MAIL

SMTP 接続の DNS ブラックリストフィルタを有効にする
不要な商用電子メール (UCE) や SPAM がシステムに入らないようにするため、SMTP 受信接続が 1 つ以上の DNS ブラックリスト (DNSBL) にリストされたサーバーから発信されていないかどうかを確認するように IBM(R) Lotus Domino(R) を設定することができます。DNSBL は、SPAM の既知の発信元や、サードパーティを許可するオープンリレーであるインターネット SMTP ホストを記録するデータベースです。

DNS ブラックリストフィルタを有効にすると、SMTP 受信接続ごとに、Lotus Domino が指定されたサイトのブラックリストに対して DNS クエリーを実行します。接続ホストがリストに掲載されている場合、コンソールメッセージおよび Notes Log の [Mail Routing Events] ビューにエントリでレポートされます。コンソールメッセージとログエントリには、そのサーバーのホスト名と IP アドレス、サーバーがリストされていたサイトの場所が記載されます。

イベントがログに記録されるだけでなく、Lotus Domino を設定してブラックリストに載っているホストからのメッセージを拒否したり、そのホストから受信したメッセージにフラグを付ける特別な IBM(R) Lotus Notes(R) アイテムを追加することができます。

チェックする DNS ブラックリストサイトを指定するDNS ブラックリストフィルタを有効にすると、接続ホストが「既知」のオープンリレーや SPAM の発信元であるかどうかを判別するために SMTP タスクが使用するサイトを指定できます。IP ベースの DNS ブラックリストクエリーをサポートするサイトを指定します。
ブラックリストの 1 つに接続ホストと一致するものがあった場合、その他に設定されたサイトのリストのチェックは行われません。

Lotus Domino では接続ごとに各サイトに対して DNS 検索が実行されるため、パフォーマンス上の理由からサイト数を制限することを推奨します。

DNS ブラックリストを保持しているパブリックおよびプライベートの購読サービスはいくつかあり、その中から選択できます。パブリックブラックリストサービスを使用する場合、インターネットを介して DNS クエリーが実行されます。場合によっては、インターネットサイトに送信された DNS クエリーの解決にかなりの時間を要することがあります。インターネットを介して実行された DNS クエリーのネットワーク待ち時間によってパフォーマンスが低下した場合、ゾーン転送を使用できるプライベートサービスと契約し、必要な DNS 検索をローカルホストで実行できるようにすることを検討してください。ゾーン転送中に、サービスプロバイダの DNS ゾーンファイルの内容は、ローカルネットワークの DNS サーバーにコピーされます。

各ブラックリストサービスは、サーバーをそのリストに追加するための独自の基準を使用しています。ブラックリストサイトは、自動化されたテストとその他の方法を使用して、対象のサーバーが SPAM を送信しているかやオープンリレーとして稼動しているかを確認します。制限がより厳しいブラックリストサイトでは、サーバーが SPAM の発信元として確認されたかどうかに関係なく、自動化されたテストに不合格になると直ちにリストに追加されます。制限が厳しくないサイトでは、指定された猶予期間に管理者がそのサーバーからサードパーティへの中継を閉じるのに失敗するか、サーバーが既知の SPAM 発信元に対してホストとして稼動している場合にのみ、サーバーをリストに追加します。

インターネットを検索すると、さまざまな DNS ブラックリストサービスのエントリ数の定期的なレポートを提供するインターネットサイトが見つかります。

DNS ブラックリストチェックから除外されるホストLotus Domino では不要な DNS 検索を避けるために、SMTP インバウンドリレー制限の指定に従ってリレーチェックが行われるホストでのみ DNS ブラックリストチェックが行われます。中継を許可されたホストは、ブラックリストチェックから除外されます。たとえば、デフォルトでは、外部ホストにのみインバウンドリレー制限が適用されます ([ルーター/SMTP] - [制限と制御] - [SMTP インバウンド] - [指定した接続ホストへアンチリレー制限を実施する])。デフォルトの設定を使用すると、内部ホストはリレー制御を適用されないので、ブラックリストチェックからも除外されます。
リレー制御の適用の設定について詳しくは、「インバウンドリレー制御を設定して不正なメールの中継を防止する」を参照してください。

DNS ブラックリストにあるホストからの接続を Lotus Domino が処理する方法を指定するブラックリストの 1 つに接続ホストが見つかった場合に、次のアクションを実行するように IBM(R) Lotus Domino(R) を設定することができます。

いずれの場合も、サーバーはホストの IP アドレス、ホスト名 (DNS 逆検索がこの情報を判別できる場合)、およびホストがリストされているサイトの名前を Lotus Notes ログに記録します。

メッセージにタグを付けると、ブラックリストに掲載されていたホストから受信したメッセージに特別な文書 (Note) アイテムが追加されます。ブラックリストに接続ホストがあると判別されると、メッセージを MAIL.BOX に保管する前に、そのホストからの受信した各メッセージに文書 (Note) アイテム、$DNSBLSite が追加されます。$DNSBLSite アイテムの値がホストが含まれていたブラックリストサイトです。管理者は、$DNSBLSite 文書 (Note) アイテムを使用して、ブラックリストに掲載されていたホストから受信したメッセージのカスタム処理を提供できます。たとえば、エージェントまたはビューの式を使用してアイテムの存在をテストしたり、アイテムを含むメッセージを特別なデータベースに移動するなど、メッセージを条件に応じて処理できます。

ブラックリストにホストを見つけたときに実行されるアクションを検討する場合、使用する DNS ブラックリストサイトのポリシーに応じてアクションを選択してください。たとえば、使用するサービスがとても厳しい基準を使用している場合、ブラックリストには、「偽陽性」のホストが含まれていることがあります。つまり、ブラックリストに記載されたホストが既知の SPAM 発信元ではないことがあります。その結果、ブラックリストに掲載されていたすべてのホストからのメールを拒否するアクションを実行すると、重要なメッセージの受信を妨げることもあります。

特に制限がより厳しいサイトのブラックリストを使用する場合、慎重にアクションを実行してください。選択したアクションは、指定された各ブラックリストサイトに適用されます。つまり、1 つのサイトのリストで見つかったホストの接続は拒否するが、別のサイトのリストで見つかったホストについてはそのイベントをログに記録するだけにするように Lotus Domino を設定することはできません。

DNS ブラックリストの統計SMTP タスクは、設定された各サイトの DNSBL で検出された接続ホストの数や、結合されたすべてのサイトの結合された DNSBL で検出された接続ホストの総数をトラッキングする統計を管理します。統計は SMTP タスクによって管理されるため、タスクの実行期間中にのみ収集され、タスクが停止すると消去されます。
統計を表示するには、Lotus Domino Administrator やサーバーコンソールで SHOW STAT SMTP コマンドを使用します。統計をさらに拡張し、設定された DNSBL の 1 つで特定の IP アドレスが検出された回数を記録できます。詳細な情報を収集するには、サーバーの NOTES.INI ファイルに変数 SMTPExpandDNSBLStats を設定します。統計を拡張すると生成される数値が大きくなるため、デフォルトでは拡張された統計は記録されません。

メモ 接続ホストがブラックリストに掲載されているかどうかを調べるために DNS ブラックリストサイトにクエリーを実行するときは IP version 4 (IPv4) アドレスが使用されます。接続ホストが IP version 6 (IPv6) アドレスの場合、そのホストについては DNSBL チェックはスキップされます。

デフォルトのエラーメッセージを変更するブラックリストに載せられたホストを拒否する場合、そのホストにはデフォルトの SMTP 応答が返されます。これには、リモートホストの IP アドレスとそのホストをリストに載せているブラックリストサイトが含まれます。この応答は、サーバー設定文書の [削除されたメッセージにカスタム SMTP エラーを返信する] フィールドでカスタマイズできます。応答をカスタマイズするときには、拒否するホストの IP アドレスとホストがブラックリストに掲載されていた DNSBL サイトを表すために文字列形式指定子 %s を使用できます。詳しくは、次の手順の表を参照してください。
DNS ブラックリストフィルタを有効にするには 1 設定するサーバーのサーバー設定文書がすでに存在することを確認します。
2 Lotus Domino Administrator で、[設定] タブをクリックし、[メッセージング] セクションを展開します。

3 [設定] をクリックします。

4 メールサーバーか DNS ブラックリストフィルタを有効にする必要があるサーバーのサーバー設定文書を選択し、[サーバー設定の編集] をクリックします。

5 [ルーター/SMTP] - [制限と制御] - [SMTP インバウンド] タブをクリックします。

6 [DNS ブラックリストフィルタ] セクションの次のフィールドに必要な情報を設定し、[保存して閉じる] をクリックします。
フィールド設定
DNS ブラックリストフィルタ次のいずれかを選択します。
  • [有効] - SMTP 接続要求を受信すると、指定したサイトのブラックリストにその接続ホストが掲載されているかどうかがチェックされます。
  • [無効] - 接続ホストがブラックリストに掲載されているかどうかはチェックされません。
DNS ブラックリストサイトDNS ブラックリストフィルタを有効にした場合に、SMTP 接続要求を受信したときに、チェックする DNSBL サイトを指定します。
接続しようとしているホストが DNS ブラックリストで見つかったときに必要なアクション次のいずれかを選択します。
  • [ログのみ] - 接続ホストがブラックリストに掲載されていると判明した場合、そのホストからのメッセージは受け付けられ、接続サーバーのホスト名と IP アドレス、およびサーバーがリストされていたサイトの名前が記録されます。
  • [メッセージのログとタグ] - 接続ホストがブラックリストに掲載されていると判明した場合、そのホストからのメッセージは受け付けられ、接続サーバーのホスト名と IP アドレス、およびサーバーがリストされているサイトの名前が記録されます。さらに、受け付けられた各メッセージに Lotus Notes アイテム $DNSBLSite が追加されます。
  • [メッセージのログと削除] - 接続ホストがブラックリストに掲載されていると判明した場合、接続は拒否され、設定可能なエラーメッセージがそのホストに返されます。
削除されたメッセージにカスタム SMTP エラーを返信するDNS ブラックリストにホストが掲載されていたために接続を拒否する場合に返されるエラーメッセージを入力します。デフォルトのエラーメッセージは、ポリシー上の理由で接続が拒否されたことを示します。

拒否されたホストの IP アドレスとそのホストがリストに掲載されていた DNS ブラックリストサイトを示すために、形式指定子 %s を使用できます。たとえば、次のように入力します。

ホスト %s は %s の DNS ブラックリストに見つかりました。

接続が拒否されると、ホストにエラーが返されます。そのエラーメッセージでは、最初の %s はホストの IP アドレスに、2 番目の %s は DNS ブラックリストサイト名に置換されます。したがって、前の例のように入力した場合、拒否されたホストには次のようなエラーが送信されます。

ホスト 127.0.0.2 は blackholes.mail-abuse.org の DNS ブラックリストに見つかりました。

7 SMTP タスクを再ロードするか、SMTP の設定を更新して、新しい設定を有効にします。

関連項目