前回の続き。
実際に運用して分かったが、ブラックリストに掲載しているホストから送信されたメールを一律ブロックしてしまうと、不都合があることが分かった。
- 実際に取り引きがあるクライアントが使用しているGoogle Appsのメールサーバがブラックリストに載っていたため、私宛のメールが届かないという問題が起きた。
- 過去記事に追記したが、アップデートされていない*.blackholes.usを使用したため、現在はブラックリストに掲載されていないサーバからのメールをブロックしてしまった。
4日間くらい、必要なメールをブロックしてしまった。それで、結局、設定前の状態に戻した。いらないメールが大量に届いても、うっとおしいだけですむが、本来届くべきメールが届かないと非常に問題が生じるためである。
もともとは、現在のポリシーだとbackscattererなどのRBLに載ってしまうという問題を解決するための取り組みであったが、単純には行かなかった。ホワイトリストを指定していく方法もあるが、届いて欲しいメールや送信元を事前に登録しておくことは実質不可能なので、こちらのサーバに届いたメールのうち、user unknownでリターンメールを戻すべき処理について、メールを送らないことができれば、backscatter対策になると思う。このときに、接続元がブラックリストに載っているケースのみ送らない、ということができたらベストなのだが。
fail2banについては、さくらのVPSでははじめから入っていることを今さら知った…しかしログを見ると、ban/unbanのタイミングで、iptablesの設定に失敗しているようなので、これはこれで修正する。sshだけを対象にしているっぽい。
