POP over SSL のウイルススキャン

【07.7.2追記】うわっち!私のこのページの設定のみだと、「証明書の検証」というとても大切な設定が抜けております。下記サイトさんの説明が非常にわかりやすいのでおすすめ。(気づくの遅すぎですみません...滝汗)

ウイルス対策ソフトのメール・スキャンは、POP(SMTP) over TLS/SSL のメールを検査できませんよね。SSLの仕組み(アプリケーション層のデータは暗号化されているので見れない)を考えれば当たり前の様な気もしますが。

※AVG Anti-Virus では手動設定すれば可能ですけど。AVG E-mail Scanner の TLS/SSL 設定

stunnelなどのメールプロキシ(でいいのかな?ちょっと違うかも)タイプのツールを使い、メールクライアントでは通常(非SSL)のPOP3形式でアクセスさせるように設定すればメールスキャンが可能になります。

面倒クサイかも?ですけどね。。

この stunnel なんですが、いつの間にかインストーラ版が配布されてましたので、再設定してみました。

※Norton AntiVIrus 2006、ウイルスバスター2006、マカフィー・ウイルススキャン2006、NOD32アンチウイルスで検出できることを確認しました。

※あっと、Windows 9x では確認してません。サービスの登録以外は同じだと思いますけど・・・あしからず。

ダウンロード

ダウンロードページGet the Windows Binariesから最新の[.exe]ファイルをダウンロード(※4/9時点では stunnel-4.15-installer.exe )

インストール

インストーラを実行します。デフォルトではC:\Program Files\stunnelにインストールされます。(変更可能です)

※実際にはスタートメニューへの登録とファイルのコピーが行われるだけです。【追記】アンインストール情報の登録もでした。

このままでは自動起動しないので XP/2000の方はサービスに登録しておくと便利かも。スターとメニュープログラムstunnelService install。(※9xの場合はスタートアップフォルダにショートカット置くとか)

コマンドラインオプション

スタートメニューにできるショートカットと同じです。

  • サービスの登録 - stunnel.exe -install
  • サービスの開始 - stunnel.exe -start
  • サービスの停止 - stunnel.exe -stop
  • サービスの登録解除 - stunnel.exe -uninstall

stunnel.confを編集

インストールフォルダを開き、念の為 stunnel.confをコピーしてバックアップしておきます。(または、stunnel_default.conf とかにリネームして置いとくとか)

stunnel.conf をテキストエディタで開きます。※または、スタートメニューの「Edit stunnel.conf」でも。

ログの設定

-----【変更前】-----

; Some debugging stuff useful for troubleshooting
;debug = 7
;output = stunnel.log

下の2行のセミコロン【;】を外します。[debug]はログレベルの設定、7は最大です。[output]はログファイルの作成場所、デフォルトではインストールフォルダとなります。

-----【変更後】-----

; Some debugging stuff useful for troubleshooting
debug = 7
output = stunnel.log
クライアントモードに設定

-----【変更前】-----

; Use it for client mode
;client = yes

デフォルトでは「サーバーモード」なので下の行のセミコロン【;】を外して「クライアントモード」で動作させます。

-----【変更後】-----

; Use it for client mode
client = yes
待ち受けポートとアクセスするメールサーバーの設定

-----【変更前】-----

[pop3s]
accept  = 995
connect = 110

[imaps]
accept  = 993
connect = 143

[ssmtp]
accept  = 465
connect = 25

[accept]が(メール・クライアントから)待ち受けるポートの設定。[connect]が接続先のサーバーの設定です。

※私は IMAP over SSL は使ってないのでセミコロン【;】を付けてコメントアウト(?)しときました。

ウイルス対策ソフトのメールスキャナーでメールを検査させるには、[accept]のポート番号はそれぞれ【110】【25】にしておく必要があります。

※マカフィーでは別番号でもOKでしたけど。

-----【変更後】-----

[pop3s]
accept  = localhost:110
connect = pop.gmail.com:995

;[imaps]
;accept  = 993
;connect = 143

[ssmtp]
accept  = localhost:25
connect = smtp.gmail.com:465

メールクライアントの設定

メールクライアントからは stunnel に対して通常(非SSL)の POP3/SMTP による接続となるように設定変更する必要があります。。

メールサーバー名

受信/送信ともに【127.0.0.1】とします。

Outlook Express の設定画面1

メールサーバーのポート番号

受信【110】、送信【25】とします。(※非SSLのPOP3/SMTPのデフォルトと同じ)

SSL接続のオプション等をオフにします。

Outlook Express の設定画面2

備考いろいろ

複数のメール・サーバー指定はできないみたい?

※stunnel 側で複数のアカウントでのサーバ設定は可能です。しかし、待ち受けするポート番号はそれぞれ別にする必要があるようです。ウイルス対策ソフトのメールスキャンは標準では 25/tcp、110/tcp のみしか監視しません(※ウイルスバスター2007は587/tcpも監視するようです)。つまり、それ以外のポートを指定する場合はウイルス対策ソフトのメールスキャン機能で監視するポート番号の変更、あるいは追加が必要になるということです。avast! では追加が可能です。F-Secureでは変更が可能でしたが指定は1つのみのようです。

Gmailはサーバー側でウイルススキャンしてくれるのでローカルでは不要かもしれませんねー。そういう私もぷららのメールだけでGmailではこのstunnelを使ってません。まぁ、プロバイダのメールで POP over SSL を使ってる場合は考えてみてもいいかも。

※ちなみにぷららの場合(※オプションサービスなので申し込みが必要です)は、サーバー名は送受信とも[secure.plala.or.jp]となります。

あぁ、EdMaxフリー版とかSSL非対応なメールクライアント使用の場合とかこれ使えば使用可能になりますよねぇ。

【余談ですが】nPOP がSSLに対応してくれたみたいですね。知らんかったよ〜(nPOP - 設定例