Postfix(4)

**名無しさん＠お腹いっぱい。** · 05/03/15 10:30:15

Postfixスレッドその4です。

●リンク
　本家
　http://www.postfix.org/

　Postfix のぺーじ (ドキュメントの日本語訳、MLなど)
　http://www.kobitosan.net/postfix/

過去スレ、関連スレなどは>>2-4あたり

**138** · 2005/04/10(日) 05:39:43

>>140
すみません、わからないです…。
-o smtpd_sasl_auth_enableでSMTP Authの制御ができますが、
smtpsはTCP/465なので関係ないですし、smtpはもともとmain.cfで
smtpd_sasl_auth_enable=yesしています。

STARTTLSでTLSに移行してもserviceはsmtpのままなので、smtpでnoに
しておいてsmtpsでyesにしておけばいいというわけでもありませんよね。

**141** · 2005/04/10(日) 07:09:14

>>147
すいません、回答ありがとうございます。
とりあえず、unixアカウントを使用している別サーバでやってみました。
（質問時のサーバはunixアカウントは使用せず、mysqlでの仮想ユーザのみです）

alias_maps = hash:/etc/aliases
ですので、

ファイル内に
\hogehoge: fugafuga@xxxxx.jp

を追加し、newaliases＆postfix reloadしました。
特にどちらもエラーは出ていませんでした。

hogehogeにメールを送ると、

postfix/local[32026]: D334D61AE7: to=<hogehoge@sample.jp>, orig_to=<hogehoge>, relay=local, delay=0, status=sent (forwarded as DC49161AE1)
postfix/smtp[32028]: DC49161AE1: to=<fugafuga@xxxxx.jp>, orig_to=<hogehoge>, relay=mail.xxxxx.jp[*.*.*.*], delay=1, status=sent (250 Message received: 2005040922014857@xxxxx.jp@sample.jp)

と、forward扱いになって転送先へ飛んでいきましたが、
hogehogeにはメールが残っていませんでした。
この場合どこにミスがあるんでしょう？

**名無しさん＠お腹いっぱい。** · 2005/04/10(日) 08:06:06

.forwardなんだから、そりゃ残らない。
aliasに2つのアドレスを書きたまへ。

**名無しさん＠お腹いっぱい。** · 2005/04/10(日) 09:38:46

>>148
もひとつヒント
smtpd_tls_auth_only

**名無しさん＠お腹いっぱい。** · 2005/04/10(日) 13:48:07

>>149
man aliases

**149** · 2005/04/11(月) 04:10:09

>>150
>>152

残しつつ転送できました。
といっても、まさか
hogehoge: hogehoge, fugafuga
の形式で良かったとは・・・。

てっきり、ループして異常な状態になるにちがいない、と思って、
これだけは設定しちゃだめだと思っていました。
mysqlでも設定できました。きちんと残しつつ転送してくれるようになりました。
ありがとうございます。

**名無しさん＠お腹いっぱい。** · 2005/04/12(火) 03:07:14

無料で良いスパムフィルターはどれでしょうか？

fla2404-156.wind.ne.jp/~ss.jpg · 2005/04/12(火) 03:26:09

え　ぇ　け　っ　し　と　る　の　ぉ(*´Д`)ﾊｧﾊｧ

うはっｗｗｗおｋｗｗｗうえっうえっｗｗｗ？？

fla2404-156.wind.ne.jp/~ss.jpg · 2005/04/12(火) 03:32:34

え　ぇ　け　っ　し　と　る　の　ぉ(*´Д`)ﾊｧﾊｧ

うはっｗｗｗおｋｗｗｗうえっうえっｗｗｗ？？

**名無しさん＠お腹いっぱい。** · 2005/04/12(火) 18:37:28

>>154
SpamAssassin でいいんじゃない？
ついでに amavisd-new と ClamAV を使ってアンチウィルスもするがよろし

**名無しさん＠お腹いっぱい。** · 2005/04/13(水) 21:11:12

TLSって現行2.2系でもパッチを当てないといけないの？

**名無しさん＠お腹いっぱい。** · 2005/04/13(水) 22:21:32

パッチはオマエの脳に当てたほうがいい

**158** · 2005/04/13(水) 23:01:40

脳にパッチをあててコンパイルすると動きますた。
はやく組み込んでくれたらいいのにね。

**名無しさん＠お腹いっぱい。** · 2005/04/14(木) 00:55:34

>>158
patchは要らないけれど、コンパイル時にそれなりのオプションは必要。

つぎはぎの脳...なんかぐろいな。
フランケンシュタインみたいだ。

**158** · 2005/04/14(木) 01:52:40

えぇ、パッチ ptls....diff 当てなくていいんですか？
2.1.5ですが、当ててからコンパイルして動作はしていますが、
make makefiles CCARGS="-DUSE_SASL_AUTH -DHAS_SSL -I/usr/local/include/sasl -I/usr/local/ssl/include" AUXLIBS="-L/usr/local/lib -L/usr/local/ssl/lib -lsasl2 -lssl -lcrypto"
しました。
2.1系には要パッチということでしょうか？

**161** · 2005/04/14(木) 08:30:21

>>162
くだらない軽口言ってたからこれくらいは知っているものだと思ってたよ。
ちょっとリリースノートを読めばすぐわかる話なのに何で読まないかな？
英語が非常に不得意で見たら気分が悪くなってしまう人でも翻訳ソフトとか
Googleで検索して誰かが開設しているページとかを参照すれば載っているものだと
おもうけれど。
コンパイル時オプションなんかもマニュアル類をあたればわかると思うから
まずはそこからだ。

2.1.x系列にpatchが必要だからpatchが配布されてるわけでしょ？
不要だったらそんな無駄なものは配らないよね？作るほうも大変だしさ。

**名無しさん＠お腹いっぱい。** · 2005/04/15(金) 00:11:48

envelope recipientが特定のパターンにあてはまる場合は
エラーコードを返してメールを受けとらないようにしたい
のですが、どうすればよいでしょうか。パッチなしには
無理ですか?

**名無しさん＠お腹いっぱい。** · 2005/04/15(金) 00:21:59

>>164
smtpd_recipient_restrictions でドキュメントを検索しる

**164** · 2005/04/15(金) 00:43:05

>>165 splendid!

**名無しさん＠お腹いっぱい。** · 2005/04/15(金) 22:25:53

smtpd_intercept_malformed_connection

**名無しさん＠お腹いっぱい。** · 2005/04/15(金) 22:26:39

smtpd_reverse_attack

**名無しさん＠お腹いっぱい。** · 2005/04/15(金) 22:29:11

smptd_poison_response

**名無しさん＠お腹いっぱい。** · 2005/04/15(金) 22:30:06

smtpd_salassi_age

**名無しさん＠お腹いっぱい。** · 2005/04/21(木) 13:29:28

ちっとご相談なんですが、postfix の smtpd って、特定のクライアントだけは
connect, disconnect のログを取らないようにする、なんてことはできます？
設定周りを見た限りではできないようでしたが。

具体的には、ロードバランサの下に置いている smtpd が、数秒毎に来る
ヘルスチェック（port 25 に繋いですぐに QUIT）のログを吐きまくっているので、
これでログが埋もれちゃうんですよね。

解決策としては、smtpd の該当部分を改造してヘルスチェックをログらないように
するか、高機能な syslogd に入れ替えて該当文字列をログらないようにするか・・・
ぐらいかな？　と思っています。

**名無しさん＠お腹いっぱい。** · 2005/04/21(木) 16:07:34

出来ない

**名無しさん＠お腹いっぱい。** · 2005/04/21(木) 16:18:51

うちはログローテートのときに grep -v して捨ててる。

**名無しさん＠お腹いっぱい。** · 2005/04/21(木) 16:37:28

それって newsyslog.conf とかに設定、は出来ないよね?

**名無しさん＠お腹いっぱい。** · 2005/04/21(木) 17:01:09

ローテートのときに、よりも、後で、の方が正確な言い方か。

個人的にはログファイルは maillog.1 となってるよりも
maillog.20050421 となってる方がわかりやすいので、
newsyslog とか logrotate とか logadm とかが動いた後で

grep -v 'connect from xxx' maillog.1 | gzip -c > maillog.`date +%Y%m%d`.gz
rm maillog.1

みたいなことを実行するスクリプトを走らせてる。

**名無しさん＠お腹いっぱい。** · 2005/04/21(木) 17:01:37

>>174
/etc/syslog.confのほうね。

BSD系のsyslogdなら　|exec grep -v "hogehoge" >> /var/log/maillog
とか出来そうだが

**名無しさん＠お腹いっぱい。** · 2005/04/21(木) 19:02:32

>176
なるほど newsyslog(ローテート処理)じゃなくて syslog の方で
grep かましちゃうのか。

いや実は postfix でもない件でにたような話で気になるものが
あって >174 みたいなことを思ったんです。
保存する方には残らなくてもいいけど最新のログは
一通り出ていて欲しいと思ったのでできれば syslog.conf で
排除しちゃうのは避けたいな、うちの場合。

スレ違いですみません。

**171** · 2005/04/21(木) 21:18:51

できないってことは分かりましたんで、ソースに手を入れることにしますた。
バリバリハードコーディングですが、大したものでもないし・・・
とりあえず thanxco.

正常にヘルスチェックが来ているかはバランサのログを見れば分かるし、
簡易的には netstat -A inet -an | grep .... とかでなんとかなります。
ちなみに OS は Fedora Core なのですた。

**名無しさん＠お腹いっぱい。** · 2005/04/21(木) 21:41:30

>>177
最新の分は別のログファイルにも、書きだしとくとか。
newsyslog は1世代だけとればいいでそ。

**名無しさん＠お腹いっぱい。** · 2005/04/21(木) 22:32:05

syslog-ngなら無問題

**名無しさん＠お腹いっぱい。** · 2005/04/26(火) 06:16:50

いま、メールサーバ(pop含む）がおもしろくてはまってます。

postfix
smtp認証
pops, imaps, smtps,
ウェブメール

と機能を加えてきたのですが、
何かセキュアにするための機能とか便利な機能とかありませんでしょうか？
漏れには上の機能ぐらいしか思いつきません。

**名無しさん＠お腹いっぱい。** · 2005/04/26(火) 07:02:30

pgpとか色々。

**名無しさん＠お腹いっぱい。** · 2005/04/26(火) 08:50:26

pgpmail2shなんてのはどうかな

**名無しさん＠お腹いっぱい。** · 2005/04/26(火) 08:51:21

やろうと思えばtcp/mailなんてのも可能かな

**名無しさん＠お腹いっぱい。** · 2005/04/26(火) 12:08:02

>>181
まず「何をセキュア」にしたいのか言うべきだな。
話しはそれからだ。

**名無しさん＠お腹いっぱい。** · 2005/04/26(火) 13:43:54

人。

**名無しさん＠お腹いっぱい。** · 2005/04/26(火) 13:44:39

特に彼女。

**名無しさん＠お腹いっぱい。** · 2005/04/26(火) 14:17:15

うほ

**名無しさん＠お腹いっぱい。** · 2005/04/26(火) 20:04:16

Virtual Hosting with Postfix
http://www.howtoforge.com/linux_postfix_virtual_hosting

**181** · 2005/04/26(火) 21:43:26

181です・・・。

PGPですか、どう使えば幸せになれるか見当つきません＿|￣|○
ユーザとサーバで鍵をやりとりするのでしょうか？
smtps等の公開鍵とはまた違うのでしょうか。

ベイジアンフィルタをユーザーごとに、ユーザ自身で設定できるのかなと思ったのですが、可能ですか？

妻と去年結婚しました。
今年子供が生まれて幸せです。

181です・・・。

**名無しさん＠お腹いっぱい。** · 2005/04/26(火) 22:42:22

SPFとかDomainKeysとかどうよ

**名無しさん＠お腹いっぱい。** · 2005/04/27(水) 00:09:38

>>190
SSLは通信路を暗号化するものであるけれど、
サーバーやPCにあるデータを保護するものではない。
こういうサーバーやPCのディスクやFDなどの記憶装置にあるデータを
保護するのにPGPは使われる。

ベイジアンフィルターをユーザーに設定させるというのはメール振り分けソフトでも
かませば簡単にできるだろ。

>>191
導入企業は増えつつあるけれど、それの前にプロバイダのSMTPサーバーから
送られるspamを排除してほしい。

**名無しさん＠お腹いっぱい。** · 2005/04/27(水) 00:16:08

>>191
をpostfixに組み込む方法きぼん

**名無しさん＠お腹いっぱい。** · 2005/04/27(水) 09:19:58

DomainKeys は知らんが、SPF はソースアーカイブの
examples/smtpd_policy/ の下にサンプルがある。

**名無しさん＠お腹いっぱい。** · 2005/05/04(水) 22:17:19

今qmail使っているんですけど、せっかくだからpostfixで作り直そうと思います。
qmailadminみたいな、webでユーザ管理できるようなものあります？
　・各ユーザが勝手に自分のIDでログインして、パスワード変更、メール転送などを
　　自由に変更できるようにしたい。（もちろん自分以外の設定だけ変更可能）

webminでできるようですが、これって全ユーザが勝手に触って、ってものぢゃなさそう
だし・・　（Webmin使ったことないからよくわかんないですが。）

postfixadminとかでしょうか。
みなさん、何使ってます？

**名無しさん＠お腹いっぱい。** · 2005/05/04(水) 22:19:49

LDAP

**名無しさん＠お腹いっぱい。** · 2005/05/04(水) 23:24:31

MySQL

**名無しさん＠お腹いっぱい。** · 2005/05/04(水) 23:48:15

どうやらないらしい

**名無しさん＠お腹いっぱい。** · 2005/05/04(水) 23:50:37

自分以外の設定だけ変更可能、はなかなか…

**名無しさん＠お腹いっぱい。** · 2005/05/04(水) 23:57:48

IMAPDとかがやりそうな仕事の範囲な気はするな．
漏れもよく知らん

**名無しさん＠お腹いっぱい。** · 2005/05/05(木) 01:05:06

>>195
Webminは知っててUserminは知らないの？

**195** · 2005/05/05(木) 09:43:37

ありがとうございます。

>自分以外の設定だけ変更可能、はなかなか…
かなりやヴぁいシステムっすな（＾＾；
　自分の設定だけ、でした。

Webminも名前だけ知っている程度で、実際に触ってみたこと
ないです。Userminは名前すら知り舞えんでした。
ちょっとググってみたんですが、Usermin使って　転送設定とかも
無問題でできるんでしょうか。

携帯メールに転送したい。って人が結構いるんだけど、海外出張とか
いくとすぐパンクしてしまい、送信元にエラーメールいっちゃうみたいなんで、
海外行く前には転送を自分で停止しなさい。ってな運用にしたいです。
　あと、パスワードは定期的に自分で変更しなさい。とか。

皆さん　どういう運用されてます？鯖管理者が設定してあげてるんですかね。

**名無しさん＠お腹いっぱい。** · 2005/05/05(木) 10:03:01

>>202
＞Usermin使って　転送設定とかも無問題でできるんでしょうか。
出来るよ。sendmail(互換)として設定だけど。
ただ自分とこは自作のI/F作って、それ使うようにしてる。

六 · 2005/05/05(木) 11:51:47

.forward をユーザが書き換えられるように、Webインターフェイスを
作ってあげてる。

**名無しさん＠お腹いっぱい。** · 2005/05/05(木) 12:14:01

ま、おれもそうだけど、みんな自分で web の GUI 作ってるんじゃないかな

**名無しさん＠お腹いっぱい。** · 2005/05/05(木) 12:20:27

GUIなんか作らないよ。会社では、紙で申請。部長の承認サイン必要。
趣味のサーバは、勝手にsshで入って自分で変更してくれ。

**名無しさん＠お腹いっぱい。** · 2005/05/05(木) 13:08:15

>>206
うちもそうだなあ。
ブラウザで変更とかやるにしても、いちいちウザイ問い合わせが増えるだけ。

**名無しさん＠お腹いっぱい。** · 2005/05/05(木) 15:38:05

SquirrelMail(ウェブメール)を入れればプラグインで可能。
一石二鳥。

**名無しさん＠お腹いっぱい。** · 2005/05/05(木) 18:03:31

この手のことに慣れてない管理者向けに適当なGUIつけたことはあるなあ
申請は紙だが、変更する人が素人だったりして

**名無しさん＠お腹いっぱい。** · 2005/05/05(木) 21:23:03

リスメイルでそんなこともできるんだね
知らなかった

**名無しさん＠お腹いっぱい。** · 2005/05/05(木) 22:23:44

リスさんメール紹介しても女の子が少しも喜んでくれない件について

**名無しさん＠お腹いっぱい。** · 2005/05/05(木) 23:22:51

奥様はクマさんがお好き

**名無しさん＠お腹いっぱい。** · 2005/05/05(木) 23:42:09

SENDMAIL と比べて、パフォーマンスどうでしょうか？

**名無しさん＠お腹いっぱい。** · 2005/05/06(金) 19:45:59

>>195
回答になってないんだけど、PostfixならバックエンドでMySQLを利用してユーザのデータを
持つようにすればフロントエンドはPHPなりPerlなりで作ればいいと思う。

自分もフロントエンド作ったけど、簡単なものならそんなに大変じゃないと思う。

POP3/IMAP4はCourier-IMAPとかを使えばMySQLで認証データをもてるから管理が
楽になるんじゃないかな。

**名無しさん＠お腹いっぱい。** · 2005/05/07(土) 07:02:48

そこまでやるなら、Maildirなんて実アカウントを必要とする機構を使わずに、
メールスプールとか全部DBに任せたくならない?

**名無しさん＠お腹いっぱい。** · 2005/05/07(土) 10:36:17

>>215
それやるとPOPサーバの選択に制限ができるからやらない。
Maildirってもメールアカウントは必要だけど、OSのアカウントは別に必要ないし。
SMTPとPOP/IMAPの範囲でDBMSなりでアカウント管理が出来てりゃそれで構わん。

**名無しさん＠お腹いっぱい。** · 2005/05/07(土) 12:46:42

だからLDAPでやれって。

**名無しさん＠お腹いっぱい。** · 2005/05/07(土) 15:34:52

LDAPは属性値をそのまま取り出すしかできないから扱いづらい。
MySQLだと、テーブル内のデータを加工して取り出すことができる。

**名無しさん＠お腹いっぱい。** · 2005/05/07(土) 16:13:33

>>217
LDAPでやってんの？

**名無しさん＠お腹いっぱい。** · 2005/05/08(日) 08:00:23

やってますが何か？

**名無しさん＠お腹いっぱい。** · 2005/05/08(日) 14:31:21

わーすごい

**名無しさん＠お腹いっぱい。** · 2005/05/09(月) 20:04:54

postfix enabler.....とかの質問したらだめ？

**名無しさん＠お腹いっぱい。** · 2005/05/10(火) 19:21:59

だめ。

**名無しさん＠お腹いっぱい。** · 2005/05/10(火) 19:37:02

>>222
それってなんだろーとおもったら MacOS X 用のインストール&設定ラッパーか。
あんまり関係ないような気がするなぁ

**名無しさん＠お腹いっぱい。** · 2005/05/14(土) 04:15:27

ちょい質問。

どっかのページでプロバイタのMSAのSubmissionポートにsaslで接続してメール送信する手法が
載ってた気がするんだけど、設定忘れちゃったんで、誰かｴﾛｲ人教えてもらえないですか？

ちょいトラブルでメルサバのHD吹っ飛んじゃったんで・・・・

**名無しさん＠お腹いっぱい。** · 2005/05/14(土) 06:40:20

>>225
SASL_README に載っている SMTP クライアントによる SASL 認証の設定と
transport 組み合わせればいいんじゃないかな。

**225** · 2005/05/14(土) 15:23:51

>>226

ありがとうございます、さっそく自宅に帰ったら試してみます！

**名無しさん＠お腹いっぱい。** · 2005/05/16(月) 15:17:03

Outbound Port25 Blocking 対策で、配送を587番ポートに丸投げする場合、

relayhost=[smtp.exaple.jp:587]
....
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/saslpass

/etc/postfix/saslpass に、
[smtp.exaple.jp:587] user_name:password

であってる??。

**名無しさん＠お腹いっぱい。** · 2005/05/16(月) 15:42:55

あってない

smtp_sasl_password_maps
Optional SMTP client lookup tables with one username:password entry
per remote hostname or domain.

relayhost
...
In the case of SMTP, specify a domain name, hostname, hostname:port,
[hostname]:port, [hostaddress] or [hostaddress]:port. The form
[hostname] turns off MX lookups.

**228** · 2005/05/16(月) 19:55:50

>>229 これが正解かな。聞いといてよかった。レス感謝。

relayhost=[smtp.exaple.jp]:587
....
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/saslpass

/etc/postfix/saslpass に、
[smtp.exaple.jp]:587 user_name:password

**名無しさん＠お腹いっぱい。** · 2005/05/20(金) 19:56:24

yournet拒否って

/^Received:.*yournet\.ne\.jp.*/ REJECT

で良いのでしょうか？

アドバイスプリーズ

**名無しさん＠お腹いっぱい。** · 2005/05/20(金) 20:20:37

末尾の.*は余計だけど、いいとおもうよ。

うちでは
check_client_access pcre:$config_directory/access.pcre
とかにして
/\.ap\.yournet\.ne\.jp/ REJECT
としてる。いっそDISCARDでもいいかも。

**名無しさん＠お腹いっぱい。** · 2005/05/20(金) 20:25:45

>>231
> /^Received:.*yournet\.ne\.jp.*/ REJECT

基本的にはそれでいいと思うよ。

うちは、もう少し付け加えて
/^received: from.* \(.*yournet\.ne\.jp/ REJECT by spam database id 11

とかしてるよ。"by spam database id 11"のところはmaillogにコメントが
出るから、沢山ルールを定義したとき効果がわかって便利。

**名無しさん＠お腹いっぱい。** · 2005/05/20(金) 20:38:53

yournet から直接届く spam だけでなく、
ふつーに ISP のメールサーバを経由して送信されるメールも
拒否してもいいのならばそれでどうぞ。

**名無しさん＠お腹いっぱい。** · 2005/05/20(金) 20:59:21

ほんとはもう少し限定してるんだけど
ココで手の内見せるわけにもイカンしね

**名無しさん＠お腹いっぱい。** · 2005/05/20(金) 22:46:18

キモイ書き込みはいりません。

**名無しさん＠お腹いっぱい。** · 2005/05/21(土) 16:32:13

>yournet から直接届く spam だけでなく、
>ふつーに ISP のメールサーバを経由して送信されるメールも
>拒否してもいいのならばそれでどうぞ。

なぜそーなる？

**名無しさん＠お腹いっぱい。** · 2005/05/21(土) 16:43:27

ttp://article.gmane.org/gmane.mail.postfix.user/117395

すげぇ

**名無しさん＠お腹いっぱい。** · 2005/05/21(土) 16:53:25

やりすぎｗ

**名無しさん＠お腹いっぱい。** · 2005/05/21(土) 16:53:45

ﾜﾗﾀ

**名無しさん＠お腹いっぱい。** · 2005/05/21(土) 17:33:02

次スレからテンプレに入れよう。

**名無しさん＠お腹いっぱい。** · 2005/05/21(土) 17:48:08

banner(6)って使えるもんだな(w

**名無しさん＠お腹いっぱい。** · 2005/05/21(土) 18:17:56

なにこれ、どうやって使うの？

**名無しさん＠お腹いっぱい。** · 2005/05/21(土) 19:46:59

echo mona | banner

CentOS4にコマンド見当たんね(´･ω･｀) ｼｮﾎﾞｰﾝ

**名無しさん＠お腹いっぱい。** · 2005/05/21(土) 19:48:52

k14 とかを指定して EUC 突っ込める banner モドキとかってないのかな?

**名無しさん＠お腹いっぱい。** · 2005/05/21(土) 19:50:09

何今更bannerで盛り上がってんだ

**名無しさん＠お腹いっぱい。** · 2005/05/21(土) 21:21:56

SASL_README だけど、
|Reportedly, Microsoft Internet Explorer version 5 requires the non-standard
|SASL LOGIN authentication method. To enable this authentication method, specify
|``./configure --enable-login''.
この IE って Outlook のこと？