会社のメールサーバのリプレース作業

昨年の9月から計画していた会社のメールサーバのリプレース。

今回のリプレースは、情報漏えい対策として「社内ネットワーク以外からはPOP接続させない」という運用に変える事が最大の意図になっている。

あと、「外部ドメインへの送信メールを数年間保存する」って事も合わせて行う。

送信メールの保存のソフトウェアの初期設定以外、環境構築やドキュメント作成を全て１人でやってきたので、スキル的に得た物は大きかったと思うが、変わりに睡眠時間と偏頭痛と肩こりに悩まされた半年だった・・・。


とりあえず、今回のリプレースで行った事をシステム担当の観点からまとめておきます。
（構築の詳細はそのうちに書いていきます。）

１.MTAの変更
　 社内のSMTP/POP3のMTAを「qmail」から「postfix+devecot」に変更
　 DMZに「qmail」をリレー用のSMTPとして設置

2.メーリングリストの変更
　 qmailの「alias」から「Mailman」に変更。
　 基本的な運用は変わらないけど、MLを介したメールの件名に連番付加を行っていく。

3.メール利用ルールの強化
　 今までは配送容量の制限しか行っていなかったが、「自動転送禁止」、「分割送信禁止」を新たに設定した。
　 ただし、「自動転送禁止」、「分割送信禁止」は社内からの送信のみを対象として、社外から送られてくるメールに対する制限は行わない。

4.ウィルスチェック機能の導入
　 SMTPリレーサーバにSpamassassinとClamAVを導入して、自前のメールゲートウェイを構築。
　 通過する全てのメールのチェックを行い、ウィルスを検知した場合は「受信先へ通知する」ようにした。

5.VPNの導入
　 会社貸与のノートPCを使用している場合、VPN経由でメールサーバに接続できるようにした。
　 VPNサーバはOpenVPNで構築し、クライアントに渡す秘密鍵などの利用上限を90日までとする。

6.WEBメールの契約
　 VPNを使えない従業員用に、WEBメールの契約も行った。
　 VPNと同様に利用の上限を90日までとして、恒久的に利用する場合、90日ごとに利用申請を提出してもらうようにする。


ウィルスチェック機能の導入は、「社内からの送信メール」も精査の対象としているため、どのくらいのシステム負荷が掛かるか分からないので、状況を見つつ設定をいじるつもり。


VPNの利用もWEBメールの利用も、そもそも当社では開発も運用もしていない（業務委託）なので、休日などに急いで会社のメールをチェックしなくてはならない事は存在しないはず。
もし緊急事態が起きても、ちんたらメールのやり取りを行える暇があるなら、関係者に電話するし。

本当に社外からメールの利用が必要なのか？と疑問が残るが、兎にも角にも明日のリプレース作業をチャッチと終わらせて、ゆっくり寝たいです。