本機能はあなたの XMail のローカルアカウントが不正利用された場合または過剰利用された場合など、緊急事態への対抗策の一つを提供するものですが、利用にあたっては慎重な検討が必要です。 この機能をオンにすることで不正利用等に効果的に対抗できる可能性がある一方、返ってあなたの XMail サービスに悪影響を与える可能性もあります。以下の説明をよく読むことをすすめます。

本機能は 1つの SMTP セッションの冒頭で SMTP クライアントが XMail に提示した認証用ユーザIDについて単位時間あたりのその使用回数等をチェックするものです。Mail From アドレスや To/Bcc/Cc などのあて先アドレスをチェックする目的のものではありません。

XMail のデフォルトではローカルユーザは SMTP 接続時に認証が必要ですが、そのさいにクライアントから XMail に提示する識別名がユーザIDです。これは "foo@bar.com"(アカウントアドレスと同じ) または "foo:bar.com"("@"を":"に変更) となる文字列で、ドメイン名部分は省略される場合もあります。XMailCFG の SMTP ログで "ユーザID" 項目の値として表示される文字列と同じです。この文字列は、フィルタシステムに渡されるときは "$(USERAUTH)" になります。

"不正利用" または "過剰利用" とは、たとえば以下のような事態を指します。

1. ローカルアカウントが第三者に盗まれ、またはその情報が外部に漏れ、該当アカウントが大量スパム配信等に悪用された場合。
   アカウントが第三者に盗まれるシナリオ等については [SMTP接続数制限] ページなど他のページを参照してください。この場合、XMail 管理者は数日以内にその事実に気付く可能性がありますが、その時にはすでに被害が進行していることでしょう。本機能で適切な監視を自動化しておけば被害が最小限で済むかもしれません。
2. 正規ローカルユーザが大量スパム配信等を企てた場合。近年のスパムツールの中にはSMTP認証接続に対応しているものがあります。

"悪影響" とは、たとえば以下のような事態を指します。

1. アクセスが集中すればフィルタが多数起動することになり、システムへの負荷が高まります。その結果、配信の遅延などメッセージングサービスの品質が低下する場合があります。
2. 不正かどうかの判断が画一的となるため、設定内容によっては正規利用者に影響が及ぶ場合があります。

本機能や [緊急事態の観察・発見] メニューを適切に利用すれば、たとえば緊急事態時に 乗っ取られたアカウントや不正利用アカウントを検挙・収監 できるかもしれません。ローカルアカウントが乗っ取られてあなたの XMail がスパム送信サーバになっている最中に本機能を短時間オンにするだけで疑惑のアカウントが判明するはずです。該当アカウントの自動停止も可能です。

本機能は、XMail のフィルタ機能を利用し、以下のような手順で SMTP 着信におけるローカルアカウントの利用状況を調べるものです。

1. XMail への接続のうち SMTP 認証が成功した接続(通常は正規ローカルユーザからの接続)があると、XMailCFG 付属の "SMTP RCPT 後処理" フィルタから本ページで指定する既定の処理が実行されます。
2. 既定の処理は、認証時に使用されたユーザIDについて過去の所定時間内の利用回数等を MailRoot/domains/(DOMAIN)/(USER)/XMailCFG/SMTPAuth.log から調べます。
3. 利用回数が上限値を超えていた場合、既定の処理は本ページで指定する内容に従って必要な処理を行います。たとえば該当アカウントを停止し、管理者にその旨を通知します。

^(*1) 接続を監視する単位時間を指定します。ここで指定する時間より早く制限数に達した場合は直ちに所定の処理が実行されます。ここであまり短い時間を選択すると、正規ユーザの一時的な集中送信を制限してしまう可能性があります。

^(*2) アカウントの不正利用等について注意を払い始める接続数と、事態を通知するあて先アドレスを1個指定します。数値を指定しない場合は通知を行いません。なお、不正アクセスが集中する場合、到着メッセージとほぼ同数の通知メッセージが発生する事態も想定され、それはシステム負荷が最大になることを意味しますが、アカウント停止機能を有効にしておけば緊急事態をいち早く脱することができます。

^(*3) 制限数を超える接続に使用されたアカウントを停止する場合は、その制限数を指定します。有効な数値を指定しない場合は停止を行いません。停止する場合はその事実を^(*2)の通知先とポストマスターに通知します。適切な数値については、正規ユーザが手作業で送信できる最大回数はどれほどかということを参考にできます。あなたは1分間に1回のメッセージ送信を60回繰り返すことはできますか? それは難しいはずですが、スパマーが使用するツールはそれとは比較にならない高速処理が可能です。

なお、"アカウントの停止" とはその削除ではなく、該当アカウントによるPOP3接続とSMTP接続を拒否するものです。停止されたアカウントに POP3/SMTP 接続があると XMail は既定の応答コードを返し、接続を拒否します。管理者は XMailCFG ページからアカウントを再開できます。

^(*4) このオプションは特定の時間帯で処理を停止するためのオプションです。たとえば正規ユーザのアクセスが集中する時間帯には接続数チェックによるサービス品質低下の可能性を防ぎたい場合などに有効なローカル時を指定してください。午前零時をまたがる指定も可能です。開始時刻と終了時刻の双方が指定された場合に中断処理が行われます。

^(*5) 認証による最新の2つの接続が異常に短かい間隔である場合をチェックします。アカウントの乗っ取り被害やローカルユーザによる不正利用では自動化ツールによる大量送信が試みられます。それをチェックするためのオプションです。手作業では不可能な送信間隔を指定してください。10秒以下ですか?　5秒以下?　ただし、実際に不正利用を受けた場合はサーバのパフォーマンスの低下により処理の遅延があるので、短いチェック間隔では警告できない場合があり、かといって長くすれば平時の正常接続を警告してしまいます。

^(*6) 認証による最新の2つの接続においてIPアドレスが異なる場合をチェックします。前項より長い秒数を指定できますが、あまり長いとかえって不適切な処理になる可能性があります。正規アカウントの所有者が複数のグローバルIPを使用可能な最短時間のシナリオを検討し、それより短い秒数を指定してください。前項^(*5)と同様、このオプションを有効にする場合、正規サービスの障害にならないか検討が必要です。

^(*7) 除外リストを利用すれば本機能を適用しないローカルアカウントを指定することができます。完全なメールアドレスを指定してください。大文字・小文字は同一視されますが、ワイルドカードや正規表現は使えません。なお、[XMailCFG環境設定] によるポストマスターとリストプロセッサは接続数チェックの対象外になります。

本機能による処理の記録を [アクセスログ]-[フィルタ処理のログ1 (XMailCFG)] で見ることができます。