透過プロキシモードでDr.Web for UNIX Mail Serversを使用する

このオプションは、GNU/Linux OSの製品ディストリビューションでのみ使用できます。

MilterSpamd、またはRspamdを介して、またはClamAVプロトコルを使用してDr.Web ClamDコンポーネントを直接使用して)Dr.Web for UNIX Mail Serversと通信することができないメールサーバーを使用する場合は、Dr.Web for UNIX Mail Serversがインストールされているインターネットゲートウェイ経由で受信した情報がSpIDer Gateネットワーク接続モニター(透過プロキシモード)によってスキャンされるようにDr.Web Firewall for Linuxコンポーネントを設定します。

このセクションの内容:

Dr.Web MailDパラメータを設定する

透過プロキシパラメータを設定する

スキャン設定

1) Dr.Web MailDパラメータを設定する

Dr.Web for UNIX Mail Serversを設定するには、まず設定ファイル内のDr.Web MailDの設定セクション([MailD]セクション)で現在のパラメータ値を確認し、必要に応じて変更する必要があります。

TemplateContactsReportLanguagesの各パラメータを使用して、脅威やスパムを含むメールメッセージをリパックするときのメール生成のパラメータを決定します。RepackPasswordパラメータの値として、電子メールメッセージに追加される、脅威を含む保護されたアーカイブのパスワードの生成方法を指定します(デフォルトではパスワードは未設定となっており、パスワードによるアーカイブの保護はされておりません。これは許容されますが、推奨されません)。

2)透過プロキシパラメータを設定する

透過プロキシモードを設定するには、Dr.Web Firewall for Linux(セクション[LinuxFirewall]設定のセクションで、設定ファイルの一部のパラメータ値を次のように変更します。

パラメータ

必要な値

InspectSmtp

SMTP経由で転送されるデータを監視する必要がある場合はOnMUAとMTA間またはMTAとMTA間のデータ転送

SMTP経由で転送されるデータを監視する必要がない場合はOff

InspectPop3

POP3経由で転送されるデータを監視する必要がある場合はOnMUAとMDA間のデータ転送

POP3経由で転送されるデータを監視する必要がない場合はOff

InspectImap

IMAP経由で転送されるデータを監視する必要がある場合はOnMUAとMDA間のデータ転送

IMAP経由で転送されるデータを監視する必要がない場合はOff

AutoconfigureIptables

Yes

AutoconfigureRouting

Yes

LocalDeliveryMark

Auto

ClientPacketsMark

Auto

ServerPacketsMark

Auto

TproxyListenAddress

127.0.0.1:0

Dr.Web Firewall for Linuxの操作に特別なIPアドレスまたはポートを使用する場合は、ここで指定します

OutputDivertEnable

送信接続(現在のホストで開始された接続。MTAによって発信された接続など)を監視する必要がある場合はYes

送信接続を監視する必要がない場合はNo

OutputDivertNfqueueNumber

Auto

OutputDivertConnectTransparently

No

InputDivertEnable

受信接続(リモートホストで開始される接続で、そのサーバー側は現在のホストで動作するMTAなどのアプリケーション)を監視する必要がある場合はYes

受信接続を監視する必要がない場合はNo

InputDivertNfqueueNumber

Auto

InputDivertConnectTransparently

Yes

Dr.Web Firewall for Linux>の設定を表示および変更するには、次の方法を使用します。

コマンドラインベースの管理ツール - Dr.Web Ctl(drweb-ctl cfshowおよびdrweb-ctl cfsetコマンドを使用します)。

Dr.Web for UNIX Mail Serversの管理Webインターフェース(デフォルトでは、Webブラウザからhttps://127.0.0.1:4443/にアクセスすると利用できます)。

次は、コマンドの例です。

# drweb-ctl cfset LinuxFirewall.InputDivertEnable Yes

Dr.Web Firewall for Linuxは次のように設定されます。受信接続を介して転送されたデータはSpIDer Gateによってチェックされ、それらのデータをチェックするために、メールスキャンコンポーネントDr.Web MailDにリダイレクトされます。Inspect<protocol>パラメーターの値がOnに設定されているメールプロトコル(SMTP、POP3、IMAP)が使用された場合にのみ、Dr.Web MailDにリダイレクトされます。

SSL/TLSの安全な接続を使用するメール配信チャネルにDr.Web for UNIX Mail Serversを統合するには、以下の追加アクションを実行する必要があります。

次のコマンドを実行して対応するパラメータの値を指定することで、SSL/TLS経由で送信されるトラフィックのスキャンを有効にします

# drweb-ctl cfset LinuxFirewall.UnwrapSsl Yes

drweb-ctlツールのcfsetコマンドまたは管理Webインターフェースを使用することを推奨します。これらを使用した場合、スキャンルールが自動的に更新されるためです。スキャンルールはこのパラメータに依存します。

次のコマンドを実行して、Dr.Web for UNIX Mail Serversが保護されたSSL/TLSチャネルに統合するために使用する証明書をエクスポートします(証明書をPEM形式で保存するために使用されるファイルの名前を指定する必要があります)。

$ drweb-ctl certificate > <cert_name>.pem

取得した証明書を信頼できる証明書のシステムリストに追加し、可能な場合には、それをメールクライアントおよびサーバー用の信頼できる証明書として書き込みます。詳細は、付録E. SSL証明書を生成するセクションを参照してください。

3)スキャンパラメータを設定する

設定ファイルのDr.Web Firewall for Linuxの設定のセクション([LinuxFirewall]セクション)で次のパラメータを指定する必要があります。

1.メールメッセージスキャンの長さとリソースの強度を制限する、メールメッセージとそこで検出された添付ファイルのスキャンパラメータ(ScanTimeoutHeuristicAnalysisPackerMaxLevelArchiveMaxLevelMailMaxLevelContainerMaxLevelMaxCompressionRatio)。きめ細かい設定が不要な場合は、パラメータデータの値をデフォルトの状態にしておくことを推奨します。

2.対応するパラメータBlock*を指定し、メールメッセージ内のリンクおよびファイルのスキャンパラメータを設定します。

3.受信したメールメッセージのスキャンが不可能であること(設定限度を超える(前の項目を参照)、メールメッセージ構造の違反、スキャンエンジンのエラー、パスワードで保護されている添付アーカイブの可用性など)に対するDr.Web MailDの応答を定義するBlockUnchecked値のパラメータを指定します。このパラメータがYesに設定されている場合、メールメッセージやその添付ファイルをスキャンできないときには、MTAはこのメールメッセージを拒否する設定を受け取ります。

4.メールメッセージのフィルタリングルールをよりきめ細かく(さまざまな条件に基づいて)設定するには、Lua procedureまたはRuleSetルールを編集します。

すべての設定を調整したら、Dr.Web for UNIX Mail Serversを再起動します(コマンドdrweb-ctl reloadを使用します)。設定デーモンDr.Web ConfigDを再起動することもできます(service drweb-configd restartコマンドを使用します)。