- 締切済み
メール双信での配置、仕組みについて
ネットワークのことを勉強しております。 その中でメールについてまだまだ無知で、色々調べているのですが わからないことが多く、こちらにご質問できればと思います。 ・ISP?からメールドメインを取得すると、自動的に世界中の人が参照できるDNSサーバーにMXレコードの情報が登録されるのでしょうか。 また、社内環境に外部用DNSサーバー(セカンダリ?)をおく場合もあるようですが、その場合のメリットというのはどのようなものでしょうか。(メールサーバー以外の用途もあるのかもしれませんが・・・。) ・セキュリティ向上のために、MTAサーバーが一度メールを受信することが多いかと思いますが、 FireWall等でNAPTでメールを受信、それを社内のメールで受ける場合、セキュリティとして 前者と違いは生じますでしょうか。 ・リバースプロキシサーバーをDMZにおく場合ですが、リバースプロキシサーバーは基本的に SSLーVPN(httpsからのアクセスを受ける)と同じと認識してよろしいでしょうか。またMTAとの機能を持たすこともできるのでしょうか。 ご存知の方いらっしゃいましたら、アドバイスいただけますでしょうか。 宜しくお願い致します。
- gkr8bkdsf
- お礼率20% (3/15)
- ネットワーク
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- Wr5
- ベストアンサー率53% (2177/4070)
詳しいワケではありませんが… >・ISP?からメールドメインを取得すると、自動的に世界中の人が参照できるDNSサーバーにMXレコードの情報が登録されるのでしょうか。 メールドメインというのが何のことを言っているのか不明ですが…MXレコードに登録されるかは契約次第なんじゃないでしょうか。 「ISPで固定IPアドレスの契約をして、ドメイン申請も行った」ってことですかね? >また、社内環境に外部用DNSサーバー(セカンダリ?)をおく場合もあるようですが、その場合のメリットというのはどのようなものでしょうか。(メールサーバー以外の用途もあるのかもしれませんが・・・。) 内向きなのか、外向きなのかによるような…。 内向きのセカンダリなら、プライマリに障害が起きたときの対策用とか、 外部向けに公開している名前で、内向き用のIPアドレスを返却する為…とかでしょうか。 # 外部で正引きするとグローバルIPアドレスが、内部で正引きするとローカルIPアドレス(内部からDMZへアクセスするためのルータとか)を返したい…とかでしょうか。 外向きなら、単純に障害対策用でしょうかね。 # 固定IPアドレスを複数の契約とか、権限委譲とかされていないと無意味かも知れませんが。 > FireWall等でNAPTでメールを受信、それを社内のメールで受ける場合、セキュリティとして > 前者と違いは生じますでしょうか。 対象となる箇所が違うような気もしますけど…。 MTAで受信の場合「メール添付型の」ウィルスや不正プログラムをチェックすることができます。 スパムメールなどもフィルタすることが可能でしょう。 社内のクライアントから送信を社内のMTAで受けて外部へ転送。という意味でしたら、送信したときの履歴とかを残せます。 # 機密情報を外部にメールした…とかも。 FireWallなら使用した製品の仕様次第で履歴が残せるかどうか、NAPTではそそもそも無理です。 # それ以前に外部のメールサーバにSMTP接続できるかどうかって問題もありますけどね。 >・リバースプロキシサーバーをDMZにおく場合ですが、リバースプロキシサーバーは基本的に >SSLーVPN(httpsからのアクセスを受ける)と同じと認識してよろしいでしょうか。またMTAとの機能を持たすこともできるのでしょうか。 DMZ使ったこと無いのでなんとも。
- notnot
- ベストアンサー率47% (4846/10257)
>ISP?からメールドメインを取得すると、自動的に世界中の人が参照できるDNSサーバーにMXレコードの情報が登録されるのでしょうか。 自動ではありません。手動です。 >また、社内環境に外部用DNSサーバー(セカンダリ?)をおく場合もあるようですが、その場合のメリットというのはどのようなものでしょうか。 ドメイン管理会社のDNSサーバーに障害があったときでもサービスを続行できる。 >(メールサーバー以外の用途もあるのかもしれませんが・・・。) メールだけで無くウェブサーバーも設置する会社が多いでしょうね。 >セキュリティ向上のために、MTAサーバーが一度メールを受信することが多いかと思いますが、 MTAの意味を誤解しているのでは?MTA以外ではメールを扱えませんが。 >FireWall等でNAPTでメールを受信、それを社内のメールで受ける場合、セキュリティとして前者と違いは生じますでしょうか。 意味不明の文章です。NAPTの意味を誤解しているのでは? >・リバースプロキシサーバーをDMZにおく場合ですが、リバースプロキシサーバーは基本的に SSLーVPN(httpsからのアクセスを受ける)と同じと認識してよろしいでしょうか。またMTAとの機能を持たすこともできるのでしょうか。 前半はウェブの話でメールとは関係ないと思っていいでしょうか? リバースプロキシーとMTAを、同じサーバーで動かしていいかという意味なら、かまいません。
補足
ご回答ありがとうございました。 追加でご確認をさせていただけますでしょうか。 セカンダリのDNSには、一般の企業様は名前解決の問い合わせができるのでしょうか。 (ルートDNAサーバーからたどれるようになっているのでしょうか) ・FireWallについて 説明不足ですみません。DMZにメールサーバーをおかず、 FWがグローバルIPをもちFWあてにSMTPプロトコルがきたら、NAPTで社内LANのメールサーバーに メールを流すという流れです。 その場合、DMZにMTAを置き、社内メールサーバーがメールを受けるのとどの程度違いがあるのでしょうか。 もし追加でアドバイスございましたら お願い致します。
関連するQ&A
- DMZ上のプロキシサーバの名前解決先
ひとつ知恵を貸してください。現在ネットワーク構築構想として、社内からインターネットへのHTTPアクセスは、DMZ上のプロキシサーバを仲介して行おうと考えています。またDNSサーバはキャッシュサーバを社内ネットワークに、コンテンツサーバをDMZに置こうと考えています。セキュリティ的に「キャシュサーバはDMZに置かない」という考えです。 ここで疑問なのですが、DMZ上のプロキシサーバがインターネットにアクセスする場合、当然名前解決が必要ですが、「この名前解決をどこに投げるか」ということなのです。DMZ上にDNSキャッシュサーバを置かないということは、社内ネットワーク上のキャッシュサーバに名前解決を投げるしかないと思うのですが、それがこの環境での最適解なのでしょうか。どうも「DMZ⇒社内ネットワーク」に穴をあけるというのが、気持ち悪い気がするのですが。。。いろいろとネットでプロキシサーバの名前解決について事例を漁ってみたのですが、明解な結果が得られなくて困っています。 それとも「DMZにはDNSキャッシュサーバを置かない」というポリシーと、「HTTPアクセスはDMZのProxyを通して行う」というポリシーは相容れないのでしょうか? もし事例などをご存知の方がいましたら、ぜひ考えを聞かせていただきたく、質問させていただきました。よろしくおねがいいたします。
- 締切済み
- ネットワーク
- 外部DNSサーバについて
現在社内では、DMZに置いている外部DNSサーバがプライマリで、 プロバイダにある外部DNSサーバがセカンダリで運用しております。 そろそろリプレースの時期なのですが、最近の流れとしまして外部DNS サーバは以下のうちどちらが良いでしょうか? (1)プライマリ、セカンダリともにプロバイダの外部DNSサーバにする (2)プライマリを自社、セカンダリをプロバイダの外部DNSサーバにする また、自社でDMZに外部DNSを設置する場合は通常BINDになります でしょうか? DMZにあるのがWindowsなので、WindowsのDNSサーバでもよいかどうか 迷っております。
- ベストアンサー
- その他([技術者向] コンピューター)
- Internet(サイト)の接続速度が遅い
初心者です。 お願いします。 現在、インターネットVPNにてネットワークを形成しています。ファイアウォールで内部セグメント、DMZに分かれている内で、DMZにwebサーバ、外部メール(DNSサーバ)、VPNルータ経由で内部に社内メールサーバ(プロキシサーバ)があります。 外部からインターネットアクセスするとどうもアクセス速度が遅いです。何か解決策がございますか? ご回答宜しくお願いします。 環境: プロキシサーバ:Redhat3.0 squid.conf編集済み 設定: squid.conf:http=8080 acl xx.xx.1.0 http_accses 上記を入力 INTERNETオプション: プロキシアドレス設定
- ベストアンサー
- その他([技術者向] コンピューター)
- メールリレーサーバの設置場所について
一般的に企業などでは、インターネットからのメール受信時はDMZ上にメールリレーサーバを置き、その後社内へリレーさせることが多いと思いますが、社内からインターネットへのメールを送信する場合、DMZ上のメールサーバを経由させるセキュリティ面からみたメリットはあるでしょうか?
- 締切済み
- ネットワーク
- リバースプロキシ使用時のSSL証明書について
クライアント-(SSL)-リバースプロキシ-(SSL)-Webサーバ構成の場合、WebサーバにインストールするSSL証明書は自己署名で構わないのでしょうか? リバースプロキシ-(SSL)-Webサーバ間ではSSLクライアントはリバースプロキシですから、リバースプロキシというものが一般的に証明書の正当性チェックをしないものであれば問題ないと思うのですが、やはりリバースプロキシの仕様に依存するのでしょうか?
- 締切済み
- ネットワーク
- サーバの配置とセキュリティの問題について
インターネットからアクセスが来る場合のWebサーバの配置についてセキュリティ面も考慮して議論しております。意見は2通りあって・・・ 1.DMZにWebサーバを置いてFWやLB・ウイルスチェッカー等で通常の 構成で行った方が良い。 2.DMZではなく、今はLBにリバースプロキシの機能が付いたものがあるんで FWの内側(セキュア)に入れて、FWの設定、負荷を減らせる方が良い。 各々、メリット、デメリットはあると思うのですが、これが決まらないと全て先に進まず困っております。こんなのこうしたら安全で最高じゃんという意見がありましたら是非ヒントを下さい。 どうやら、決め手はリバースプロキシのようです。 これがどの位安全なのか実績が無いため語れません。 これってどうすればどの位安全に機能するのか、教えてください。 私は2番目の方が良いと思っております。 宜しくお願い致します。
- 締切済み
- ネットワーク
- プロキシサーバのDNS名前解決タイムアウトエラー
CentOSでプロキシサーバをsquid及びDNSサーバをBIND9で運用において、プロキシのeht0の設定がDNS1のみ(セカンダリなし)で、ネットサーフィンしているときにたまにDNSの名前解決がタイムアウト(セカンダリがあればセカンダリに問い合わせる)になって、止まってしまうのですが、プロキシの挙動はプライマリしかDNSがない場合には、タイムアウト時に再度問い合わせもしくは、端末にエラーを返すことしないのでしょうか? もしくはエラーを返す場合のsquidの設定は何を指定すればよいのでしょうか。
- ベストアンサー
- ネットワーク
- メールサーバPostfixの設定について
教えてください。 Postfix初心者です。 2点質問があります。 1点目ですが、 PostfixとDovecotを使って、バーチャルドメインの設定するのですが、 以下の3つの違いが分かりません。 どのような使い分けをするものなのでしょうか? 教えていただけないでしょうか? ・共有ドメイン ・バーチャルエイリアス ・バーチャルメールボックス 2点目ですが、 DMZ内にMTAサーバを構築し、ローカルLAN上にあるMTA+POPサーバを構築します。 外→内のメールですが、DMZ内のMTAサーバで受け取って、ローカルのMTAに転送する。 内→外のメールについては、ローカルのMTAから直接外へとする場合、 my.cnfのコンフィグファイルに必要な記述はどこになりますでしょうか? relayhostとmydestinationの記述のところでしょうか? どのように書けば良いでしょうか? すみません。よろしくお願いします。
- ベストアンサー
- Linux系OS
- プロキシ経由でインターネットアクセスする場合のDNSリゾルバは?
情報処理試験の問題でいまいち理解できないところがあったので教えてください。 前提 1.ファイアウォールで内部セグメント、DMZ、外部セグメントに分かれている。 2.DMZにプロキシサーバとDNSサーバがある。 3.インターネットアクセスは全てプロキシサーバ経由するよう設定された内部セグメントのPCからhttp://www.example.comへWEBアクセスをしようとした。 このとき、FQDNに対する名前解決をするリゾルバはどの装置か。 という問題で、回答はプロキシサーバとなっています。 ここが納得できないところで、私はリゾルバはDMZのDNSサーバなのではと思っています。 この場合の処理は以下のようになっていると思います。 A.プロキシサーバがwww.example.comの名前解決をDNSサーバに依頼する。 B.DNSサーバはフルサービスリゾルバとして動作しwww.example.comのIPアドレスをプロキシサーバに返す。 C.プロキシサーバはそのIPアドレスのホストにアクセスする。 プロキシサーバはスタブリゾルバである(?)から、という意味で回答がプロキシサーバと考えるのが妥当なのでしょうか。 DNSのリゾルバに関して完全に理解できていないかもしれないので間違ったことを書いているかもしれませんがよろしくお願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
- プロキシサーバとDNSサーバについて
初歩的な質問ですいません。 社内LANにDNSサーバとプロキシサーバがある場合について教えてください。社内端末からインターネットにいく場合、端末はプロキシサーバとDNSサーバのどちらに先にアクセスするのでしょうか。 プロキシサーバにアクセス後、DNサーバに解決に行くのでしょうか。それとも、DNSを利用してプロキシの名前解決をしてからプロキシサーバにアクセスするものなのでしょうか。
- ベストアンサー
- ハードウェア・サーバー
お礼
ご回答ありがとうございました。 >ISPで固定IPアドレスの契約をして、ドメイン申請も行った →そちらを想定しております。 色々と内容が理解できました。 非常に勉強になりました。ありがとうございました。