PAKU's WiKi

Outbound Port 25 Blocking

Outbound Port 25 Blockingについて考える

で、それはなんぞや

PORT25番とは: メールの送信の際に使われるポート番号です
Outbound Blockingとは: 外に向かう方向のものを阻止するということです
内と外とは: その瞬間に接続に使用しているインターネット接続プロバイダ(ISP)が管轄している回線やそこに設置されているサーバーなどは内側; 管轄外のインターネットの海の側が外側になります。

なぜ導入するの？

spamやウィルスによる大量メール送信は現在、自前で送信サーバーを設置したり、そのような機能を持ったウィルスによって送信されています。ゾンビ化して外部から操られたものもだいたいそんなことになっているのが主流だとおもわれます。
Outbound Port25を止めると、迷惑メール(spamもウィルスも迷惑メールね)を送り出すのが面倒になります。
きっとみんなが幸せになれる…ような気がするから導入するインターネット接続プロバイダが増えています。(自分に直接いいことがあるとしたら、「おまえのところの回線からspam来まくりだぞ、ゴルァ！」と言われなくなることかな?)

何がブロックされますか?

このブロックは、PORT番号25番で自分のプロバイダから外へ向かうデータを阻止するというものです。

私はメールは同じプロバイダ宛だけではなく、外に向かって出すことは多いですが問題はありませんか?: 問題があるようなないような…; メールの送信は、PORT番号25番で配達先のメールサーバーへ接続しに行きます。; 自分と同じ内側にあるISPが設置したSMTPサーバーは例外的にこの制限の対象外となります。; なので、オフィシャルなメールサーバー接続してそれに中継してもらう場合は何の影響も受けません。

影響が少ない人

何か変えなければならないの?: たぶん(一番多く居るであろう)プロバイダからの案内どおりに設定しているだけのユーザーの場合、接続している回線を提供しているメールサーバーを経由する設定だと思われますので、従来となんら変わらないので影響はありません。

でも、案外大勢のひとが影響を受けそうです

外部のメールサーバー経由で送信してますが…: Fromに書かれるメールアドレスで正しく送信したいので、該当する外部のSMTPサーバーへ接続してメールを送信している人も少なくありません。; メールソフトがメールサーバーへ中継させる時も、中継を頼まれたメールを届け先のサーバーや途中の中継サーバーへ接続するときにもPORT25を使います。; モバイルで接続している時は、回線だけ使っていてメールサーバーは普段と同じISPであるケースは少ないのではないでしょうか。
しかし接続回線にOP25Bが導入されていると…: メールソフトが普段使っているSMTPサーバーへの接続もPORT25で接続しようとすることになります。つまり、正常な使用なのに導入済み回線からだとブロックされちゃいます。; もし、接続回線の「内側の公式SMTPサーバー」がFromのドメイン名を柔軟に対応してくれるのであれば、そのサーバーを経由させて送信すればよいともいえます。; しかし、なりすまし防止のために、設定されているアドレスのドメイン名を厳密にチェックするような仕様のプロバイダも多数ありますので、そのようなISPではこの手段も使えません。; モバイルな回線だと接続回線だけでメールのサービスがなかったりする場合もあります。
それでは困ります: はい実に困ります。

Submission port 587

OP25Bの説明を読むと、これを使えば送信できるそうですが?: OP25Bが導入されている回線から外部のSMTPサーバーを経由させようとするとブロックされてしまうためにその回避策として、サブミッションポート587 という方式を導入して行く動きがあります。; しかし、これはあくまでも公認の出口(実際には「ふさがれていないPORT番号のひとつ」)というだけの話。だから、一番肝心なことは利用している外部のSMTPサーバーがサブミッションポート587に対応しているかどうかの部分です。; また、使用しているメールソフトが、PORT587に設定できることと、そのSMTPサーバーが要求する送信時認証(SMTP AUTHという方式がスタンダードのようです)に対応していることも必要になります。
対応していなかったら: ひとまずどうしようもありません。
PORT587なら外に出放題ですけど問題ないのですか?: 他のポート番号でも(接続プロバイダが規制していない限り)出放題です。; しかし、たとえPORT587で出られたとしてもPORT587に応答するサーバーが接続先になければどうにもなりません。それに、サブミッションポート587に対応しているSMTPサーバーに接続できても、SMTP AUTHでの認証を突破できなければ、メールの中継をしてくれませんので不正な中継は阻止できます。

重大な影響を受ける人

自宅サーバーを立てていますが: そんな人がたぶん一番影響を受けることになると思われます; 独自サーバーから送り出されるメールを全てオフィシャルな内部のSMTPサーバーを経由する方式に書き換えることで回避できる可能性があります。; ただし、これもFromのドメインなどを厳密に判定されたりしていると、弾かれてしまうおそれがあります。; PORT587とSMTP AUTHに対応させて柔軟な設定の外部のSMTPサーバーを経由させる方法でもいいかもしれません。
固定IPをもらって自宅サーバーを立てていますが: 多くのISPでは固定IPでのサービスに対してはOP25Bを適用していない模様です。というのも、固定IPですから、発信元は丸わかりになってしまいますので、ISPは警告や契約解除などでabuseに対抗できるからです。

結局OP25Bって

あくまでも自社管理の回線から迷惑メールが簡単に大量送信されないよういする

というための現状では効果があると思われる方策ですから、将来は他の手法が必要になってくるのではないでしょうか。

少なくともメールの受信には認証があったけど、送信にはありませんでした。
なんでも中継するので、オープンリレーと呼ばれまったく無関係な外部の人間によって踏み台にされることも少なくありません。
そこで、発信元のIP番号で規制する等の方法でクローズドリレーへ。
さらには外部の動的なIPからの利用に対応するために、一度受信することで認証を行い、そのときのIP番号を一定時間覚えておいてその間だけそのIP番号からの送信なら中継するという、POP BEFOR SMTPという方式がとられました。
でもそんなことをするぐらいなら、認証型のSMTPに切り替えればよかったのにね。(いろいろ理由はあるんだろうけど…)
それでも、直接送り先のメールサーバーへ投げつけられるメールには対応できませんから、OP25Bが登場したということです。

一握りの不誠実な人間と、それにまんまと引っかかって利益を提供してしまう人間。そして無関係なのに影響を受ける羽目になる人間。性善説だけではまわせないほどインターネットは肥大化しているといえるわけですね。

メールソフト制作者(社)は積極的に情報を！

自己のWEBサポートFAQなどに、目立つように掲載するのは当然だと思います。まだまだそれらが不十分なところが少なくないような…。
また、著名なシェアウェアなどのメールソフトは具体的に設定方法がISPのサポート情報に掲載されています。市販品をリリースしている各社は、積極的にそこに自社製品の設定方法を目立つように掲載してもらうようにしたほうがいいと思います。