このセクションの内容
|
このオプションはGNU/Linux OSの製品ディストリビューションでのみ使用できます。 |
Milter、SpamdまたはRspamdインターフェースによって、またはClamAVプロトコルによってDr.Web for UNIX Mail Serversとお使いのメールサーバーを統合できない場合は、Dr.Web Firewall for Linuxを使って保護できます。その場合は、Dr.Web for UNIX Mail Serversをインストールしたサーバーに届くすべてのデータがSpIDer Gateネットワーク接続モニター(透過プロキシモード)によってチェックされるように、Dr.Web Firewall for Linuxを設定する必要があります。
Dr.Web for UNIX Mail Serversを設定するには、設定ファイルの[MailD]セクションで次のパラメータの値を編集します。
•TemplateContactsとReportLanguagesのパラメータを使用して、脅威やスパムを含むメールメッセージを再圧縮する際のメール生成パラメータを指定します。
•TemplateContactsパラメータには、脅威やスパムが検出された場合のメッセージ送信先となるメールサーバー管理者のアドレスを指定します。
•RepackPasswordパラメータの値で、再圧縮(repack)時にメールメッセージに追加される、脅威を含む保護されたアーカイブ用のパスワードの生成方法を指定します。
透過プロキシモードを設定するには、設定ファイルの[LinuxFirewall]セクションにある値を次のように変更します。
パラメータ |
必要な値 |
|---|---|
InspectSmtp |
•SMTP経由で転送されるデータを監視する必要がある場合はOn(MUAとMTA間またはMTAとMTA間のデータ転送) •SMTP経由で転送されるデータを監視する必要がない場合はOff |
InspectPop3 |
•POP3経由で転送されるデータを監視する必要がある場合はOn(MUAとMDA間のデータ転送) •POP3経由で転送されるデータを監視する必要がない場合はOff |
InspectImap |
•IMAP経由で転送されるデータを監視する必要がある場合はOn(MUAとMDA間のデータ転送) •IMAP経由で転送されるデータを監視する必要がない場合はOff |
AutoconfigureIptables |
Yes |
AutoconfigureRouting |
Yes |
LocalDeliveryMark |
Auto |
ClientPacketsMark |
Auto |
ServerPacketsMark |
Auto |
TproxyListenAddress |
127.0.0.1:0 Dr.Web Firewall for Linuxの操作に特別なIPアドレスまたはポートを使用する場合は、ここで指定します |
OutputDivertEnable |
•送信接続(MTAによって発信された接続など、現在のホストで開始された接続)を監視する必要がある場合はYes •送信接続を監視する必要がない場合はNo |
OutputDivertNfqueueNumber |
Auto |
OutputDivertConnectTransparently |
No |
InputDivertEnable |
•受信接続(リモートホストで開始される接続で、そのサーバー側は現在のホストで動作するMTAなどのアプリケーション)を監視する必要がある場合はYes •受信接続を監視する必要がない場合はNo |
InputDivertNfqueueNumber |
Auto |
InputDivertConnectTransparently |
Yes |
Dr.Web Firewall for Linuxの設定を表示および変更するには、次の方法を使用します。
•コマンドラインベース管理ツールDr.Web Ctl(drweb-ctl cfshowおよびdrweb-ctl cfsetコマンドを使用します)。
•Dr.Web for UNIX Mail Serversの管理用Webインターフェース(デフォルトでは、Webブラウザからhttps://127.0.0.1:4443/にアクセスすると利用できます)。
SSL/TLSの安全な接続を使用するメール配信チャネルにDr.Web for UNIX Mail Serversを統合する
1.次のコマンドを実行して対応するパラメータの値を指定することで、SSL/TLS経由で送信されるトラフィックのスキャンを有効にします。
# drweb-ctl cfset LinuxFirewall.UnwrapSsl Yes |
スキャンルールが自動的に更新されるように、drweb-ctlツールのcfsetコマンドまたは管理Webインターフェースを使用することを推奨します。スキャンルールはこのパラメータに依存します。
2.証明書をエクスポートします。この証明書はSSL/TLS接続のためにDr.Web for UNIX Mail Serversによって使用されます。
$ drweb-ctl certificate > <cert_name>.pem |
3.取得した証明書を、信頼できる証明書のシステムリストに追加し、それをメールクライアントおよびサーバー用の信頼できる証明書として指定します。詳細は、付録E. SSL証明書を生成するのセクションを参照してください。
設定ファイルの[LinuxFirewall]セクションで、次のパラメータの値を設定します。
1.メールメッセージスキャンの長さとリソース強度を制限するパラメータ(ScanTimeout、HeuristicAnalysis、PackerMaxLevel、ArchiveMaxLevel、MailMaxLevel、ContainerMaxLevel、MaxCompressionRatio)。詳細な調整が必要ない場合は、これらのパラメータの値を変更しないでください。
2.メールメッセージ内のリンクやファイルをスキャンするための設定を指定するBlock*パラメータ。
3.受信したメールメッセージをスキャンできない場合に、Dr.Web MailDが取るべきアクションを指定するBlockUnchecked。このパラメータがYesに設定されている場合、メッセージは拒否されます。
フィルタリングルールの詳細な設定については、LuaプロシージャまたはRuleSetルールを編集してください。
すべての設定を調整したら、Dr.Web for UNIX Mail Serversを次のコマンドで再起動します。
# drweb-ctl reload |
設定デーモンDr.Web ConfigDは、次のコマンドでも再起動できます。
# service drweb-configd restart |