[プロキシ]メニュー

画面上部のメニューバーで[プロキシ]をクリックします。

プロキシは、クライアント (ウェブブラウザなど) と各種ネットワークサービス (インターネット上のウェブサーバなど) との間でゲートキーパー役を引き受ける Endian UTM Appliance 上のサービスです。クライアントがプロキシに接続すると、プロキシがクライアントに代わって接続先のサーバにアクセスし、情報の取得やキャッシュ、フィルタリングを行います。また、必要に応じて情報をブロックすることもできます。クライアントの設定に関係なく、すべてのトラフィックがプロキシを経由するようなプロキシのことを、トランスペアレントプロキシと呼びます。一方、非トランスペアレントプロキシでは、クライアントサイドでの設定が必要です (ウェブブラウザでのプロキシ設定など)。

Endian UTM Appliance では、以下のプロキシを利用できます。各プロキシの設定を行うには、画面左のサブメニューで該当するリンクをクリックします。

  • [HTTP] - アクセスポリシー、認証、コンテンツフィルタ、およびアンチウィルスを含むウェブプロキシの設定
  • [POP3] - スパムフィルタやアンチウィルスを含む、POP プロトコル経由でのメール受信プロキシの設定
  • [SIP] - VoIP システムによって使われる SIP (Session Initiation Protocol) プロキシの設定
  • [FTP] - FTP プロキシの有効/無効の切り替え (FTP 経由でダウンロードされるファイルのウィルスチェック)
  • [SMTP] - スパムフィルタやアンチウィルスを含む、SMTP プロトコル経由でのメール送受信プロキシの設定
  • [DNS] - アンチスパイウェアを含むキャッシング DNS の設定

以下では、各リンクについて順に説明します。

[HTTP]

画面上部のメニューバーで[プロキシ]をクリックし、画面左のサブメニューで[HTTP]をクリックします。

[設定]

HTTP プロキシを有効にするには、[HTTP プロキシを有効にする]スイッチをクリックします (Endian UTM Appliance では Squid キャッシングプロキシを使っています)。プロキシが起動すると、さまざまなコントロールが表示されます。

まず、各ゾーン (グリーンゾーン、および有効になっている場合にはオレンジゾーンとブルーゾーン) のユーザがプロキシにアクセスする方法を定義します。ゾーンごとに、以下のパラメータを設定できます。

[無効]
該当するゾーンではプロキシサーバを利用できません。
[no authentication]
プロキシサーバは誰でも利用可能です (ログインは不要です) が、ユーザはブラウザを手動で設定するか、またはブラウザに (WPAD または PAC で) プロキシを検索させる必要があります
[authentication required]
ユーザはブラウザを手動で設定するか、またはブラウザに (WPAD または PAC で) プロキシを検索させる必要があります。また、プロキシを使用するための認証も必要です。
[トランスペアレント]
プロキシサーバは誰でも利用可能で、ブラウザでの設定も必要ありません (HTTP トラフィックは途中で捕捉されてプロキシサーバに転送されます)。

Internet Explorer や Firefox などの一部のブラウザは、WPAD (Web Proxy Autodiscovery Protocol) を使って自動的にプロキシサーバを検出することができます。また、ほとんどのブラウザは特別な URL を使った PAC (Proxy Auto-Configuration) をサポートしています。 Endian UTM Appliance を使っている場合、この URL は http://<アプライアンスの IP>/proxy.pac になります。

次に、いくつかのグローバルな設定オプションが表示されます。

[Port used by proxy]
プロキシサーバが接続をリスンする TCP ポート (デフォルトは 8080) を指定します。
[Language of error messages]
エラーメッセージを表示する言語を選択します。
[Visible hostname]
プロキシサーバはここで指定されたホスト名を自分のホスト名とみなします (このホスト名はエラーメッセージの下部に表示されます)。
[Email used for notification (cache admin)]
プロキシサーバはここで指定されたメールアドレスをエラーメッセージに表示します。
[Max download size (incoming)]
HTTP でダウンロードできるファイルの最大サイズを KB 単位で指定します (0 を指定するとサイズを制限しません)。
[Max upload size (outgoing)]
HTTP でアップロードできるファイル (HTML フォームを使ったファイルのアップロードなど) の最大サイズを KB 単位で指定します (0 を指定するとサイズを制限しません)。

さらに追加のオプションが表示されます。 + アイコンをクリックすると、該当するパネルのオプションが展開して表示されます。

[Allowed ports and ssl ports]

[Allowed Ports (from client)]
HTTP の使用時にプロキシサーバが接続を受け付ける TCP 送信先ポートの一覧です。ポートは 1 行に 1 つずつ追加します。# から始まる部分はコメントです。
[Allowed SSL Ports (from client)]
HTTPS の使用時にプロキシサーバが接続を受け付ける TCP 送信先ポートの一覧です。ポートは 1 行に 1 つずつ追加します。# から始まる部分はコメントです。

[ログ設定]

[Log enabled]
プロキシ経由でアクセスされるすべての URL をログに記録します (このチェックボックスはマスタースイッチです)。
[クエリ情報を出力]
URL に含まれるパラメータ (?id=123 など) もログに記録します。
[Log useragents]
ユーザエージェント (ウェブにアクセスするブラウザの種類) もログに記録します。
[Log contentfiltering]
コンテンツがフィルタリングされたときにログに記録します。
[Firewall logging (transparent proxies only)]
ウェブアクセスをログに記録します (トランスペアレントプロキシの場合のみ)。

[Bypass transparent proxy]

[Bypass transparent proxy from SUBNET/IP/MAC]
トランスペアレントプロキシをバイパスさせる送信元を指定します。サブネット、IP アドレス、または MAC アドレスを 1 行に 1 つずつ入力します。
[Bypass transparent proxy to SUBNET/IP]
トランスペアレントプロキシをバイパスさせる送信先を指定します。サブネットまたは IP アドレスを 1 行に 1 つずつ入力します。

[キャッシュ管理]

[Cache size on harddisk (MB)]
ウェブサイトをハードディスクにキャッシュするために割り当てるメモリ量を MB 単位で指定します。
[Cache size within memory (MB)]
ウェブサイトをシステムメモリにキャッシュするために割り当てるメモリ量を MB 単位で指定します。
[Maximum object size (MB)]
キャッシュするオブジェクトの最大サイズを MB 単位で指定します。
[Minimum object size (MB)]
キャッシュするオブジェクトの最小サイズを MB 単位で指定します。
[オフラインモードの有効]
このチェックボックスをオンにすると、プロキシは上位ウェブサーバからキャッシュしたオブジェクトの更新を行いません。このため、アップリンクがダウンした後も、クライアントはキャッシュされたスタティックなウェブサイトをブラウズできます。
[キャッシュの消去]
クリックすると、プロキシのキャッシュが消去されます。
[Do not cache these domains]
キャッシュしないドメインを 1 行に 1 つずつ入力します。

[上位プロキシ]

[上位プロキシ]
Endian UTM Appliance のプロキシをほかの (上位) プロキシに接続させる場合には、このチェックボックスをオンにし、上位プロキシのホスト名とポートを指定します。
[上位プロキシのユーザ名] / [上位プロキシのパスワード]
上位プロキシで認証が必要な場合は、アカウント情報を入力します。
[Client Username] / [Client ip forwarding]
上位プロキシにクライアントのユーザ名と IP アドレスを転送するかどうかを指定します。

設定した内容を保存するには、[保存]をクリックします。その後、プロキシを再起動して変更内容を有効にするために、必ず [適用] をクリックしてください。

[認証]

Endian UTM Appliance のプロキシは、 [Local Authentication (NCSA)][LDAP (v2, v3, Novell eDirectory, AD)][Windows Active Directory (NTLM)] 、および [RADIUS] の 4 つの認証方式をサポートしています。グローバルな設定パラメータは以下のとおりです。選択した認証方式によって指定内容が異なるパラメータについては、あとで説明します。

[Authentication realm]
ここで入力したテキストは、認証ダイアログに表示され、アクティブディレクトリに参加するときの kerberos/winbind のレルムとして使われます。認証方式に[Windows Active Directory (NTLM)]を使う場合は、プライマリドメインコントローラ (PDC) の完全修飾ドメイン名を指定してください。
[Number of Authentication Children]
同時に実行できる認証プロセスの最大数を指定します。
[認証キャッシュ TTL (分)]
認証データをキャッシュする時間を分単位で指定します。
[Number of different IPs per user]
1 人のユーザが同時にプロキシに接続できる接続元 IP アドレスの最大数を指定します。
[ユーザ/IP キャッシュ TTL (分)]
ログインしたユーザに IP アドレスを関連付ける時間を分単位で指定します。

以下のパラメータは、[Local Authentication (NCSA)]を選択した場合に指定します。

[manage users]
クリックすると、ユーザ管理インターフェースが表示されます。
[manage groups]
クリックすると、グループ管理インターフェースが表示されます。
[最小パスワード長]
ローカルユーザの最小パスワード長を指定します。

以下のパラメータは、[LDAP (v2, v3, Novell eDirectory, AD)]を選択した場合に指定します。

[LDAP サーバ]
LDAP サーバの IP アドレスまたは完全修飾ドメイン名を指定します。
[Port of LDAP server]
サーバがリスンするポートを指定します。
[バインド DN 設定]
ベース DN (識別名) を指定します。ここで入力された場所が検索の出発点になります。
[LDAP タイプ]
使用するサーバを [Active Directory Server][Novell eDirectory Server][LDAP v2 Server] 、または [LDAP v3 Server] から選択します。
[バインド DN ユーザ名]
バインド DN ユーザの完全 DN を指定します。このユーザはユーザ属性の読み取り権限を持っている必要があります。
[バインド DN パスワード]
ユーザのパスワードを指定します。
[user objectClass]
バインド DN ユーザはここで指定する objectClass に属している必要があります。
[group objectClass]
バインド DN グループはここで指定する objectClass に属している必要があります。

以下のパラメータは、[Windows Active Directory (NTLM)]を選択した場合に指定します。

[Domainname of AD server]
参加するアクティブディレクトリドメイン名 (完全修飾ドメイン名) を指定します。
[Join AD domain]
クリックすると、ドメインに参加します (その前に、認証に関する各種設定を保存、適用する必要があります)。
[PDC hostname of AD server]
プライマリドメインコントローラのホスト名を指定します。
[PDC ip address of AD server]
プライマリドメインコントローラの IP アドレスを指定します (該当する DNS エントリと設定を作成するのに必要です)。
[BDC hostname of AD server]
バックアップドメインコントローラのホスト名を指定します。
[BDC IP address of AD server]
バックアップドメインコントローラの IP アドレスを指定します (該当する DNS エントリと設定を作成するのに必要です)。

アクティブディレクトリで Windows のネイティブ認証 (NTLM) を使用するには、いくつかの条件を満たす必要があります。

  • ドメインに参加する前に、認証に関する各種設定を保存、適用する必要があります。
  • アプライアンス自体もドメインに参加する必要があります。
  • アプライアンスのシステムクロックとアクティブディレクトリサーバのシステムクロックが同期されている必要があります。
  • レルムは完全修飾ドメイン名である必要があります。
  • プライマリドメインコントローラ (PDC) のホスト名には、アクティブディレクトリサーバの NetBIOS 名を設定する必要があります。

バージョン 2.3 以降の Endian UTM Appliance では、ホストと DNS プロキシのエントリを作成する必要はありません。これらのエントリは、認証に関する設定を適用したときに自動生成されます。

以下のパラメータは、[RADIUS]を選択した場合に指定します。

[RADIUS server]
RADIUS サーバのアドレスを指定します。
[Port of RADIUS server]
RADIUS サーバがリスンするポートを指定します。
[識別子]
追加の識別子を指定します。
[共有シークレット]
使用するパスワードを指定します。

[Access policy]

アクセスポリシーは、プロキシを経由してトラフィックをやり取りするすべてのクライアントに対し、認証の有無にかかわらず適用されます。アクセスポリシーのルールは、送信元、送信先、認証、ユーザエージェント、MIME タイプ、およびウィルススキャン/コンテンツフィルタをパラメータとする時間ベースのアクセスポリシーです。

ルールの一覧には、作成したルールが表示されます。ルールではウェブアクセスをブロックするか、許可するかを指定でき、許可する場合はフィルタのタイプを選択して有効にできます。新しいルールを追加するには、[Add access policy]をクリックします。以下のパラメータを設定できます。

[Source Type]
このルールを適用する送信元を選択します。 [<ANY>][ゾーン][ネットワーク/IP] 、または [MAC] を選択できます。 [ネットワーク/IP] または [MAC] を選択した場合は、アドレスを 1 行に 1 つずつ入力します。
[Destination Type]
このルールを適用する送信先を選択します。 [<ANY>][ゾーン][ネットワーク/IP] 、または [ドメイン] を選択できます。 [ネットワーク/IP] または [ドメイン] を選択した場合は、アドレスまたはドメイン名を 1 行に 1 つずつ入力します。
[認証]
このルールを適用する認証済みユーザを選択します。ユーザベースまたはグループベースのルールを作成するかどうかに応じて、 [group based] または [user based] のいずれかを選択できます。ポリシーが適用されるユーザ/グループは複数選択できます。
[Time restriction]
このルールを特定の日や時間帯に有効にするかどうかを指定します。
[Useragents]
許可するクライアントとブラウザを選択できます。
[Mimetypes]
受信ファイルのうち特定の MIME タイプをブロックするには、ブロックする MIME タイプを 1 行に 1 つずつ入力します。MIME タイプに対して可能な処理は、ブロックして許可しないことだけなので (すなわちホワイトリストは不可)、このオプションを利用できるのは、[Access policy]で[Deny Access]を選択した場合だけです。MIME タイプによるブロックを使うと、社内のポリシーに適合しないファイル (マルチメディアファイルなど) をブロックすることができます。
[Access policy]
このルールでウェブアクセスを許可するか拒否するかを指定します。
[Filter profile]
ウィルスをスキャンするだけのルールを作成するには、 [virus detection only] を選択します。ウェブページのコンテンツを分析して、特定のコンテンツフィルタプロファイルの設定に従ってフィルタリングを行うルールを作成するには、目的のコンテンツフィルタプロファイルを選択します。 [none] を選択すると、チェックを行いません。
[Policy status]
ルールを有効にするか無効にするかを指定します。無効にしたルールは適用されません。
[場所]
新しいルールを挿入する場所を指定します。番号が小さいほど優先順位は上がります。

バージョン 2.3 以降の Endian UTM Appliance では、さまざまなフィルタおよびアンチウィルス設定を持つコンテンツフィルタプロファイルを複数作成できます。また、アクセスポリシールールを作成することで、特定のユーザ/送信元に対して 1 つのドメインをホワイトリストにするといったことも可能です。

作成したルールの一覧で、目的の行の右側にあるアイコンをクリックすると、該当するルールの優先順位の変更、編集、無効/有効の切り替え、または削除を行うことができます (アイコンの凡例が下にあります)。

[Contentfilter]

コンテンツフィルタを使用できるようにするには、アクセスポリシールールで コンテンツフィルタプロファイル を使用する必要があります。 Endian UTM Appliance のコンテンツフィルタ (DansGuardian) では 3 つのフィルタリング方法を使用しており、これらのフィルタリング方法はフィルタプロファイルごとに定義することができます。

最初の方法は PICS (Platform for Internet Content Selection) と呼ばれるものです。これは W3C が作成した仕様で、保護者によるコンテンツの管理を容易することを目的に、メタデータを使ってウェブページにラベルを付けます。2 番目の方法は、フレーズによる重み付けを行う高度なシステムを利用するもので、ウェブページの中身を解析して、各ページのスコアを計算します。最後の方法は、カテゴリ別の URL とドメインから構成される大規模なブラックリストを使うものです。リクエストされたすべての URL はこのリストで検索され、リストに存在しない URL に対してのみ、レスポンスが返されます。

画面は全体設定を行うセクションと、特定のフィルタリングポリシーを選択するセクションに分かれています。

[アンチウィルスを有効にする]
コンテンツフィルタ (Dansguardian) とアンチウィルスプロキシ (HAVP) を両方とも有効にします。
[Enable logging]
ブロックされたリクエストをログに記録します。
[Platform for Internet Content Selection]
PICS メタデータに基づく保護者機能を有効にします。
[フレーズの最大スコア]
信頼できるページの最大スコアレベルを指定します (50-300)。このレベルは調整できます。幼児が Endian Firewall 経由でウェブをブラウズする場合は 50 前後の値を指定し、子供の場合は 100、若い成人の場合は 160 に設定します。
[以下のカテゴリのフレーズを持つページをフィルタ (コンテンツフィルタ)]
このセクションでは、フレーズ分析に基づくフィルタリングを設定できます。目的のカテゴリに表示されているアイコンをクリックすると、該当するカテゴリに属するサイトをブロックまたは許可できます。 + アイコンをクリックすると、そのカテゴリのサブカテゴリが表示されます。
[以下のカテゴリの中身を持つページをフィルタ (URL ブラックリスト)]
このセクションでは、URL の照合に基づくフィルタリングを設定できます。目的のカテゴリに表示されているアイコンをクリックすると、該当するカテゴリに属するサイトをブロックまたは許可できます。 + アイコンをクリックすると、そのカテゴリのサブカテゴリが表示されます。
[Custom black- and whitelists]
コンテンツフィルタでは、誤認や見逃しが生じることがあります。ここでは、コンテンツフィルタの分析結果に関係なく、常にブロックまたは許可する必要のあるドメインを入力できます。

フレーズ分析では、ほかの方法 (PICS および URL ブラックリスト) に比べ、はるかに多くの計算資源が消費されます。フレーズ分析を無効にするには、[以下のカテゴリのフレーズを持つページをフィルタ (コンテンツフィルタ)]のセクションで、すべてのカテゴリに許可マークを付けてください。

ホワイトリストにドメインを追加するときは、そのサイトで必要になるすべてのドメインについても、必ず同様にリストに追加します。次の例を参考にしてください。

  • google.com をブロックします。これで、google.com のすべてのサブドメインもブロックされます。
  • maps.google.com にアクセスできるよう、このサイトをホワイトリストに追加します。
  • maps.google.com へのアクセスは期待どおりに動作しません。なぜなら、ほかの google サーバからもデータを取得する必要があるからです。
  • これらほかの google サーバ (mt0.google.com など) もホワイトリストに追加する必要があります。

[Create profile] をクリックし、コンテンツフィルタプロファイルの設定を保存します。

作成したプロファイルの一覧で、目的の行の右側にあるアイコンをクリックすると、該当するプロファイルを編集または削除できます (アイコンの凡例が下にあります)。

[アンチウィルス]

このセクションでは、HTTP プロキシが使うウィルススキャナエンジン (ClamAV、およびバージョン 2.3 からは Sophos Antivirus も利用可能) を設定できます。

[最大コンテンツサイズ (MB)]
ウィルスをスキャンするファイルの最大サイズを MB 単位で指定します。
[以下の URL はスキャンしない]
ウィルスのスキャンを行わない URL を 1 行に 1 つずつ入力します。

[保存] をクリックし、ウィルススキャナエンジンの設定を保存します。

[AD join]

このセクションでは、アクティブディレクトリサービスに参加できます。アクティブディレクトリサービスに参加できるのは、認証方式を[Windows Active Directory (NTLM)]に設定している場合だけです。

[POP3]

画面上部のメニューバーで[プロキシ]をクリックし、画面左のサブメニューで[POP3]をクリックします。このセクションでは、POP3 (受信メール) プロキシを設定できます。

[グローバル設定]

このページでは、POP3 プロキシのグローバル設定を指定できます。POP3 プロキシはゾーンごとに有効または無効にできます。また、受信メールに対して、[ウィルススキャナ]と[スパムフィルタ]を有効にすることもできます。すべての POP3 送信接続をログに記録するには、[ファイアウォールログにアクセスログを出力]チェックボックスをオンにします。

[スパムフィルタ]

このページでは、スパムメールが見つかったときの POP3 プロキシの処理方法を設定できます。

[スパムサブジェクトタグ]
ここでは、スパムメールのサブジェクトのプリフィックスを指定できます。
[スパム判定しきい値]
メッセージをスパムと判定するのに必要なヒット数を指定します。デフォルト値は 5 です。
[メッセージダイジェストスパム検知を有効にする (pyzor)]
メッセージダイジェストを使ってスパムを検知するには、このチェックボックスをオンにします。この機能を有効にすると、POP3 プロキシのスループットが極端に落ちるので注意してください。
[ホワイトリスト]
ここでは、送信者メールアドレスを 1 行に 1 ずつホワイトリストに追加できます。 *@example.com のようにワイルドカードを使ってドメイン全体をホワイトリストに追加することもできます。
[ブラックリスト]
ここでは、送信者メールアドレスを 1 行に 1 ずつブラックリストに追加できます。 *@example.com のようにワイルドカードを使ってドメイン全体をブラックリストに追加することもできます。

[SIP]

画面上部のメニューバーで[プロキシ]をクリックし、画面左のサブメニューで[SIP]をクリックします。

SIP プロキシは、SIP プロトコルおよび RTP プロトコル用のプロキシ/マスカレード・デーモンです。SIP (Session Initiation Protocol, RFC 3261) および RTP (Real-time Transport Protocol) は、VoIP (Voice over IP) デバイスが呼 (通話が可能な状態) を確立して音声ストリームを搬送するのに使われます。

SIP プロキシは LAN 上の SIP クライアントの登録を処理し、SIP メッセージボディの書き換えを行って、 Endian UTM Appliance を経由した SIP 接続を可能にします。このため、SIP クライアント (x-lite、kphone、linphone、VoIP ハードウェアなど) は NAT 配下での動作が可能になります。SIP プロキシを使わない場合、双方のクライアントが NAT 配下にあるケースを除けば、クライアント間での接続は不可能です。これは、一方のクライアントからもう一方のクライアントに直接接続することができず、したがって両者間で RTP 接続を確立できないためです。

SIP プロキシを有効にした場合は、以下のオプションを設定できます (指定した設定を保存するには、[保存]をクリックします)。

[ステータス]
[トランスペアレント] を選択すると、SIP ポートへのすべての送信トラフィックが自動的に SIP プロキシにリダイレクトされます。 [有効] を選択すると、SIP プロキシは SIP ポートをリスンします。この場合、クライアント側で SIP プロキシの存在を考慮した設定が必要になります。
[SIP ポート]
デフォルトは 5060 です。
[RTP ポート下限] / [RTP ポート上限]
SIP プロキシが受信および送信 RTP トラフィックに使う UDP ポートの範囲を指定します。デフォルトでは、7070 から 7090 までの (7090 を含む) 範囲が使われます。これで、10 までの同時通話 (各通話ごとに 2 ポートを使用) が可能です。同時通話可能数を増やしたい場合は、範囲を広げてください。
[送信プロキシホスト] / [ポート]
SIP プロキシ自身も、すべてのトラフィックをここで指定した別の送信プロキシに送信できます。
[登録の自動保存]
再起動後も SIP プロキシに登録内容を保持させるには、このチェックボックスをオンにします。
[電話履歴をログに出力する]
電話履歴を SIP プロキシログに記録するには、このチェックボックスをオンにします。
[ファイアウォールログにアクセスログを出力]
送信接続をファイアウォールログに記録します。

[FTP]

画面上部のメニューバーで[プロキシ]をクリックし、画面左のサブメニューで[FTP]をクリックします。

FTP (File Transfer Protocol) プロキシは、トランスペアレントプロキシとしてのみ利用できます。トランスペアレントプロキシとして利用することで、FTP でダウンロードされるファイルに対してウィルススキャンが可能です。

注意

標準の FTP ポート (21) への接続だけが、プロキシにリダイレクトされます。このため、FTP プロトコルに対しても HTTP プロキシを使うようにクライアントを設定している場合、FTP プロキシはバイパスされることになります。

トランスペアレント FTP プロキシは、グリーンゾーンおよびその他の有効なゾーン (オレンジゾーン、ブルーゾーン) で有効にすることができます。以下のオプションを設定できます (指定した設定を保存するには、[保存]をクリックします)。

[ファイアウォールログにアクセスログを出力]
送信接続をファイアウォールログに記録します。
[これらの送信元からのトランスペアレントプロキシはバイパスする] / [これらの送信先へのトランスペアレントプロキシはバイパスする]
トランスペアレントプロキシをバイパスさせる送信元 (左のボックス) または送信先 (右のボックス) を指定します。サブネット、IP アドレス、または MAC アドレスを 1 行に 1 つずつ入力します。 Endian UTM Appliance は、インターネットに直接接続されている場合、かつその場合に限り、frox によるトランスペアレント FTP プロキシをサポートします。

Endian UTM Appliance とインターネットの間に NAT を行うほかのファイアウォールやルータがある場合、frox は動作しません (frox では上位サーバとアクティブ FTP 接続を行うため)。

[SMTP]

画面上部のメニューバーで[プロキシ]をクリックし、画面左のサブメニューで[SMTP]をクリックします。

SMTP (Simple Mail Transfer Protocol) プロキシは、メールサーバに送信されるメールトラフィックをリレーしてフィルタリングすることができます。

SMTP プロキシは、SMTP トラフィック全般を管理して最適化し、SMTP プロトコルを使う場合でもネットワークをさまざまな脅威から保護する役割を果たします。SMTP (Simple Mail Transport Protocol) プロトコルは、メールクライアントからリモートメールサーバにメールが送信されるときに使われます (送信メール)。また、LAN (グリーンインターフェース) や DMZ (オレンジインターフェース) で独自のメールサーバを運用していて、ネットワークの外部からこのメールサーバ経由でメールを送信することを許可している場合も、SMTP プロトコルが使われます。SMTP プロキシの設定は、いくつかのサブセクションに分かれています。

警告

ローカルメールクライアントでリモートメールサーバからメールをダウンロードするときは、POP3 プロトコルまたは IMAP プロトコルが使われます。これらのトラフィックも保護の対象にしたい場合は、[プロキシ]メニューの[POP3]で POP3 プロキシを有効にする必要があります。IMAP トラフィックのスキャンは現時点ではサポートされていません。メールプロキシ機能を使うと、どちらの種類のトラフィック (受信メールと送信メール) についても、ウィルス、スパム、およびその他の脅威をチェックできます。必要な場合にはメールはブロックされ、該当するメールの受信者および管理者に警告が送られます。受信メールのスキャンも可能なので、メールプロキシは受信接続を処理して、1 つまたは複数の内部メールサーバにメールを転送することができます。このため、ポート転送を使うことなく、アプライアンス配下で独自のメールサーバを運用することができます。

[設定]

SMTP プロキシ設定のメインセクションです。以下のオプションがあります。

[active]([グリーン]、[ブルー]、[オレンジ]、および[レッド])
ポート 25 でリクエストを受け付けるために SMTP プロキシを有効にします。
[transparent mode]([グリーン]、[ブルー]、[オレンジ])
トランスペアレントモードが有効になっている場合、送信先ポートが 25 のすべてのリクエストは途中で捕捉されて SMTP プロキシに転送されます。クライアント側で設定を変更する必要はありません。

さらに追加のオプションが表示されます。 + アイコンをクリックすると、該当するパネルのオプションが展開して表示されます。

[Spam settings] セクションでは、スパムのフィルタリングに使われる SpamAssassin と amavisd-new を設定できます。SpamAssassin では、スパムを検出するためのさまざまな手段が用意されています。SpamAssassin は、相互に関連のある多数のルールを適用してスコアを計算し、メッセージがスパムかどうかを判定する スコア集計 システムを備えています。

[Filter mail for spam]
スパムメールをフィルタリングするには、このチェックボックスをオンにします。チェックボックスをオンにすると、スパムフィルタに関するオプションがいくつか表示されます。ブラックリスト、ホワイトリスト、およびグレーリストは、 [プロキシ]メニュー ‣ [SMTP] ‣ [Black- & Whitelists] セクションで設定できます。
[Activate commtouch for spam filtering] (オプション)
commtouch アンチスパムエンジンを使ってメールをフィルタリングするには、このチェックボックスをオンにします。
[Choose spam handling]

以下のいずれかを選択します。

  • [move to default quarantine location]: スパムメールは、ハードディスク上のデフォルトの場所 (/var/amavis/virusmails) に移動されます。
  • [move to custom quarantine location]: スパムメールは、指定されたハードディスク上の場所に移動されます。
  • [send to quarantine email address]: スパムメールは、指定された独自のメールアドレスに転送されます。
  • [mark as spam]: メールを配信する前にスパムであることを示すマークが付けられます。
[スパムサブジェクト]
ここでは、スパムメールのサブジェクトのプリフィックスを指定できます。
[Email used for spam notifications (spam admin)]
処理したスパムメールごとに警告メールを受け取るメールアドレスを指定します。
[スパムタグレベル]
SpmaAssassin のスパムスコアがここで指定したレベルより大きい場合、メールに X-Spam-Status ヘッダと X-Spam-Level ヘッダが追加されます。
[スパムマークレベル]
SpmaAssassin のスパムスコアがここで指定したレベルより大きい場合、メールに[スパムサブジェクト]で指定した文字列と X-Spam-Flag ヘッダが追加されます。
[スパム検疫レベル]
スパムスコアがここで指定されたレベルを超えたメールは検疫場所に移動されます。
[このレベル以下の場合に警告メールを送信]
スパムスコアがここで指定されたレベル以下の場合にのみ警告メールを送信します。
[Activate greylisting for spam]
グレーリストを有効にするには、このチェックボックスをオンにします。
[Delay for greylisting (sec)]
グレーリストに適用する期限を秒単位で指定します。指定できる値は 30 から 3600 までです。

注意

スパムメッセージとしてよく知られている多くの単純なスパムメールや既知のスパムホストから送信されたメールはブロックされますが、スパムの送信者は、スパムフィルタをかいくぐれるようにするために常にメッセージに手を加えています。したがって、スパムフィルタをパーソナライズされたより強力なフィルタ (いわゆるベイズ) にするためには、スパムフィルタを常時トレーニングすることが不可欠です。

[Virus settings] は、SMTP プロキシモジュールのメインセクションの 1 つです。ウィルスを含むメールを受け取った場合、4 つの異なる処理方法が可能です。特定のメールアドレスに警告メールを送信するように設定することもできます。

[Scan mail for virus]
ウィルスを含むメールをフィルタリングするには、このチェックボックスをオンにします。チェックボックスをオンにすると、ウィルスに関するオプションがいくつか表示されます。
[Choose virus handling]

以下のいずれかを選択します。

  • [move to default quarantine location]: ウィルスを含むメールは、ハードディスク上のデフォルトの場所 (/var/amavis/virusmails) に移動されます。
  • [move to custom quarantine location]: ウィルスを含むメールは、指定されたハードディスク上の場所に移動されます。
  • [send to quarantine email address]: ウィルスを含むメールは、指定されたメールアドレスに転送されます。
  • [pass to recipient (regardless of bad contents)]: ウィルスを含むメールも通常どおり配送されます。

[File settings] セクションでは、メールに添付されている特定のファイル拡張子を持つファイルをブロックすることができます。指定された添付ファイルを含むメールは検出され、該当するメールは選択された方法で処理されます。

[Block files by extension]
特定の拡張子を持つ添付ファイルを含むメールをブロックするには、このチェックボックスをオンにします。チェックボックスをオンにすると、ファイル拡張子に関するオプションがいくつか表示されます。
[Choose handling of blocked files]

以下のいずれかを選択します。

  • [move to default quarantine location]: ブロックされたファイルを含むメールは、ハードディスク上のデフォルトの場所 (/var/amavis/virusmails) に移動されます。
  • [move to custom quarantine location]: ブロックされたファイルを含むメールは、指定されたハードディスク上の場所に移動されます。
  • [send to quarantine email address]: ブロックされたファイルを含むメールは、指定されたメールアドレスに転送されます。
  • [pass to recipient (regardless of bad contents)]: ブロックされたファイルを含むメールも通常どおり配送されます。
[Choose filetypes to block (by extension)]
ブロックするファイル拡張子を複数選択できます。複数の項目を選択するには、CTRL を押しながら目的の項目をマウスでクリックします。
[Email used for blocked file notifications (file admin)]
ファイル拡張子によってブロックされたメールが見つかるたびに、ここで指定したメールアドレスに警告メールが送信されます。
[Block files with double extension]
このチェックボックスをオンにすると、二重拡張子を持つファイルはブロックされます。二重拡張子を持つファイルは通常、コンピュータに危害を加えるために作成されます (ブロックされる二重拡張子は、 .exe.com.vbs.pif.scr.bat.cmd 、または .dll の任意の組み合わせです)。

SMTP プロキシサーバで管理するメールドメインを設定する必要があります。ドメインのリストは、[プロキシ]メニューの[SMTP]の[Incoming domains]セクションで追加できます。

[Bypass transparent proxy] セクション

[Bypass transparent proxy from SUBNET/IP/MAC]
トランスペアレントプロキシをバイパスさせる送信元を指定します。サブネット、IP アドレス、または MAC アドレスを 1 行に 1 つずつ入力します。
[Bypass transparent proxy to SUBNET/IP]
トランスペアレントプロキシをバイパスさせる送信先を指定します。サブネットまたは IP アドレスを 1 行に 1 つずつ入力します。

設定を保存して適用するには、 [保存] をクリックする必要があります。

[Black- & Whitelists]

[Accepted mail (Black- & Whitelists)] セクションでは、該当するフィールドにエントリを追加することで、独自のブラックリストとホワイトリストを作成し、特定の送信者、受信者、IP アドレス、またはネットワークをブロックしたり (ブラックリストの場合)、許可したり (ホワイトリストの場合) できます。

[Whitelist sender]
ここで指定したアドレスまたはドメインからのメールは常に受け取ります。
[Blacklist sender]
ここで指定したアドレスまたはドメインからのメールは常に受け取りません。
[Whitelist recipient]
ここで指定したアドレスまたはドメインへのメールは常に受け取ります。
[Blacklist recipient]
ここで指定したアドレスまたはドメインへのメールは常に受け取りません。
[Whitelist client]
ここで指定した IP アドレスまたはホストから送信されたメールは常に受け取ります。
[Blacklist client]
ここで指定した IP アドレスまたはホストから送信されたメールは常に受け取りません。

以下に示すのは、受信者/送信者のブラックリストとホワイトリストの例です。

  • 特定のドメイン (サブドメインを含む) をホワイトリストに追加する場合:

    example.com

  • サブドメインのみをホワイトリストに追加する場合:

    .example.com

  • 単一のアドレスをホワイトリストに追加する場合:

    info@example.com

    admin@example.com

以下に示すのは、クライアントのブラックリストとホワイトリストの例です。

  • ドメイン/IP をホワイトリストに追加する場合:

    example.com

    192.168.100.0/24

スパムメールをブロックするためにしばしば使われる方法として、いわゆるリアルタイムブラックリスト (Realtime Blacklists: RBL) があります。こうしたブラックリストは、さまざまな組織によって作成され、管理、更新されています。ドメインまたは送信者 IP アドレスがこれらのブラックリストに掲載されている場合、該当するドメインまたは送信者 IP アドレスからのメールは、特別な通知なしに拒否されます。この方法を利用する場合、ブラックリストに掲載されている IP アドレスが見つかると同時にメールは破棄され、メールを受け取って処理する操作は行われないので、アンチスパムモジュールの RBL を使う場合よりも帯域幅を節約することができます。 [Realtime Blacklists (RBL)] セクションでは、こうしたリアルタイムブラックリストに関する設定を行うことができます。

[bl.spamcop.net]
このサイト (www.spamcop.net) のユーザの報告に基づく RBL です。
[zen.spamhaus.org]
このリストは sbl-xbl.spamhaus.org に代わるもので、Spamhaus ブロックリストに加え、Spamhaus の悪用ブロックリストとポリシーブロックリストも含まれています。
[cbl.abuseat.org]
CBL は、非常に大規模なスパムトラップをソースデータとして使用しています。CBL は、これまでにスパムをはじめ、自分で直接メール送信を実行するワーム/ウィルス、またはある種のトロイの木馬や「ステルス」スパムウェアを送信するために悪用されたことのあるさまざまなタイプのオープンプロキシ (HTTP、socks、AnalogX、wingate など) をチェックし、これらのオープンプロキシに固有の特徴を持つ IP だけをリストとして提供しています。
[dul.dnsbl.sorbs.net]
ダイナミック IP アドレス範囲のリストです (www.au.sorbs.net)。
[ix.dnsbl.manitu.net]
公開されている DNS ブラックリストで、スパムフィルタ NiX Spam の IP ブラックリストとスパムハッシュテーブルから常時生成されているリストです。
[dsn.rfc-ignorant.org]
インターネットの標準である RFC に従わない管理者が運用しているドメインまたは IP ネットワークを含むリストです (www.rfc-ignorant.org)。

警告

RBL の運営主体が、問題のない IP アドレスを誤ってリストに掲載している場合もあります。このような場合、問題のないメールが拒否され、該当するメールを復元できないといったネガティブな影響が生じるおそれがあります。なお、部外者が RBL に直接手を加えることはできません。

注意

熟練ユーザは、ファイル /var/efw/smtpscan/RBL を編集することで、リストを修正できます (/var/efw/smtpscan/default/RBL をドラフトとして使ってください)。

[Spam greylisting (Whitelists)] セクションでは、受信者、IP アドレス、またはネットワークごとにエントリを追加することで、グレーリストのホワイトリストを作成できます。

[Whitelist recipient]
ここでは、メールアドレスまたはドメイン全体を 1 行に 1 ずつホワイトリストに追加できます。たとえば、メールアドレスの場合は test@endian.com 、ドメインの場合は endian.com のように入力します。
[Whitelist client]
ここでは、メールサーバのアドレスを 1 行に 1 ずつホワイトリストに追加できます。ここで追加したサーバのアドレスから送信されたすべてのメールについては、スパムかどうかのチェックは行われません。

[Spam (Black- & Whitelists)] セクションでは、エントリを追加することで、スパムフィルタのブラックリストとホワイトリストを作成できます。

[Whitelist sender]
ここでは、メールアドレスまたはドメイン全体を 1 行に 1 ずつホワイトリストに追加し、スパムとして検出されないようにすることができます。たとえば、メールアドレスの場合は test@endian.com 、ドメインの場合は endian.com のように入力します。
[Blacklist sender]
ここでは、メールアドレスまたはドメイン全体を 1 行に 1 ずつブラックリストに追加し、スパムとして検出されるようにすることができます。たとえば、メールアドレスの場合は test@endian.com 、ドメインの場合は endian.com のように入力します。

設定を保存して SMTP プロキシを再起動するには、 [保存] をクリックします。

[Incoming domains]

受信メールを有効にしていて、これらのメールを Endian UTM Appliance 配下の (一般にグリーンゾーンまたはオレンジゾーンに置かれた) メールサーバに転送したい場合は、SMTP プロキシがどのドメイン宛のメールを受け取るか、および受信メールをどのメールサーバに転送するかを指定する必要があります。さまざまなドメインに対して Endian UTM Appliance 配下のメールサーバを複数指定することができます。また、 Endian UTM Appliance をバックアップ MX として使用することも簡単にできます。

[ドメイン]
このメールサーバが管理するドメインを指定します。
[Mailserver IP]
メールサーバの IP アドレスを指定します。

ドメインを追加するには、 [追加] をクリックします。変更内容を適用するには、 [Restart] をクリックして SMTP プロキシを再起動する必要があります。既存のエントリの右側にあるアイコンをクリックすると、該当する既存のエントリを編集または削除できます (画面の下部にアイコンの凡例があります)。

[メールルーティング]

このオプションを使うと、特定のメールアドレスに BCC (Blind Carbon Copy) を送信することができます。このオプションは、特定の受信者アドレス宛に送信されたすべてのメールまたは特定の送信者メールアドレスから送信されたすべてのメールに適用されます。

[方向]
[送信者]または[受信者]のうち、BCC 処理を適用する対象を選択します。
[メールアドレス]
ここでは、(上で選択した内容に応じて) 受信者または送信者のメールアドレスを指定します。
[BCC アドレス]
メールのコピーの送信先となるメールアドレスを指定します。

[メールルートの追加] をクリックすると、メールルートが保存されます。既存のエントリの右側にあるアイコンをクリックすると、該当するエントリを編集または削除できます (画面の下部にアイコンの凡例があります)

警告

メールがコピーされていることは、送信者にも受信者にも通知されません。ほとんどの国では、他人のプライベートなメッセージを読むことは違法です。この機能は悪用しないでください。

[詳細設定]

このページでは、SMTP プロキシの詳細を設定できます。 [Smarthost configuration] セクションでは、以下のオプションを設定できます。

[Activate smarthost for delivery]
スマートホストを利用してメールを配信するには、このチェックボックスをオンにします。チェックボックスをオンにすると、追加のオプションがいくつか表示されます。
[Smarthost address]
スマートホストのアドレスを指定します。
[Smarthost port]
スマートホストのポート (デフォルトは 25) を指定します。
[Smarthost requires authentication]
スマートホストで認証が必要な場合には、このチェックボックスをオンにします。チェックボックスをオンにすると、追加のオプションがいくつか表示されます。
[Smarthost username]
認証に使用するユーザ名を指定します。
[Smarthost password]
認証に使用するパスワードを指定します。
[Choose authentication method]
スマートホストがサポートしている認証方式を選択できます。 [PLAIN][LOGIN][CRAM-MD5] 、および [DIGEST-MD5] から複数の認証方式を選択できます。

注意

ISDN または ADSL ダイアルアップインターネット接続を利用しているためにダイナミック IP アドレスが割り当てられる場合は、ほかのメールサーバにメールを送信するときに問題が起きる可能性があります。メールを受け取るときに送信元の IP アドレスがダイナミック IP アドレスかどうかをチェックするメールサーバは増えており、ダイナミック IP アドレスからメールを送信すると、これらのメールサーバから受信を拒否されることがあります。このような場合には、スマートホストを利用してメールを送信する必要があります。

注意

スマートホストとは、SMTP プロキシが送信 SMTP サーバとして利用するメールサーバのことです。スマートホスト側では、SMTP プロキシから送信されたメールを受け取って、代わりにリレーするよう設定されている必要があります。通常は、プロバイダの SMTP サーバをスマートホストとして利用できます。プロバイダの SMTP サーバはユーザが送信したメールをリレーするようになっているのに対し、ほかのメールサーバではこうしたリレーが拒否されることがあります。

[IMAP サーバでの SMTP 認証] セクションでは、メール送信時の認証に使用する IMAP サーバを設定できます。レッドゾーンから開始された SMTP 接続に対しては、特にこの設定が重要です。以下のオプションを設定できます。

[Activate SMTP authentication with IMAP server]
IMAP 認証を有効にするには、このチェックボックスをオンにします。チェックボックスをオンにすると、追加のオプションがいくつか表示されます。
[IMAP authentication server]
IMAP サーバのアドレスを指定します。
[IMAP authentication port]
IMAP サーバのポート (デフォルトは 993) を指定します。
[Choose number of authentication daemons]
Endian UTM Appliance 経由での同時ログイン可能数を選択します。

[Mail server settings] セクションでは、SMTP サーバの追加パラメータを設定できます。設定できるオプションは以下のとおりです。

[Require SMTP HELO]
このチェックボックスをオンにした場合、接続クライアントは SMTP セッション開始時に HELO (または EHLO) コマンドを送信する必要があります。
[Reject invalid hostname]
このチェックボックスをオンにした場合、接続クライアントの HELO または EHLO パラメータで無効なホスト名が渡されたときは、そのクライアントを拒否します。
[SMTP HELO 名]
SMTP EHLO または HELO コマンドで送信するホスト名を入力します。デフォルト値は、レッドインターフェースの IP アドレスです。ホスト名または IP アドレスを指定します。
[Always BCC to address]
オプションとして、SMTP プロキシを経由するすべてのメッセージの BCC を受け取るメールアドレスを指定できます。
[Choose mailtemplate language]
エラーメッセージを送信するときの言語を選択します。
[Recipient address verification]
このチェックボックスをオンにすると、メッセージを送信する前に受信者アドレスが有効かどうかチェックします。
[Choose hard error limit]
リモート SMTP クライアントがメールを配信することなくエラーを発生させる場合、このようなエラーを何回まで許可するかを選択します。選択された値を超えると、SMTP プロキシサーバは接続を切断します (デフォルトは 20 です)。
[Choose maximal email contentsize]
1 つのメッセージで送信可能な最大サイズを選択します。

[Spam prevention] セクションでは、SMTP サーバの追加パラメータを設定できます。設定できるオプションは以下のとおりです。

[Reject invalid recipient (non-FQDN)]
このチェックボックスをオンにすると、RCPT TO アドレスが RFC で要求された完全修飾ドメイン名形式でない場合にリクエストを拒否します。
[Reject invalid sender (non-FQDN)]
このチェックボックスをオンにすると、HELO または EHLO コマンドで渡されたホスト名が RFC で要求された完全修飾ドメイン名形式でない場合にリクエストを拒否します。
[Reject unknown recipient domain]
このチェックボックスをオンにすると、受信者メールアドレスのドメインに対応する DNS A レコードまたは MX レコードが存在しない場合に接続を拒否します。
[Reject sender from unknown domain]
このチェックボックスをオンにすると、送信者メールアドレスのドメインに対応する DNS A レコードまたは MX レコードが存在しない場合に接続を拒否します。

[保存] をクリックすると、設定が保存されて適用されます。

[Commtouch]

バージョン 2.3 で追加.

このページでは、Commtouch アンチスパムエンジンを設定できます。以下のオプションを設定できます。

[Enable spamassassin shortcircuit]
このチェックボックスをオンにすると、commtouch がメッセージをスパムとしてマークした場合に SpamAssassin をスキップします。
[Ignore IPs/Networks]
ここでは、commtouch のチェックから除外する IP とネットワークを入力できます。

[SPAM tag level] セクションでは、以下のオプションを設定できます。

[CONFIRMED]
タグレベルがここで指定された値を超えるすべてのメールはスパムと判定されます (-10 から 10 までの値を指定します)。
[BULK]
タグレベルがここで指定された値を超えるすべてのメールはバルクメールと判定されます (-10 から 10 までの値を指定します)。
[SUSPECTED]
タグレベルがここで指定された値を超えるすべてのメールはスパムを含んでいるおそれがあると判定されます (-10 から 10 までの値を指定します)。
[UNKNOWN]
タグレベルがここで指定された値を下回るメールは不明と分類されます (-10 から 10 までの値を指定します)。
[NONSPAM]
タグレベルがここで指定された値を下回るメールはスパムではないメールと判定されます (-10 から 10 までの値を指定します)。

[保存] をクリックすると、設定が保存されて適用されます。

[DNS]

画面上部のメニューバーで[プロキシ]をクリックし、画面左のサブメニューで[DNS]をクリックします。

このセクションでは、DNS プロキシの設定を変更できます。設定は 3 つのページに分かれています。

[DNS プロキシ]

このページでは、グリーンゾーン、オレンジゾーン、およびブルーゾーンを対象にトランスペアレント DNS プロキシを有効にすることができます (これらのゾーンがアクティブな場合)。また、左側のボックスでは、トランスペアレントプロキシをバイパスさせる送信元アドレスを指定できます。送信元アドレスには、IP アドレス、サブネットのアドレス、または MAC アドレスを 1 行に 1 つずつ指定します。右側のボックスでは、トランスペアレントプロキシをバイパスさせる送信先を指定できます。IP アドレスまたはサブネットのアドレスを指定します。設定を保存するには、 [保存] をクリックする必要があります。

[DNS routing]

このページでは、特定のドメインを対象としたカスタムネームサーバを追加できます。新しいカスタムネームサーバを追加するには、[ドメイン向け新規カスタムネームサーバの追加]をクリックします。既存のエントリを編集するには、該当する行の鉛筆アイコンをクリックします。ごみ箱アイコンをクリックすると、該当する行のカスタムネームサーバを削除できます。カスタムネームサーバでは、以下のオプションを設定できます。

[ドメイン]
カスタムネームサーバを使用するドメインを指定します。
[DNS サーバ]
ネームサーバの IP アドレスを指定します。
[コメント]
必要に応じてコメントを入力します。

[アンチスパイウェア]

このページでは、スパイウェアによって使われていることがわかっているドメイン名を解決する必要がある場合に、 Endian UTM Appliance がこうしたリクエストをどう処理するかを指定できます。設定できるオプションは以下のとおりです。

[有効]
このチェックボックスをオンにすると、該当するリクエストはローカルホストにリダイレクトされます。
[スパイウェア収集ポストにリダイレクトする]
このチェックボックスをオンにすると、リクエストはローカルホストではなく、スパイウェア収集ポストにリダイレクトされます。
[ホワイトリストドメイン]
ここで指定されたドメイン名は、スパイウェアドメインリストの内容にかかわらず、スパイウェアのターゲットとはみなされません。
[ブラックリストドメイン]
ここで指定されたドメイン名は、スパイウェアドメインリストの内容にかかわらず、常にスパイウェアのターゲットとみなされます。
[スパイウェアドメインリストのアップデートスケジュール]
ここでは、スパイウェアドメインリストをアップデートする頻度を指定できます。選択できる値は、 [1 時間毎][1 日毎][1 週間毎] 、または [1 月毎] のいずれかです。各項目の横のクエスチョンマークにマウスのポインタを置くと、該当する項目を選択したときに正確にはいつアップデートが実行されるかが表示されます。

[保存] をクリックすると、設定が保存されて適用されます。