※ 2019 年 10 月 23 日現在の情報をもとに作成しています。
1.はじめに
Cisco Umbrella では、MTA として使用しているメール サーバー上で Umbrella のフィルタリング機能を使用することは非推奨としています。本記事でその理由について説明します。
2.MTA とは
MTA (Mail Transfer Agent または Message Transfer Agent) とは、ユーザーから送られてきたメールを適切な宛先へ転送するエージェントのことで、MTA 機能を持つメール サーバーのことを、使用するプロトコルから SMTP サーバーと呼ぶことがあります。
なお、最終的にメールを受け取る POP/IMAP サーバーは本記事の対象とはなりません。
3.非推奨の理由
MTA はメールを転送する際、メールの転送先を調べるために、メール アドレス (厳密には RCPT TO) に含まれるドメインの MX レコードを調べる必要があります。そのため、MTA と DNS サーバーは切っても切れない関係にあります。
もし、MTA の DNS に Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) を指定した場合、MTA で生成される DNS リクエストは全て Umbrella の DNS サーバーに送られます。
実際のところ、Umbrella の DNS サーバーへの MX レコードの問い合わせについては、こちらの記事にも記載されているとおり、ほとんどの場合においてフィルタリングの対象とはなりません。
ただし、MX レコードの問い合わせの応答として「ドメイン」が返ってくるため、その名前解決のために A レコードの問い合わせが続きます (同時となる場合もある)。
そして、A レコードの問い合わせについては、ポリシーの設定にもよりますが、Umbrella によってブロックされる場合があります。
例えば、組織内の Umbrella の管理者が、あるソーシャル メディア サービス (ここでは Example とする) を使用できないようにするために、コンテンツ カテゴリの設定で Social Media のカテゴリをブロックの対象としたとします。
この場合、Social Media のカテゴリが許可されていないため、user@example.com へのメール送信もブロックされてしまう可能性があります。
また、セキュリティ カテゴリのフィルタリングにおいても、一時的に Malware としてカテゴライズされているドメインに対して、メールを送る必要がある可能性が考えられます。
それ以外の理由としては、MTA のスパム対策として DNSBL を使用している場合、スパムの検知率に悪い影響を及ぼす可能性があることです。
これは、一部の DNSBL サービスでは、Umbrella の DNS サーバーのような世界中の DNS リクエストを大量に処理する DNS サービスからの問い合わせをブロックする場合があるためです。
4.参考情報
Umbrella and your email server
https://support.umbrella.com/hc/en-us/articles/230563707-Umbrella-and-your-email-server