■構成図
受信メールの配送経路
受信メールの配送経路
受信メールの経路
インターネット(他メールサーバ)
↓
DMZセグメント内メールサーバ(192.168.254.1)
↓
Serverセグメント内メールサーバ(192.168.1.1)
上記のような構成だと、DMZセグメントのMailサーバに不正アクセスを受けても
アカウント情報・メールデータまでは漏洩しません。
送信メールの配送経路
送信メールの配送経路
送信メールの経路
Serverセグメント内メールサーバ(192.168.1.1)
↓
DMZセグメント内メールサーバ(192.168.254.1)
↓
インターネット(他メールサーバ)
メールの送信時は、受信時とは逆の経路となります。
上記の図面はVisioで作成しましたが、そのままだと勿体ないんで公開 https://www.isoppe.jp/upload/log/003.zip
■設定
Mail Server(192.168.254.1)
| /etc/postfix/main.cf myhostname = ms.hoge.ne.jp mydomain = hoge.ne.jp myorigin = $mydomain inet_interfaces = all mydestination = localhost.$mydomain, localhost relay_domain = hoge.ne.jp #リレーを許可するドメインまたはネットワークを指定 relayhost = [192.168.1.1] #リレー先のサーバのIPアドレスを指定 |
“mydestination”に”hoge.ne.jp”を入力すると自分に来たメールとしてしまい、アカウント情報がないわけだから
「そんなユーザはいません(User unknown)」と相手サーバに返事してしまいます。
Mail Server(192.168.1.1)
| /etc/postfix/main.cf myhostname = mail.hoge.ne.jp mydomain = hoge.ne.jp myorigin = $mydomain inet_interfaces = all mydestination = localhost.$mydomain, localhost, hoge.ne.jp #受信するドメインを指定 relayhost = [192.168.254.1] #メールを送信する際にリレーするサーバIPアドレスを指定 |
“relayhost”を入力しない場合、サーバ内部で処理できないメールはインターネット(相手メールサーバ)に直接送信します。
DNS、MTA等の説明するには面倒くさい箇所を含むとなると、以下のページが参考になります。
メール配信フローを探る(DNSとメールサーバの関係)
http://www.stackasterisk.jp/tech/systemManagement/mailDelivery01_01.jsp
とはいえ、上記のようなメールのリレー配信構成は大企業(社員1000人以上?らしい)くらいしか見たことがありません。
しかし、某大企業様はリレー元とリレー先を同じDMZセグメント(両サーバともrootパスワードが会社名そのまま)に置いてます。意味がないような…。
担当に言っても「出しゃばってくるな」ですし。ISMSとか言ってる場合じゃないでしょ。