昨年の9月から計画していた会社のメールサーバのリプレース。
今回のリプレースは、情報漏えい対策として「社内ネットワーク以外からはPOP接続させない」という運用に変える事が最大の意図になっている。
あと、「外部ドメインへの送信メールを数年間保存する」って事も合わせて行う。
送信メールの保存のソフトウェアの初期設定以外、環境構築やドキュメント作成を全て1人でやってきたので、スキル的に得た物は大きかったと思うが、変わりに睡眠時間と偏頭痛と肩こりに悩まされた半年だった・・・。
とりあえず、今回のリプレースで行った事をシステム担当の観点からまとめておきます。
(構築の詳細はそのうちに書いていきます。)
1.MTAの変更
社内のSMTP/POP3のMTAを「qmail」から「postfix+devecot」に変更
DMZに「qmail」をリレー用のSMTPとして設置
2.メーリングリストの変更
qmailの「alias」から「Mailman」に変更。
基本的な運用は変わらないけど、MLを介したメールの件名に連番付加を行っていく。
3.メール利用ルールの強化
今までは配送容量の制限しか行っていなかったが、「自動転送禁止」、「分割送信禁止」を新たに設定した。
ただし、「自動転送禁止」、「分割送信禁止」は社内からの送信のみを対象として、社外から送られてくるメールに対する制限は行わない。
4.ウィルスチェック機能の導入
SMTPリレーサーバにSpamassassinとClamAVを導入して、自前のメールゲートウェイを構築。
通過する全てのメールのチェックを行い、ウィルスを検知した場合は「受信先へ通知する」ようにした。
5.VPNの導入
会社貸与のノートPCを使用している場合、VPN経由でメールサーバに接続できるようにした。
VPNサーバはOpenVPNで構築し、クライアントに渡す秘密鍵などの利用上限を90日までとする。
6.WEBメールの契約
VPNを使えない従業員用に、WEBメールの契約も行った。
VPNと同様に利用の上限を90日までとして、恒久的に利用する場合、90日ごとに利用申請を提出してもらうようにする。
ウィルスチェック機能の導入は、「社内からの送信メール」も精査の対象としているため、どのくらいのシステム負荷が掛かるか分からないので、状況を見つつ設定をいじるつもり。
VPNの利用もWEBメールの利用も、そもそも当社では開発も運用もしていない(業務委託)なので、休日などに急いで会社のメールをチェックしなくてはならない事は存在しないはず。
もし緊急事態が起きても、ちんたらメールのやり取りを行える暇があるなら、関係者に電話するし。
本当に社外からメールの利用が必要なのか?と疑問が残るが、兎にも角にも明日のリプレース作業をチャッチと終わらせて、ゆっくり寝たいです。