが一切来なくなるようにまともに対処
	しているとそれだけで貴重な時間を費してしまい時間の無駄である。無
	視するのが一番だが、何も対策しないとさすがにうんざりするので、単
	純だが比較的効果の高い方法を紹介する。

    ・/var/qmail/control/badmailfrom

	受け取りを拒否したい差出人アドレスを一行に一つずつ列挙する。お決
	まりのアドレスからお決まりの迷惑メイルが続けて送られて来るときに
	は badmailfrom ファイルに登録しておくと次回から受け取らなくなる。
	単純だがかなり効果的である。rcpthostsファイルと同様のワイルド記
	述もできる。qmail-smtpd(8)参照。

    ・qmail-1.03 mfcheck パッチ

	本誌CDROMに収録した qmail-1.03-mfcheck.3.patch は、SMTP経由でき
	たメイルの差し出し人アドレス(エンベロープFROM)のドメイン部が正し
	くDNS登録されたものかどうかを調査し、存在しないドメインであった
	場合には受信を拒否するようにするものである。発信者のアドレスが届
	かないものであるならば、そのメイルは受け取る価値のないものと判断
	できるのでこのパッチはかなり効果的である。qmailをコンパイルした
	ディレクトリに移動し、

	+-------------------------------------------------------------------
	| # patch < qmail-1.03-mfcheck.3.patch
	| # make
	+-------------------------------------------------------------------

	とすると新しい qmail-smtpd ができる。これを /var/qmail/bin にコ
	ピーすれば良い。さらに、FROMアドレスチェックを有効にするために
	/var/qmail/control/mfcheck ファイルに "1" を記録しておく。

	+-------------------------------------------------------------------
	| # echo 1 > /var/qmail/control/mfcheck
	+-------------------------------------------------------------------

    ・その他のツール

	Open Relay となっているサイトをデータベース登録しているRBLなども
	qmailから利用できるし、その他のフィルタリングツールも各種存在す
	る。それらの情報は http://www.qmail.org/ から得られるようになっ
	ている。ただし、これらのツールも利用しすぎると本来届くはずのメイ
	ルが届かなくなるおそれもあるので、やりすぎないように気を付けたい。


■POP/IMAPサーバの導入

	メイルサーバを入れただけの状態では、サーバマシンにログインしない
	とメイルを読むことができない。一般的にはPOP3サーバまで用意しなけ
	れば自分のメイルを手元のPCに取り込むことができない。

	今回の主眼である「安全なサーバを作る」という観点からすると、POP3 
	というのは比較的頭の痛いサービスである。というのも、これまで一般
	的に利用されて来たPOP3サービスは

	* POP3接続用パスワードとしてUNIXパスワードを利用する。
	* POP3接続時のやりとりは平文なので、UNIXパスワードも平文のままネッ
	  トワークを流れる。
	* さらに最近のWindowsクライアントにはPOP3を利用したbiffの代用
	  アプリケーションがあり、数分に一度平文パスワードを何度もネット
	  ワークに流す。

	などの危険この上ない性質をはらんでいる。このような性質の残るPOP3 
	サービスを導入したのでは、せっかく高いセキュリティ性を誇るqmail
	をMTAとして選択した意味がなくなってしまう。

	そこで今回は上記の弱点を克服するために、

	* POP3接続用パスワードとしてUNIXパスワードと独立したものも利用で
          きる。
	* POP3接続は部署内LANなど、あらかじめ許可したネットワークからの
          アクセス時のみ許可する。
	* それ以外のネットワークからはAPOP(パスワード認証のやりとりを暗
          号化したプロトコル)だけを許可する

	という特長を備えたPOPサーバを導入しよう。なお、以下の説明では平
	文のままパスワードのやりとりをするPOP3のことを単にPOP3と表現し、
	POP3の認証部分を Challenge & Response でMD5符号化して行なう方式
	のことを単にAPOPと表現する。

  ●WU IMAP 4.7c2 + 拡張パック

	本誌付録CDROM中の imap-4.7c2qmav-20001016.tar.gz は、WU-IMAPD バー
	ジョン 4.7c2 に対し、先述の特長に加え以下の機能を追加(※る)した
	ものである。

	1. Maildir 対応
	2. ~/.qmail-* による拡張アドレス対応
	3. virtualdomainn アカウント対応
	4. POP before SMTP 機構

--- 註[る] ---------------------------------------------------------------
  これらのうち、2〜4は筆者が対応作業を行なった。2000人程度の規模のドメイ
  ンで運用している範囲ではとくに問題は発覚していないが、読者のサイトで完
  璧に動く保証はない。最近これらの拡張機能の揃ったPOPサーバはないかとの
  問い合わせが多いので本記事で取り扱うことにした。このパッケージ限った話
  ではないが、自己責任での利用を心がけて欲しい。本パッケージに関する最新
  情報は http://www.gentei.org/~yuuji/software/imapext/ にある。
--------------------------------------------------------------------------

	余談だが、元々利用しているサービスを、よりセキュリティの高いもの
	に置き換えようとする場合、その利点がセキュリティの向上ただ一点で
	はその置き換えを一般利用者に浸透させるのは難しいと筆者は常々考え
	ている。POPをAPOPに変えるだけで外部からのメイル取り込みがずいぶ
	んと安全になるのだが、メイルリーダの設定をAPOPに変えるという管理
	者にとってきわめて簡単なことでも、一般利用者にとってはとても面倒
	な作業である。「セキュリティ向上」は利用者にとっては目に見えない
	利点であり、それを達成するために余分な手間が発生するのなら、面倒
	なだけで何も(自分が)得るものがない、と感じられてしまいがちである。
	それでは移行作業に協力してもらうのは難しい。もし、既存のシステム
	(利用形態)を、より安全なものに変えて行きたいと考える場合は、「安
	全」という管理者側の利点だけでなく、「便利」という一般利用者側の
	利点も作り込むことが、(人間を含めた)システムのスムーズな移行につ
	ながる。

  ●POP/IMAP サーバ(WU IMAPD)のインストール

	WU IMAPD を利用したPOPサーバの導入作業は

	1. pop3/imap デーモンプログラムのコンパイルとインストール
	2. inetd.conf の設定
	3. hosts.allow と POP before SMTP の設定

	という手順になる。POP/IMAPサーバとして使うだけなら1, 2だけで完了
	だが、セキュリティを確保するためには3が必要になる。

    ・ipop3d/imapd のコンパイルとインストール

	WU IMAPD の POP3、IMAPのデーモンプログラム名はそれぞれ ipop3d,
	imapd となっている。まずは ipop3d と、必要なら imapd のインストー
	ルをしよう。

	imap-4.7c2qmav-20001016.tar.gz を展開しまずはREADMEという名前で
	始まるファイル群に目を通す。さらにMakefileをみると、利用している
	OSによってmakeに与えるターゲット名が決められていることが分かる。
	FreeBSD では bsf というターゲット名を与えてmakeする。

	+-------------------------------------------------------------------
	| # tar zxpf imap-4.7c2qmav-20001016.tar.gz
	| # cd imap-4.7c2qmailapopbeforesmtpvd
	| # less README*
	| # less Makefile
	| # make bsf
	+-------------------------------------------------------------------

	コンパイルが終了すると ipopd/ipop3d と imapd/imapd ができている。
	以後の説明では、これらを /usr/local/etc にインストールするものと
	する。

	+-------------------------------------------------------------------
	| # install -cs ipopd/ipop3d /usr/local/etc
	| # install -cs imapd/imapd /usr/local/etc
	+-------------------------------------------------------------------

	両方をインストールする例を示したが、どちらかを利用する予定がない
	場合それはインストールしない(※を)。

--- 註[を] ---------------------------------------------------------------
  試しに入れてみて、結局使わなかったネットワークサービスが、甘い設定のま
  まシステムに常駐し、それが忘れたころにセキュリティホールになることが多
  い。
--------------------------------------------------------------------------

	最後に、本拡張パック固有のツールをインストールする。

	+-------------------------------------------------------------------
	| # cd APOPtools
	| # install -c -m 700 deapop /usr/local/sbin
	| # install -c -m 755 apoppasswd /usr/local/bin
	| # install -c -m 700 pop3-age /usr/local/etc
	| # ln -s pop3-age /usr/local/etc/pop3-update
	| # ln -s pop3-age /usr/local/etc/pop3-record
	+-------------------------------------------------------------------

	これらのコマンドのインストール場所を変えたい場合はパッケージ中の
	README.qmapop を読んでmakeしなおす必要がある。

    ・inetd.conf の設定

	ネットワークサービスとして起動させるため、/etc/inetd.conf に以下
	の記述を追加する。

	/--- [/etc/inetd.conf への追加分] ------------------------------
	| pop3	stream	tcp  nowait root  /usr/local/etc/ipop3d  ipop3d
	| imap	stream	tcp  nowait root  /usr/local/etc/imapd   imapd
	\---------------------------------------------------------------

	つづいて、root権限で killall -1 inetd して、inetd に inetd.conf
	を再評価させてから、実際に別のマシンから接続できるか確かめてみよ
	う。

	+-------------------------------------------------------------------
	| venus% telnet prison pop3
	| Trying 192.168.0.2...
	| Connected to prison.hoge.co.jp.
	| Escape character is '^]'.
	| +OK POP3 v7.64 server ready <418.39e7db88@prison.hoge.co.jp>
	+-------------------------------------------------------------------

	+OK で始まるメッセージが得られれば成功である。FreeBSDのインストー
	ル後に /etc/hosts.allow を自分で書き換えた場合は上記のようなメッ
	セージは出ないかもしれない(ipop3d接続を許可していないため)。その
	ような場合は、次の hosts.allow の設定を行なう。

    ・hosts.allow の設定

	今回紹介する WU IMAPD + 拡張パック では、POP接続要求をして来たホ
	ストのネットワークアドレスによってPOP3を許可するか、APOPのみ許可
	するかを選択できる。POP3を許可する場合はipop3d起動時に環境変数
	INTRANET がセットされていれば良い。部署内LANではPOP3を許可し、そ
	れ以外は許可せずにipop3dを起動する場合の hosts.allow エントリは
	以下のようになる。

	/--- [/etc/hosts.allow への追加分] ------------------------------
	| ipop3d : 127.0.0.1 192.168.0. : setenv INTRANET
	| ipop3d : ALL : ALLOW
	\---------------------------------------------------------------

	部署内からはPOP3が許可し、部署外からは POP3 を禁止しているか確認
	しよう。

	+-------------------------------------------------------------------
	| venus% telnet prison.hoge.co.jp pop3
	|        ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	| Trying 192.168.0.2...
	| Connected to prison.hoge.co.jp.
	| Escape character is '^]'.
	| +OK POP3 v7.64 server ready <420.cd20db08@prison.hoge.co.jp>
	| user someone
	| ~~~~~~~~~~~~
	| +OK User name accepted, password please
	| quit
	| ~~~~
	| +OK Sayonara
	| Connection closed by foreign host.
	|
	| 部署外マシン% telnet prison.hoge.co.jp pop3
	|               ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	| Trying 192.168.0.2...
	| Connected to prison.hoge.co.jp.
	| Escape character is '^]'.
	| +OK POP3 v7.64 server ready <519.385adb88@prison.hoge.co.jp>
	| user someone
	| ~~~~~~~~~~~~
	| -ERR Sorry, we don't allow POP3 from your network.  Use APOP instead.
	| quit
	| ~~~~
	| +OK Sayonara
	+-------------------------------------------------------------------

	部署内、部署外、どちらからやっても同じ場合は、システム標準の
	hosts.allow ファイルに

		ALL : ALL : ALLOW

	という行が存在し、そこで無条件に ipop3d を起動してしまっている可
	能性が高い。この行を削除するか、ipop3d の行をALLの行よりも先に持っ
	て来るようにする。

    ・一般ユーザのPOP利用の準備

	今回紹介する拡張パックでは Maildir の使用が前提となっている。自
	力で設定できる一般利用者には、先述した maildirmake コマンドで 
	Maildir をホームディレクトリに作った上で ~/.qmail にその Maildir 
	を書いてもらう。そうでない利用者には許可を得てから管理者権限で代
	理作成してあげれば良かろう。

	利用者が、自身で設定を行う場合は初期設定として

	* Maildir を作成し配送先を Maildir に指定する
	* メイル専用のパスワードを設定する

	という二つの作業が必要となる。

	+-------------------------------------------------------------------
	| % /var/qmail/bin/maildirmake ~/maildir
	|   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	| % echo ./maildir/ > .qmail
	|   ~~~~~~~~~~~~~~~~~~~~~~~~
	| % /usr/local/bin/apoppasswd
	|   ~~~~~~~~~~~~~~~~~~~~~~~~~
	| Enter APOP Password: (メイル専用パスワードを入力)
	| Again APOP Password: (同じパスワードを再度入力)
	+-------------------------------------------------------------------

	これでリモートマシンからのメイル取り込み準備完了である。これらの
	作業を管理者が代行する場合は作業例【わ】のようにすれば良い。いず
	れの場合も既にホームディレクトリに .qmail ファイルを作っていると
	きにこれを壊さないように配慮する必要がある。

	【作業例 わ】
	+-------------------------------------------------------------------
	| 【rootのシェルがsh系の場合】
	| # for u in user1 user2 user3 user4 ; do
	|   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	| ? echo '/var/qmail/bin/maildirmake ~/maildir
	|   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	| ? echo ./maildir/ > ~/.qmail
	|   ~~~~~~~~~~~~~~~~~~~~~~~~~~
	| ? jot -r -c 8 a z | rs -g 0 8 > ~/.apop
	|   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	| ? chmod 600 ~/.apop
	|   ~~~~~~~~~~~~~~~~~
	| ? ' | su $u
	|   ~~~~~~~~~
	| ? done
	|   ~~~~
	| 【rootのシェルがcsh系の場合】
	| prison# foreach u (user1 user2 user3 user4)
	|         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	| foreach? echo '/var/qmail/bin/maildirmake ~/maildir \
	|          ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	| foreach? echo ./maildir/ > ~/.qmail \
	|          ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	| foreach? jot -r -c 8 a z | rs -g 0 8 > ~/.apop \
	|          ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	| foreach? chmod 600 ~/.apop \
	|          ~~~~~~~~~~~~~~~~~~~
	| foreach? ' | su $u
	|          ~~~~~~~~~
	| foreach? end
	|          ~~~
	+-------------------------------------------------------------------

	また、将来新規作成するユーザの初期ホームディレクトリに Maildir
	が置かれるよう /etc/skel に見本を作成しておくと良い。

	+-------------------------------------------------------------------
	| # /var/qmail/bin/maildirmake /etc/skel/maildir
	| # echo ./maildir/ > /etc/skel/maildir/.qmail
	+-------------------------------------------------------------------

	こうしておけば、新規ユーザを作成するときに

	+-------------------------------------------------------------------
	| # pw useradd NewUserName -m
	+-------------------------------------------------------------------

	とすれば、そのユーザの初期メイルボックスを Maildir 形式とするこ
	とができる。

    ・一般ユーザのPOP取り込み実験

	常用しているメイルリーダなどから取り込めるか実験しよう。まずは
	POP3の許可された部署内LANから。パスワードとして、メイル専用のも
	のを入力することに注意する。また、POP3に限りこれまでUNIXパスワー
	ドでの認証も行えるようになっている。APOPのみを許可しているネット
	ワークからは、メイルリーダのプロトコル設定をAPOPに変更した上で取
	り込みができるか実験してみよう。

    ・拡張アドレスと virtualdomain アドレスのPOP取り込み

	~/.qmail-xxx などで作成した拡張メイルアドレスも Maildir 形式への
	受信になっていればAPOPにて外部から取り込むことが可能になっている。
	既に ~/.qmail-xxx ファイルに格納用Maildirが記述してあるとすると、

	+-------------------------------------------------------------------
	| % /usr/local/bin/apoppasswd -e xxx
	+-------------------------------------------------------------------

	によって専用パスワードを設定することで someone-xxx@hoge.co.jp 宛
	に来たメイルをAPOPで受信することができる。virtualdomain で作成し
	たメイルアドレスの場合も専用パスワードを設定することでAPOPで取り
	込める。これらの詳細は付属の README.qmapop ファイルを参照してほ
	しい。

  ●POP before SMTP の設定

	+--- !! 注意 !! --------------------------------------------------
	| POP before SMTP はアクセス許可設定ファイル(hosts.allow)を動的
	| に更新するものなので、設定を誤ると全てのネットワークサービスが
	| 拒否される状態に陥る可能性がある。導入に当たっては、その仕組み
	| を良く理解し、hosts.allow ファイルをいつでも元に戻せる体制で作
	| 業を行うこと。
	+-----------------------------------------------------------------

    ・POP before SMTP とは

	前半で解説したqmailの設定では、SMTPサーバとして利用する場合、外
	部の任意の宛先に送信できるのは部署内LANに限られていた。しかし、
	出張先の公衆回線からメイルを送信したいときなど、オフィスのメイル
	サーバを利用したいことなどもある。このような場合、外部のホストか
	らSMTP サーバを利用する前に、一旦POPによるユーザ認証をさせること
	でそのホストのユーザがそのメイルサーバにアカウントを持っている人
	間であるとみなし、一定時間そのホストからのSMTP利用を全面的に開放
	するのが POP before SMTP という概念である。

    ・POP before SMTPの導入

	POP before SMTPを行うためには、POPサーバに「認証が通ったら一定時
	間SMTPサーバの起動方法を変える」という特別処理を組み込む必要があ
	る。qmail の場合は hosts.allow を一時的に書き換えることになる。
	今回インストールしたipop3dには APOP認証が成立すると
	/usr/local/etc/pop3-record というコマンドがあればこれを呼ぶ機能
	があるのでこれを利用して POP before SMTP を実現する。この流れを
	要約すると以下のようになる。

	1. ipop3d 起動時に接続要求ホストのアドレスを環境変数にいれる
	2. ipop3dのAPOP認証が通ると pop3-record が呼ばれ環境変数が渡る
	3. pop3-record でその環境変数の値(クライアントのアドレス)を
	   hosts.allow に反映させる
	4. 一定時間が経過したら hosts.allow を元に戻す

	この流れで分かるように hosts.allow ファイルが動的に書き換えられ
	るので、あらかじめその書き換え見本となるファイルを別個に作成して
	おく必要がある。パッケージの APOPtools ディレクトリにあるスクリ
	プトでは /etc/hosts.allow.src というファイルから動的に 
	/etc/hosts.allow を生成するようになっている。これを利用する場合
	の手順に関して説明する。

	まず、現状の hosts.allow を hosts.allow.src にコピーする。

	+-------------------------------------------------------------------
	| # cp /etc/hosts.allow /etc/hosts.allow.src
	+-------------------------------------------------------------------

	以後、手動で編集するのは hosts.allow.src ファイルとし、編集結果
	を hosts.allow に反映させるためには /usr/local/etc/pop3-update
	コマンドを利用する。

	続いて ipop3d 起動時に接続要求ホストのアドレスが渡るように工夫す
	る。hosts.allow.src ファイルの ipop3d に関する記述を以下のように
	書き換える。

	/--- [/etc/hosts.allow.src の修正分] ---------------------------
	|ipop3d: 127.0.0.1 192.168.0. : setenv INTRANET : setenv RELAYCLIENT %h
	|ipop3d: ALL : setenv RELAYCLIENT %h
	\---------------------------------------------------------------

	更新を hosts.allow に反映させる。

	+-------------------------------------------------------------------
	| # /usr/local/etc/pop3-update
	+-------------------------------------------------------------------

	これで、APOP認証が通過する度に /usr/local/etc/pop3-record が呼ば
	れ、/etc/hosts.allow にSMTPリレー許可の設定が書き加わることにな
	る。

	最後に、リレー許可情報が一定時間毎にクリアされるように
	/etc/crontab に pop3-age コマンドを登録する。

	/--- [/etc/crontab への追加分] ---------------------------------
	| */10	*	*	*	*   root /usr/local/etc/pop3-age
	\---------------------------------------------------------------

	この設定では、10分に一度 pop3-age が呼ばれる。ちなみに pop3-* の
	各コマンドはどれも同じスクリプトとなっている。これは排他制御など
	をしていないごく簡単なものなので、秒刻みでPOPリクエストが来るよ
	うな超大規模ドメインで利用する場合は排他制御も考慮して高速に処理
	できるコマンドを各自作成する必要があるだろう。

    ・動作確認

	外部ネットワークから一般ユーザとしてAPOP接続を行い、POPサーバ上
	の /etc/hosts.allow ファイルの先頭にクライアントホストのアドレス
	が書き込まれていれば成功である。その後約10分間は、任意の宛先にメ
	イルを送信できるようになる。


■OpenSSHを利用したSMTP/POPの遠隔利用

	APOPを利用することで外部ネットワークからのSMTP/POP利用が安全に行
	えるようになる。しかし、残念ながら全てのメイルリーダがAPOPをサポー
	トしているわけではない。そのようなメイルリーダを利用している場合、
	サーバとの間で Port Forwarding を利用することでセキュリティ的な
	問題を解決できる。

  ●UNIXクライアントからの Port Forwarding

	一般ユーザがローカルマシンのポートを利用する場合はUNIXでは1024番
	以降を利用しなければならない。ここでは、ローカルマシンの8025番を
	サーバホスト(mail.hoge.co.jp)のSMTPポートに、ローカルマシンの
	8110番をサーバホストのPOPポートにフォワードする例を示す。

	+-------------------------------------------------------------------
	| % ssh -L 8025:localhost:25 -L 8110:localhost:25 mail.hoge.co.jp
	+-------------------------------------------------------------------

  ●Windowsクライアントからの Port Forwarding

	Windows上のSSHクライアント TeraTermPRO+TTSSH(※か) を利用すると
	ローカルWindowsマシンのポートをサーバのネットワークポートにフォ
	ワードできる。Windowsでは利用者が任意のポートを利用できるのでロー
	カルPCの25番をサーバホストのSMTPポートに、110番をサーバホストの
	POPポートにフォワードしてしまうとメイルリーダの設定が簡単になる。

	TTSSHを利用してサーバマシンにSSHログインした上で [Setup] → [SSH
	Forwarding] によりポートフォワード設定画面を出し、[Add]ボタンを
	押す。ポート番号とホストを入力するウィンドウが現れるので、

		Forward local port 	[25]
		to remote machine 	[mail.hoge.co.jp]
		port			[25]

	のように入れて[OK]を押す。さらにもう一度[Add]ボタンを押し、

		Forward local port 	[110]
		to remote machine 	[mail.hoge.co.jp]
		port			[110]

	も追加する。この状態をセーブしておけば次回SSH接続時に自動的にポー
	トフォワードが張られる。セーブは[Setup] → [Save setup]にて行な
	うことができる。

	TTSSH側でのポートフォワードが開通している状態で、メイルリーダの
	SMTPサーバ、POPサーバのホスト名としてともに localhost を指定する
	ことで外部ネットワークからも安全にかつ制約なくサービスを利用する
	ことができるようになる。

--- 註[か] ---------------------------------------------------------------
  http://www.vector.co.jp/authors/VA002416/
  http://www.zip.com.au/~roca/ttssh.html
--------------------------------------------------------------------------


 +---[コラム]--------------------------------------------------------------
  = OpenSSH のデフォルト設定について =

  FreeBSD 4.1.1R でシステムに組み込まれたことがきっかけで OpenSSH を利用
  し始めた人も多いのではなかろうか。多くの人が利用していたであろう
  ssh-1.2.27 の sshd を起動するときのインストール後標準設定と OpenSSH の
  それにはいくつか差異がある。これらのうちデフォルト値の違いにより利用者
  に混乱を招きやすいオプションに関して説明する。FreeBSD 4.1.1R の sshd 
  の設定ファイルは/etc/ssh/sshd_config である。ここを見ながら以下の解説
  を読むと良い。

  * Protocol
   接続に利用するプロトコルのバージョンを指定する。デフォルトでは SSHv1,
   SSHv2 両方を受け付ける。SSHv1プロトコルのみのサーバとしたい場合は
   "Protocol 1" と書く。

  * PermitRootLogin
    ユーザroot のログインを許可するか。デフォルトはno。

  * X11Forwarding
    X11のフォワーディングを許可するか。デフォルトはyes。OpenSSH 2.1/2.2
    のポータブルパッケージではデフォルトがnoで、それと異なるので注意。

  * CheckMail
    ログイン時に /var/mail/USER にメイルが来ているかの確認表示をする。
    FreeBSD でのデフォルトはyes。MTAとしてqmailを入れる場合は意味がない
    ので no に変更する。

  また、OpenSSH で ssh-agent を利用する場合、標準状態では ssh-askpass コ
  マンドが入っていないため、GUI型のパスワード入力ができない。ssh-askpass
  は、Portsコレクションに入っているので、これを利用してインストールする
  と簡単である。portsをインストールしてある場合は
  /usr/ports/security/openssh-askpass ディレクトリで、make install とす
  れば良い。http://www.ntrnet.net/~jmknoble/software/x11-ssh-askpass/ も
  参照。
 +-------------------------------------------------------------------------

■まとめ

	メイルシステムの安全性を高めるにはPOPサービスまで含めた構成を考
	える必要があることを理解して頂けたのではないかと思う。今回紹介し
	たPOPサーバのほかにも、APOP+Maildir対応のものはいくつかあるので、
	探してみると良いだろう。

	いろいろなシステム管理に共通することだが、普段システムを良く利用
	することはトラブルの早期発見にもつながる。便利なメイルシステムを
	構築し、それを自身でも最大限に利用することが良きシステムの運営に
	役立つといえよう。是非安全で快適なシステムを構築して欲しい。


yuuji@gentei.org
Fingerprint16 = FF F9 FF CC E0 FE 5C F7 19 97 28 24 EC 5D 39 BA
HIROSE Yuuji - ASTROLOGY / BIKE / EPO / GUEST BOOK / YaTeX [Tweet]