トップページunix
1001コメント324KB

Postfix(4)

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。05/03/15 10:30:15
Postfixスレッド その4です。

●リンク
 本家
 http://www.postfix.org/

 Postfix のぺーじ (ドキュメントの日本語訳、MLなど)
 http://www.kobitosan.net/postfix/

過去スレ、関連スレなどは>>2-4あたり
01661642005/04/15(金) 00:43:05
>>165 splendid!
0167名無しさん@お腹いっぱい。2005/04/15(金) 22:25:53
smtpd_intercept_malformed_connection
0168名無しさん@お腹いっぱい。2005/04/15(金) 22:26:39
smtpd_reverse_attack
0169名無しさん@お腹いっぱい。2005/04/15(金) 22:29:11
smptd_poison_response
0170名無しさん@お腹いっぱい。2005/04/15(金) 22:30:06
smtpd_salassi_age
0171名無しさん@お腹いっぱい。2005/04/21(木) 13:29:28
ちっとご相談なんですが、postfix の smtpd って、特定のクライアントだけは
connect, disconnect のログを取らないようにする、なんてことはできます?
設定周りを見た限りではできないようでしたが。

具体的には、ロードバランサの下に置いている smtpd が、数秒毎に来る
ヘルスチェック(port 25 に繋いですぐに QUIT)のログを吐きまくっているので、
これでログが埋もれちゃうんですよね。

解決策としては、smtpd の該当部分を改造してヘルスチェックをログらないように
するか、高機能な syslogd に入れ替えて該当文字列をログらないようにするか・・・
ぐらいかな? と思っています。
0172名無しさん@お腹いっぱい。2005/04/21(木) 16:07:34
出来ない
0173名無しさん@お腹いっぱい。2005/04/21(木) 16:18:51
うちはログローテートのときに grep -v して捨ててる。
0174名無しさん@お腹いっぱい。2005/04/21(木) 16:37:28
それって newsyslog.conf とかに設定、は出来ないよね?
0175名無しさん@お腹いっぱい。2005/04/21(木) 17:01:09
ローテートのときに、よりも、後で、の方が正確な言い方か。

個人的にはログファイルは maillog.1 となってるよりも
maillog.20050421 となってる方がわかりやすいので、
newsyslog とか logrotate とか logadm とかが動いた後で

grep -v 'connect from xxx' maillog.1 | gzip -c > maillog.`date +%Y%m%d`.gz
rm maillog.1

みたいなことを実行するスクリプトを走らせてる。
0176名無しさん@お腹いっぱい。2005/04/21(木) 17:01:37
>>174
/etc/syslog.confのほうね。

BSD系のsyslogdなら |exec grep -v "hogehoge" >> /var/log/maillog
とか出来そうだが
0177名無しさん@お腹いっぱい。2005/04/21(木) 19:02:32
>176
なるほど newsyslog(ローテート処理)じゃなくて syslog の方で
grep かましちゃうのか。

いや実は postfix でもない件でにたような話で気になるものが
あって >174 みたいなことを思ったんです。
保存する方には残らなくてもいいけど最新のログは
一通り出ていて欲しいと思ったのでできれば syslog.conf で
排除しちゃうのは避けたいな、うちの場合。

スレ違いですみません。
01781712005/04/21(木) 21:18:51
できないってことは分かりましたんで、ソースに手を入れることにしますた。
バリバリハードコーディングですが、大したものでもないし・・・
とりあえず thanxco.

正常にヘルスチェックが来ているかはバランサのログを見れば分かるし、
簡易的には netstat -A inet -an | grep .... とかでなんとかなります。
ちなみに OS は Fedora Core なのですた。
0179名無しさん@お腹いっぱい。2005/04/21(木) 21:41:30
>>177
最新の分は別のログファイルにも、書きだしとくとか。
newsyslog は1世代だけとればいいでそ。
0180名無しさん@お腹いっぱい。2005/04/21(木) 22:32:05
syslog-ngなら無問題
0181名無しさん@お腹いっぱい。2005/04/26(火) 06:16:50
いま、メールサーバ(pop含む)がおもしろくてはまってます。

postfix
smtp認証
pops, imaps, smtps,
ウェブメール

と機能を加えてきたのですが、
何かセキュアにするための機能とか便利な機能とかありませんでしょうか?
漏れには上の機能ぐらいしか思いつきません。
0182名無しさん@お腹いっぱい。2005/04/26(火) 07:02:30
pgpとか色々。
0183名無しさん@お腹いっぱい。2005/04/26(火) 08:50:26
pgpmail2shなんてのはどうかな
0184名無しさん@お腹いっぱい。2005/04/26(火) 08:51:21
やろうと思えばtcp/mailなんてのも可能かな
0185名無しさん@お腹いっぱい。2005/04/26(火) 12:08:02
>>181
まず「何をセキュア」にしたいのか言うべきだな。
話しはそれからだ。
0186名無しさん@お腹いっぱい。2005/04/26(火) 13:43:54
人。
0187名無しさん@お腹いっぱい。2005/04/26(火) 13:44:39
特に彼女。
0188名無しさん@お腹いっぱい。2005/04/26(火) 14:17:15
うほ
0189名無しさん@お腹いっぱい。2005/04/26(火) 20:04:16
Virtual Hosting with Postfix
http://www.howtoforge.com/linux_postfix_virtual_hosting
01901812005/04/26(火) 21:43:26
181です・・・。

PGPですか、どう使えば幸せになれるか見当つきません_| ̄|○
ユーザとサーバで鍵をやりとりするのでしょうか?
smtps等の公開鍵とはまた違うのでしょうか。

ベイジアンフィルタをユーザーごとに、ユーザ自身で設定できるのかなと思ったのですが、可能ですか?

妻と去年結婚しました。
今年子供が生まれて幸せです。

181です・・・。
0191名無しさん@お腹いっぱい。2005/04/26(火) 22:42:22
SPFとかDomainKeysとかどうよ
0192名無しさん@お腹いっぱい。2005/04/27(水) 00:09:38
>>190
SSLは通信路を暗号化するものであるけれど、
サーバーやPCにあるデータを保護するものではない。
こういうサーバーやPCのディスクやFDなどの記憶装置にあるデータを
保護するのにPGPは使われる。

ベイジアンフィルターをユーザーに設定させるというのはメール振り分けソフトでも
かませば簡単にできるだろ。

>>191
導入企業は増えつつあるけれど、それの前にプロバイダのSMTPサーバーから
送られるspamを排除してほしい。
0193名無しさん@お腹いっぱい。2005/04/27(水) 00:16:08
>>191
をpostfixに組み込む方法きぼん
0194名無しさん@お腹いっぱい。2005/04/27(水) 09:19:58
DomainKeys は知らんが、SPF はソースアーカイブの
examples/smtpd_policy/ の下にサンプルがある。
0195名無しさん@お腹いっぱい。2005/05/04(水) 22:17:19
今qmail使っているんですけど、せっかくだからpostfixで作り直そうと思います。
qmailadminみたいな、webでユーザ管理できるようなものあります?
 ・各ユーザが勝手に自分のIDでログインして、パスワード変更、メール転送などを
  自由に変更できるようにしたい。(もちろん自分以外の設定だけ変更可能)

webminでできるようですが、これって全ユーザが勝手に触って、ってものぢゃなさそう
だし・・ (Webmin使ったことないからよくわかんないですが。)

postfixadminとかでしょうか。
みなさん、何使ってます?
0196名無しさん@お腹いっぱい。2005/05/04(水) 22:19:49
LDAP
0197名無しさん@お腹いっぱい。2005/05/04(水) 23:24:31
MySQL
0198名無しさん@お腹いっぱい。2005/05/04(水) 23:48:15
どうやらないらしい
0199名無しさん@お腹いっぱい。2005/05/04(水) 23:50:37
自分以外の設定だけ変更可能、はなかなか…
0200名無しさん@お腹いっぱい。2005/05/04(水) 23:57:48
IMAPDとかがやりそうな仕事の範囲な気はするな.
漏れもよく知らん
0201名無しさん@お腹いっぱい。2005/05/05(木) 01:05:06
>>195
Webminは知っててUserminは知らないの?
02021952005/05/05(木) 09:43:37
ありがとうございます。

>自分以外の設定だけ変更可能、はなかなか…
かなりやヴぁいシステムっすな(^^;
 自分の設定だけ、でした。

Webminも名前だけ知っている程度で、実際に触ってみたこと
ないです。Userminは名前すら知り舞えんでした。
ちょっとググってみたんですが、Usermin使って 転送設定とかも
無問題でできるんでしょうか。

携帯メールに転送したい。って人が結構いるんだけど、海外出張とか
いくとすぐパンクしてしまい、送信元にエラーメールいっちゃうみたいなんで、
海外行く前には転送を自分で停止しなさい。ってな運用にしたいです。
 あと、パスワードは定期的に自分で変更しなさい。とか。

皆さん どういう運用されてます?鯖管理者が設定してあげてるんですかね。
0203名無しさん@お腹いっぱい。2005/05/05(木) 10:03:01
>>202
>Usermin使って 転送設定とかも無問題でできるんでしょうか。
出来るよ。sendmail(互換)として設定だけど。
ただ自分とこは自作のI/F作って、それ使うようにしてる。
02042005/05/05(木) 11:51:47
.forward をユーザが書き換えられるように、Webインターフェイスを
作ってあげてる。
0205名無しさん@お腹いっぱい。2005/05/05(木) 12:14:01
ま、おれもそうだけど、みんな自分で web の GUI 作ってるんじゃないかな
0206名無しさん@お腹いっぱい。2005/05/05(木) 12:20:27
GUIなんか作らないよ。会社では、紙で申請。部長の承認サイン必要。
趣味のサーバは、勝手にsshで入って自分で変更してくれ。
0207名無しさん@お腹いっぱい。2005/05/05(木) 13:08:15
>>206
うちもそうだなあ。
ブラウザで変更とかやるにしても、いちいちウザイ問い合わせが増えるだけ。
0208名無しさん@お腹いっぱい。2005/05/05(木) 15:38:05
SquirrelMail(ウェブメール)を入れればプラグインで可能。
一石二鳥。
0209名無しさん@お腹いっぱい。2005/05/05(木) 18:03:31
この手のことに慣れてない管理者向けに適当なGUIつけたことはあるなあ
申請は紙だが、変更する人が素人だったりして
0210名無しさん@お腹いっぱい。2005/05/05(木) 21:23:03
リスメイルでそんなこともできるんだね
知らなかった
0211名無しさん@お腹いっぱい。2005/05/05(木) 22:23:44
リスさんメール紹介しても女の子が少しも喜んでくれない件について
0212名無しさん@お腹いっぱい。2005/05/05(木) 23:22:51
奥様はクマさんがお好き
0213名無しさん@お腹いっぱい。2005/05/05(木) 23:42:09
SENDMAIL と比べて、パフォーマンスどうでしょうか?
0214名無しさん@お腹いっぱい。 2005/05/06(金) 19:45:59
>>195
回答になってないんだけど、PostfixならバックエンドでMySQLを利用してユーザのデータを
持つようにすればフロントエンドはPHPなりPerlなりで作ればいいと思う。

自分もフロントエンド作ったけど、簡単なものならそんなに大変じゃないと思う。

POP3/IMAP4はCourier-IMAPとかを使えばMySQLで認証データをもてるから管理が
楽になるんじゃないかな。
0215名無しさん@お腹いっぱい。2005/05/07(土) 07:02:48
そこまでやるなら、Maildirなんて実アカウントを必要とする機構を使わずに、
メールスプールとか全部DBに任せたくならない?
0216名無しさん@お腹いっぱい。2005/05/07(土) 10:36:17
>>215
それやるとPOPサーバの選択に制限ができるからやらない。
Maildirってもメールアカウントは必要だけど、OSのアカウントは別に必要ないし。
SMTPとPOP/IMAPの範囲でDBMSなりでアカウント管理が出来てりゃそれで構わん。
0217名無しさん@お腹いっぱい。2005/05/07(土) 12:46:42
だからLDAPでやれって。
0218名無しさん@お腹いっぱい。2005/05/07(土) 15:34:52
LDAPは属性値をそのまま取り出すしかできないから扱いづらい。
MySQLだと、テーブル内のデータを加工して取り出すことができる。
0219名無しさん@お腹いっぱい。2005/05/07(土) 16:13:33
>>217
LDAPでやってんの?
0220名無しさん@お腹いっぱい。2005/05/08(日) 08:00:23
やってますが何か?
0221名無しさん@お腹いっぱい。2005/05/08(日) 14:31:21
わーすごい
0222名無しさん@お腹いっぱい。2005/05/09(月) 20:04:54
postfix enabler.....とかの質問したらだめ?
0223名無しさん@お腹いっぱい。2005/05/10(火) 19:21:59
だめ。
0224名無しさん@お腹いっぱい。2005/05/10(火) 19:37:02
>>222
それってなんだろー とおもったら MacOS X 用のインストール&設定ラッパーか。
あんまり関係ないような気がするなぁ
0225名無しさん@お腹いっぱい。2005/05/14(土) 04:15:27
ちょい質問。

どっかのページでプロバイタのMSAのSubmissionポートにsaslで接続してメール送信する手法が
載ってた気がするんだけど、設定忘れちゃったんで、誰かエロイ人教えてもらえないですか?

ちょいトラブルでメルサバのHD吹っ飛んじゃったんで・・・・
0226名無しさん@お腹いっぱい。2005/05/14(土) 06:40:20
>>225
SASL_README に載っている SMTP クライアントによる SASL 認証の設定と
transport 組み合わせればいいんじゃないかな。
02272252005/05/14(土) 15:23:51
>>226

ありがとうございます、さっそく自宅に帰ったら試してみます!
0228名無しさん@お腹いっぱい。2005/05/16(月) 15:17:03
Outbound Port25 Blocking 対策で、配送を587番ポートに丸投げする場合、

relayhost=[smtp.exaple.jp:587]
....
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/saslpass

/etc/postfix/saslpass に、
[smtp.exaple.jp:587] user_name:password

であってる??。
0229名無しさん@お腹いっぱい。2005/05/16(月) 15:42:55
あってない

smtp_sasl_password_maps
Optional SMTP client lookup tables with one username:password entry
per remote hostname or domain.

relayhost
...
In the case of SMTP, specify a domain name, hostname, hostname:port,
[hostname]:port, [hostaddress] or [hostaddress]:port. The form
[hostname] turns off MX lookups.
02302282005/05/16(月) 19:55:50
>>229 これが正解かな。聞いといてよかった。レス感謝。

relayhost=[smtp.exaple.jp]:587
....
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/saslpass

/etc/postfix/saslpass に、
[smtp.exaple.jp]:587 user_name:password
0231名無しさん@お腹いっぱい。2005/05/20(金) 19:56:24
yournet拒否って

/^Received:.*yournet\.ne\.jp.*/ REJECT

で良いのでしょうか?

アドバイスプリーズ
0232名無しさん@お腹いっぱい。2005/05/20(金) 20:20:37
末尾の.*は余計だけど、いいとおもうよ。

うちでは
check_client_access pcre:$config_directory/access.pcre
とかにして
/\.ap\.yournet\.ne\.jp/ REJECT
としてる。いっそDISCARDでもいいかも。
0233名無しさん@お腹いっぱい。2005/05/20(金) 20:25:45
>>231
> /^Received:.*yournet\.ne\.jp.*/ REJECT

基本的にはそれでいいと思うよ。

うちは、もう少し付け加えて
/^received: from.* \(.*yournet\.ne\.jp/ REJECT by spam database id 11

とかしてるよ。"by spam database id 11"のところはmaillogにコメントが
出るから、沢山ルールを定義したとき効果がわかって便利。





0234名無しさん@お腹いっぱい。2005/05/20(金) 20:38:53
yournet から直接届く spam だけでなく、
ふつーに ISP のメールサーバを経由して送信されるメールも
拒否してもいいのならばそれでどうぞ。
0235名無しさん@お腹いっぱい。2005/05/20(金) 20:59:21
ほんとはもう少し限定してるんだけど
ココで手の内見せるわけにもイカンしね
0236名無しさん@お腹いっぱい。2005/05/20(金) 22:46:18
キモイ書き込みはいりません。
0237名無しさん@お腹いっぱい。2005/05/21(土) 16:32:13
>yournet から直接届く spam だけでなく、
>ふつーに ISP のメールサーバを経由して送信されるメールも
>拒否してもいいのならばそれでどうぞ。

なぜそーなる?
0238名無しさん@お腹いっぱい。2005/05/21(土) 16:43:27
ttp://article.gmane.org/gmane.mail.postfix.user/117395

すげぇ
0239名無しさん@お腹いっぱい。2005/05/21(土) 16:53:25
やりすぎw
0240名無しさん@お腹いっぱい。2005/05/21(土) 16:53:45
ワラタ
0241名無しさん@お腹いっぱい。2005/05/21(土) 17:33:02
次スレからテンプレに入れよう。
0242名無しさん@お腹いっぱい。2005/05/21(土) 17:48:08
banner(6)って使えるもんだな(w
0243名無しさん@お腹いっぱい。2005/05/21(土) 18:17:56
なにこれ、どうやって使うの?
0244名無しさん@お腹いっぱい。2005/05/21(土) 19:46:59
echo mona | banner


CentOS4にコマンド見当たんね(´・ω・`) ショボーン
0245名無しさん@お腹いっぱい。2005/05/21(土) 19:48:52
k14 とかを指定して EUC 突っ込める banner モドキとかってないのかな?
0246名無しさん@お腹いっぱい。2005/05/21(土) 19:50:09
何今更bannerで盛り上がってんだ
0247名無しさん@お腹いっぱい。2005/05/21(土) 21:21:56
SASL_README だけど、
|Reportedly, Microsoft Internet Explorer version 5 requires the non-standard
|SASL LOGIN authentication method. To enable this authentication method, specify
|``./configure --enable-login''.
この IE って Outlook のこと?
0248名無しさん@お腹いっぱい。2005/05/21(土) 21:37:33
OE のことだべ。
--enable-login 入れとかないと Outlook Express でメール出せない、と
どっかにかいてあった。
俺はOE使わねーからで裏は取ってない。
0249名無しさん@お腹いっぱい。2005/05/22(日) 00:15:36
>>245
FreeBSDのportsにはkbannerってのがあるよ。
ちょっと入れてみたけれど、縦書きででかい文字が出てくるね。

あと、Windows用にはjbannerってのもあるみたいね。
0250名無しさん@お腹いっぱい。2005/05/23(月) 23:00:04
MLやよそのサイトの.forwardで自分宛に二重に届くはずなのに
インストールし直したら片方が消えてしまうようになった.
昔調べて直したんだけど,postfixの設定と関係ありませんでしたっけ?
0251名無しさん@お腹いっぱい。2005/05/24(火) 10:01:30
そういうのはログを見たらわかるんじゃないの?
rejectしたり捨てたりしたらそれはそれでログに残るし。
02522502005/05/24(火) 10:52:09
>>251
すいません.
ログを見てもよくわからなかったので…
以前,MTAの機能として,設定にそのものズバリの設定が
あった気がしたので聞いてみました.
もう少し調べてみます.
02532502005/05/24(火) 13:43:13
調べた結果,cyrus(imapd)の設定のせいだと分かりました.
/etc/imapd.conf

duplicatesuppression: no
を足したらなおりました.
お騒がせしました.
0254名無しさん@お腹いっぱい。2005/05/24(火) 21:53:29
2通欲しいのね・・・
0255名無しさん@お腹いっぱい。2005/05/25(水) 10:59:15
すみません、はじめてメールサーバを構築しています。
質問させてください。
バーチャルドメイン機能で複数のドメインを使っています。
それぞれのドメインで同じアカウント、たとえばadmin
を使いたい場合は
OSアカウントとして、xxxx1_admin、xxxx2_admin
のように別々に作成し、それをメールアドレスに対応させ
メール送受信時はOSアカウントで接続するのでしょうか?

アカウントをadminとして接続する手段はないでしょうか?
0256名無しさん@お腹いっぱい。2005/05/25(水) 11:04:48
>>255
そういう場合にはデータベース(MySQL,PostgreSQL等)を組み合わせて
メールアカウントの認証はOSの認証に頼らず自力で情報管理台帳を持つ
ようにするのが一般的。

管理アカウントに飛んでくるメールは一カ所に集約したいのであれば
転送すればよろしい。
0257名無しさん@お腹いっぱい。2005/05/25(水) 11:25:05
SMTP MAIL FROM や RCPT TO で、domain-part が存在しないメールを拒否する
にはどうしたらよいでしょうか?
smtpd_recipient_restrictions で reject_non_fqdn_recipient や
reject_unknown_recipient_domain を試してみたんですが、それぞれ、ホスト
名ノミデドメイン無シのアドレス、MX や A が存在しないアドレスを拒否する
ようで使えません。

あと、remote_header_rewrite_domain = domain.invalid という設定を試して
も、myorigin が付加されるのはどうしてなんでしょうか?
02582552005/05/25(水) 11:27:38
>>256
一箇所に集約でなく、
同じアカウント名でもドメインが異なれば
別々のメールボックスで管理したいということでした。
かつ、メール送受信時のアカウントは同じIDで行いたい。
わかりずらくてすみません。

データベースを利用するとのこと、
その線で調べてみます。
ありがとうございました。
0259名無しさん@お腹いっぱい。2005/05/25(水) 13:15:28
>>258

つまり、hoge@aaa.comとhoge@bbb.comの二つのメールアドレスを受け取り、
読むアカウントはhogeで統一して行いたい。
でもメールボックスは別々よ、というわけかな。
hogeさんがそれぞれのメールボックスへアクセスするのはどうやるの?
popのポートをずらすとか?
0260名無しさん@お腹いっぱい。2005/05/25(水) 13:30:51
分かりづらいとかそういう問題じゃなく、自分で整理できていないだけなんじゃ?
02612552005/05/25(水) 14:13:51
>>259
hogeのアカウントでそれぞれ別の人が使いたい
違うのはドメインだけ
メールボックスも別です

おかしいこと言ってたらすみません
0262名無しさん@お腹いっぱい。2005/05/25(水) 14:26:19
なぁ、ひとつ聞きたいんだがお前はPostfixの公式ドキュメントに一度でも目を通したのか?
質問するのはその後じゃないのか?
0263名無しさん@お腹いっぱい。2005/05/25(水) 15:25:13
qmailで言うバーチャルユーザーだよな
ドキュメントにはあったと思う・・・
0264名無しさん@お腹いっぱい。2005/05/25(水) 15:45:58
フォワードしたら?
0265名無しさん@お腹いっぱい。2005/05/25(水) 16:04:17
Postfixでは、virtual mailbox と言うらしい
■ このスレッドは過去ログ倉庫に格納されています