1998/10/16: a step-by-step guide to get out from MAPS/ORB UK

$Id: index.html,v 1.16 2001/06/18 01:19:16 itojun Exp $

orbs.orgの運用は停止した模様です。 orbz.gst-group.co.ukが あがっています。(2001/6/18)

MAPS/ORB UKとは

SPAMがない時代には、メイルサーバはどこ宛のメイルでも中継していました。 例えば、mail.hoge.co.jpに向かってmail.monya.com宛の mailの転送を依頼しても特に問題とはなっていなかったわけです。

mail.boku.co.jp ---> mail.hoge.co.jp ---> mail.monya.com
	foo@monya.com宛

spammer ---> mail.hoge.co.jp ---> spam宛先1
	100人宛		     ---> spam宛先2
			     ---> spam宛先3
			     ---> spam宛先4

• メイルサーバが自分で受け取る宛先
  例えば、foo@hoge.co.jp宛
• メイルサーバがsecondary MX serverをしている宛先
  例えば、mail.hoge.co.jpがmonya.comの secondary MX serverをしているなら、mail.hoge.co.jpでは foo@monya.com宛のメイルを中継しなければなりません。 そうでなければsecondary MX serverの意味がないです。
• などなど

MAPS RBL/ORB UKの使われ方

spammer ---> mail.hoge.co.jp -x-> SPAM宛先1
	100人宛		     -x-> SPAM宛先2
			     -x-> SPAM宛先3
			     -x-> SPAM宛先4

				mail.hoge.co.jpはMAPS RBL/ORB UKに
				登録されてるから受け取らないもんね!

shain@hoge.co.jp ---> mail.hoge.co.jp -x-> mail.dokkan.co.jp
				mail.hoge.co.jpはMAPS RBL/ORB UKに
				登録されてるから受け取らないもんね!

Mail from mail.hoge.co.jp refused, see http://maps.vix.com/rbl/

じゃあどうすればいいの?

1. そのホストでMTAをあげていないなら、関係ないのでおしまい。 sendmail以外のMTAを使っているなら、他のドキュメントを探して下さい。
2. http://maps.vix.com/tsi/ar-test.htmlで 自分のホストがspam relayに使われる可能性があるかないか確認する。
   もしokならおしまい。 もし駄目なら(PROBLEM!とか言われる)次に進む。
3. sendmailを落す。
4. sendmail.cfを直す。 CFを使う場合のキモ:
   • 最新のCFを使う。
   • 最新のsendmailを使う。
   • sendmail-v8.defまたはsendmail-v7.def あたりをコピって作業をはじめる (わざわざv7を使うのは、どうしても8.8.9とかに戻さないと いけなくなったときのことを考えて、である)。
   • 以下の行を活かす。

     MAIL_RELAY_RESTRICTION=yes
     REJECT_SOURCE_ROUTE_RELAY=yes
     

   • 自分の組織のドメイン名とIPアドレスを /etc/sendmail.localdomainと /etc/sendmail.localipに書き、 以下の行を活かす。

     LOCAL_HOST_IPADDR=/etc/sendmail.localip
     LOCAL_HOST_DOMAIN=/etc/sendmail.localdomain
     

   • そのホストがmailをspoolするなら、 そのドメイン名を/etc/sendmail.aaに列挙し、

     USE_aa_FILECLASS=yes
     aa_FILE_PATH='/etc/sendmail.aa'
     

     の行を活かす。 これを忘れるとものすごくひどい目にあうので注意。 (全てをrejectするmail spoolマシンって役にたたん)。
   • そのホストが他のドメインのsecondary MXサーバになっているなら、 「他のドメイン」の名前を/etc/sendmail.relay.toに 列挙し、

     ALLOW_RELAY_TO=/etc/sendmail.relay.to
     

     の行を活かす。
   • そのホストがmailをspoolしないのなら、 自分の組織のドメイン名を/etc/sendmail.relay.toに 列挙し、

     ALLOW_RELAY_TO=/etc/sendmail.relay.to
     

     の行を活かす。
   • ALLOW_RELAY_FROMの行は活かしてはいけない。 なぜなら、MAIL FROM:を詐称されると弱いので。
   • もしMAPS/ORB UKに登録されているホストからmail受けたくないなら、 以下の行を活かす。 ただし、これを活かす場合、/var/log/maillogを毎日 眺める習慣をつけた方がいいと思う。 rejectって文字列をgrepすると、はじかれたmailが 列挙される。

     USE_MAPS=yes
     USE_ORBS=yes
     

   • あとは自サイトにあわせて設定する。
   これで、多分「自組織内からは、RCPT TOがどこでもrelayする」 「他組織からは、RCPT TOが自組織でないとrelayしない」 ようになるはず。多分。
5. sendmail -bt使ってしばらくローカルに確認する。 お助けperl scriptはここ。 問題が直るまで、sendmail.cfを直し続ける。
6. あたらしいsendmail.cfでsendmailをあげる。
7. http://maps.vix.com/tsi/ar-test.htmlで 自分のホストがspam relayに使われる可能性があるかないか確認する。
   もしokなら次に進む。 もし駄目ならsendmailを落して、sendmail.cfの直しを再度繰り返す。
8. 自分のホストがMAPS/ORB UKに登録されちゃってるか確認する。
   1. MAPS: http://maps.vix.com/cgi-bin/lookup
   2. ORB UK: nslookup使いましょう。やりかた
   3. 両方いっぺんに確認する: http://www.xnet.com/%7Eemarshal/rblcheck/ + このぱっち
   登録されていなければ、おしまい。 登録されてしまっていたら、登録を消してもらうため次に進む。
9. 登録されてしまっていたら、登録を消してもらう。
   • MAPS: http://maps.vix.com/rbl/getoff.html
   • ORB UK: http://www.orbz.gst-group.co.uk/closed1.cgi
10. DNS的に登録が消えるまで待つ。 ip addressがx.y.z.uだったら、
    • MAPS: dig u.z.y.x.rbl.maps.vix.com. any
    • ORB UK: dig u.z.y.x.orbz.gst-group.co.uk. any
    • 両方いっぺんに確認する: http://www.xnet.com/%7Eemarshal/rblcheck/ + このぱっち
    で確認できる。
11. おめでとう。