Postfix(4)
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
05/03/15 10:30:15●リンク
本家
http://www.postfix.org/
Postfix のぺーじ (ドキュメントの日本語訳、MLなど)
http://www.kobitosan.net/postfix/
過去スレ、関連スレなどは>>2-4あたり
0653名無しさん@お腹いっぱい。
2005/09/25(日) 23:42:49そのetcとかlib、usrなんかが不完全だと、
起動時に怒られるからちがうような。
0654名無しさん@お腹いっぱい。
2005/09/25(日) 23:52:07くだ室では既に聞いてるよ。誰も分かってない、答えられない。
yhooや docomoはpingにさえ反応しないようになってるし telnet 25
でも無応答でしょ?って事。皆さんはどうやって配信不能のチェックを
してるのかな?って思ってます。toshibaはメールサーバーじゃないアドレスを
返すし。w そういった 2、3の相手先がConnection refused) だったり
yahoo.co.jp[210.80.242.236]: Connection timed out (port 25) だったりする。
649さんのやってみるっす。すいませんでした。
0655名無しさん@お腹いっぱい。
2005/09/26(月) 00:00:23yahoo.co.jp の port 25 に繋ごうとしているあたりで、
なにか大幅に勘違いしていると思われ。
まあ postfix が動かないのは別の事情だろうが。
>>650 の言うとおりか、実はファイヤウォールの内側で、
上位のMTAに繋ぐ設定がいるとかじゃないの?
0656名無しさん@お腹いっぱい。
2005/09/26(月) 00:17:07connect to tacr.co.jp[157.205.237.22]: Connection timed outだったり
Connection refused (port 25) だったりでした。
はぁ。いくつかの相手だけなので余計に混乱してるです。
0657名無しさん@お腹いっぱい。
2005/09/26(月) 00:24:45157.205.237.22 の port 25 に繋がらないのは何の
問題もないでしょ。
一から勉強し直す必要があると思われ。
0658名無しさん@お腹いっぱい。
2005/09/26(月) 00:25:02出来てないって事なんですかね?
yahoo.co.jp[202.93.91.219]: Connection timed out か No route to host (port 25)って
ずらずら出ますが[202.93.91.218]だったり沢山のアドレスへチャレンジしている
ログが残ります。上位のMTAに繋ぐ設定っての詳しく希望します。
resolv.confは 自分(DNS)、 ルータの内側、ocnのネームサーバー(セカンダリ)
なのですが、優先順でも変えてみると効くかもですか?
0659名無しさん@お腹いっぱい。
2005/09/26(月) 00:27:120660名無しさん@お腹いっぱい。
2005/09/26(月) 00:27:320661名無しさん@お腹いっぱい。
2005/09/26(月) 00:32:06って、そもそもなんでそんなとこ送ろうとしてるんかな。
溜るに決まってるでしょ。
0662名無しさん@お腹いっぱい。
2005/09/26(月) 00:34:13MX とは何かというあたりから勉強し直した方がいい。
敢えてアドバイスするなら、まず mailq コマンドを実行して、
括弧内に表示されている、キューに溜った理由を、ここに張って
みるんだな。てゆうか、>>647 が既に maillog を出せって書いてるか。
トラブル相談するときに「エラーメッセージを、そのまま張る」って
のは基本中の基本だよ。俺達、エスパーじゃないんだからさあ。
0663名無しさん@お腹いっぱい。
2005/09/26(月) 00:38:170664名無しさん@お腹いっぱい。
2005/09/26(月) 00:59:28けど、よそに迷惑をかけると思うし、ログみてるところもあるかもしれない。
テストなら止めた方がいい。
0665名無しさん@お腹いっぱい。
2005/09/26(月) 01:09:38connect to tacr.co.jp[157.205.237.22]: Connection timed out
今は数個の相手先のスプールが溜ってるんですが。
ドメイン名は相手先ごとに4種類。どうもDNS絡みみたいな気がして
るんです。MXを引いて来ないんで困ってる。
DNS絡みか、ネットワーク内が無茶苦茶になってるのか、
なんぞ機器異常なのか。呪われているのか。まったくダメな方が分かり易いですね。
0666名無しさん@お腹いっぱい。
2005/09/26(月) 01:17:25Postfixのみがおかしな名前解決になるの? それともdigしても変なの?
もし後者ならスレ違いだ罠
0667名無しさん@お腹いっぱい。
2005/09/26(月) 01:54:21実は、ここみてやってて、今まではsendmailでごにょごにょやってた
んですが安直に構え過ぎているようでした。
>666樣 そうです。ログ上ではそうなります。digはMX見つけてきます。
どうしてなのか分かりませんが、660樣のおっしゃるdisable_dnsをやめて
649樣の/etc/resolv.confのコピっちゃってるのは、ほったらかしでやったら
ザクザク出ていきました。resolv使おうが自前のDNSだろうが引くのは同じ?
ってな気がするんですが、結果が結果です。何しろダメっていうエラーじゃなくて
トンでもないアドレス引いて来るのでヘコんでましたから。今日は夜明け前に寝られ
そうです。スレ消費すいませんでした。感謝致します。663樣も早く直るといいですね。
0668名無しさん@お腹いっぱい。
2005/09/26(月) 04:30:160669名無しさん@お腹いっぱい。
2005/09/26(月) 11:22:190670名無しさん@お腹いっぱい。
2005/09/26(月) 12:16:41別な方法でもいいんでメールボックスのサイズ制限できないですかね・・・
0671名無しさん@お腹いっぱい。
2005/09/26(月) 12:49:460672名無しさん@お腹いっぱい。
2005/09/26(月) 13:38:090673名無しさん@お腹いっぱい。
2005/09/26(月) 21:15:53複数仮想ドメインのメールサーバと仮想ユーザで構築したいんですが、
Postfix + dovecot で組み立てようと思ってるんですが。
UNIXのユーザを追加設定していく方法はうまくいったんですが。
仮想ユーザの作り方がわかりません。
どうやらvirchal_mailbox_domainsの設定でいけそうなのかな?
皆様の知恵では
1、このままpostfix 2.1+dovecot 0.99でガンガレ
2、ヤメレ
3、Qmail + vpopmail の方が簡単だよ。
4、Sendmailで死んで来い。
195さん移行は出来ました?
0674名無しさん@お腹いっぱい。
2005/09/26(月) 21:33:16つ postfixadmin
0675名無しさん@お腹いっぱい。
2005/09/26(月) 21:45:060676名無しさん@お腹いっぱい。
2005/09/26(月) 23:51:170677名無しさん@お腹いっぱい。
2005/09/27(火) 01:31:320678sage
2005/09/27(火) 03:51:38virtualが…
postfix + postfixadmin でいってみます。
0679名無しさん@お腹いっぱい。
2005/09/28(水) 12:35:34特定のドメインもしくは送信先へのメール送信を規制する設定は可能でしょうか??
0680名無しさん@お腹いっぱい。
2005/09/28(水) 13:04:02だめならFILTER_READMEを読んでフィルタを書いてみるとか。
0681名無しさん@お腹いっぱい。
2005/09/28(水) 13:13:510682名無しさん@お腹いっぱい。
2005/09/28(水) 22:50:260683名無しさん@お腹いっぱい。
2005/09/28(水) 23:59:25postfix/admin/list-admin.php
で、エラーです。
一度は表示されたのですが、
.httacessを有効にしたらエラーです。
無効にしてもかわりません。
DEBUG INFORMATION:
Connect: Access denied for user: 'postfixadmin@localhost' (Using password: YES)
Please check the documentation and website for more information.
Postfix Admin
Knowledge Base
0684名無しさん@お腹いっぱい。
2005/09/29(木) 01:12:21Connect: Access denied for user: 'postfixadmin@localhost' (Using password: YES)
Connect: Access denied for user: 'postfixadmin@localhost' (Using password: YES)
Connect: Access denied for user: 'postfixadmin@localhost' (Using password: YES)
Connect: Access denied for user: 'postfixadmin@localhost' (Using password: YES)
Connect: Access denied for user: 'postfixadmin@localhost' (Using password: YES)
Connect: Access denied for user: 'postfixadmin@localhost' (Using password: YES)
Connect: Access denied for user: 'postfixadmin@localhost' (Using password: YES)
Connect: Access denied for user: 'postfixadmin@localhost' (Using password: YES)
Connect: Access denied for user: 'postfixadmin@localhost' (Using password: YES)
0685名無しさん@お腹いっぱい。
2005/09/29(木) 11:51:52ここをツラツラ読んでるのですが、logの中のanvilからのメッセ-ジで
1/60s 〜 ってのは anvil_rate_time_unit (60s)の事でしょうか?
1/60sってのがよく分からないのですが、60sでなく60sに一回と理解
すればいいのかな? 全然違いますか。
0686名無しさん@お腹いっぱい。
2005/09/29(木) 12:37:55おれには、MySQLのエラーに見えるが、>>673読む限りMySQL使ってる
認識なさそうだから、いったい何のエラーか分からんかもしれんね。
蛇足だが、単にDovecot+PostfixでなんでMySQLなんかがでてくるのかも
おれにはわからん。
0687名無しさん@お腹いっぱい。
2005/09/29(木) 12:59:34postfixadminはMySQLが必須だとおもた
0688名無しさん@お腹いっぱい。
2005/09/30(金) 08:15:22postfixadminの設定ファイルでパスワードを設定してないんじゃないかな
そのログの内容はMySQLにログインできてないだけだし
ちなみにpostfixadminにはMySQLは必須ではない
PostgresSQL対応してる
0689名無しさん@お腹いっぱい。
2005/09/30(金) 09:19:51お手軽に sqlite あたりにも対応してくれんかねぇ。
もちろん postfix の方も sqlite のテーブルを検索できるよう改造する必要ありだけど。
0690名無しさん@お腹いっぱい。
2005/09/30(金) 11:52:26あ、それはありだね。
もしくはDBMとか。
0691名無しさん@お腹いっぱい。
2005/09/30(金) 23:28:15先日からいろいろ試行錯誤しているのですがqmailのようなメアド単位でフォルダが存在して使えるのが最も理想的なのですが・・・。
qmail使えば良いじゃんて話なのですが個人的にpostfixが気に入っているので;
0692名無しさん@お腹いっぱい。
2005/09/30(金) 23:53:420693名無しさん@お腹いっぱい。
2005/10/01(土) 00:58:370694名無しさん@お腹いっぱい。
2005/10/01(土) 01:23:49簡易DB対応もいいと思うけど
RDBMSぐらい5分ぐらいでインスコできるんだから
既に手軽な領域だと思うけどね
>>691
qmailのようなメアド単位のフォルダが存在する
保存形式の名前を調べて
それをposfixのドキュメント内で調べろ!
それで無理なら
>>693がいうようにqmail使えばいいと思うよ
0695名無しさん@お腹いっぱい。
2005/10/01(土) 04:57:29インストールはいいんだけど、メンテが面倒なんだよねぇ。サーバひとつ増えちゃうわけだし。
0696名無しさん@お腹いっぱい。
2005/10/01(土) 12:51:59メンテ面倒ってどんなメンテする気?
サーバ1つ増えるってハードを増やすってこと?
なぜ???
0697691
2005/10/01(土) 12:58:20素直にメール専用の鯖立ててqmail入れようと思います。
postfixは個人的に重宝してますので今の鯖はpostfixで行くことにします。
ところで試行錯誤してる時にvpopmailなるMTAを見つけたのですがこれがpostfixでも利用可能と書かれていたようなのですが
実際にpostfix環境でvpopmailを入れられた方いらっしゃいますでしょうか。
0698名無しさん@お腹いっぱい。
2005/10/01(土) 13:13:150699名無しさん@お腹いっぱい。
2005/10/01(土) 13:19:57起動・停止の順番の関連付けとか、プロセスのモニタリングとか、リソースの割当とか。
0700695
2005/10/01(土) 14:50:48> サーバ1つ増えるってハードを増やすってこと?
>>698
> サーバプロセスでしょ。デーモン。
です。書いてから誤解受けるかもと思ったけど放置してた。すまぬ。現行では
ssh/smtp/imap/http でこいつらはきちんとわかったうえでメンテしてるので、
あんまり詳しくない db 系増やすのって結構敷居がね。セキュリティとかバー
ジョンアップとか考えると。外向き閉じとけばセキュリティは問題ないのかも
しれないけれども。
0701名無しさん@お腹いっぱい。
2005/10/01(土) 15:45:00熟読って言うほどの労力でもないよねぇ。
むしろ、日本語が理解できるか? とか
学習能力があるか? とかの人的素養の問題だな。
0702名無しさん@お腹いっぱい。
2005/10/01(土) 17:02:25vpopmailがMTAって何の冗談だ? それはさておき、postfixで
POP/IMAPサーバとも連携させた認証システムによるvirtual domainを使いたければ、
postfixadmin使え。
>>700
認証系にMySQL使うものは結構多くなっているので、勉強しても無駄にはならんぞ。
0703名無しさん@お腹いっぱい。
2005/10/04(火) 09:06:440704名無しさん@お腹いっぱい。
2005/10/04(火) 17:19:22vpopmailは認証だけ。配送はqmailまかせ。
んで、vpopmailをpostfixで使うという話は2〜3年前ちょっと流行ったけど、
vpopmail側のpostfix対応のやる気のなさ、courier imapdがvpopmailに嫌気がさし
複数の認証モジュールに本格的に対応し、postfix単体でもどうにでもなるように
なったことから、いまやvpopmailのpostfix対応なんて忘却の彼方へ。
vpopmail + qmailadminではwebインターフェースをつかってezmlmをつかった
ML管理ができるってことがアドバンテージになっている程度で、普通のユーザ
管理ならpostfixadminで可能だし。
0705名無しさん@お腹いっぱい。
2005/10/07(金) 23:44:21へー、最近鯖構築始めて、バーチャルドメイン環境で
vpopmail使うつもりだったからすごくためになった。
じゃあMDAにはどんなのがお勧めでしょう?
courier imapdってのは名前のとおりpopではなくIMAPオンリーですよね?
あと別質問なんですが、
バーチャルドメイン環境で
virtual_mailbox_maps = hash:/etc/postfix/vmailbox
の vmailbox内でincludeとか使えないかしら。
メールアドレス全部をこのファイルにひとつに含めるのは管理上
ちょっといやなのですが。
教えて君ですまそ。
0706名無しさん@お腹いっぱい。
2005/10/08(土) 00:10:22courier-imap は pop3d, pop3d-ssl, imapd, imapd-ssl の4つの
デーモンが入ってるから、それだけで POP3 も受けられるよ。
0707名無しさん@お腹いっぱい。
2005/10/08(土) 01:24:57MDA じゃなくて MRA じゃね?
0708名無しさん@お腹いっぱい。
2005/10/08(土) 02:20:160709名無しさん@お腹いっぱい。
2005/10/08(土) 05:31:05Postfix 2.2.4 + ClamSMTP 1.4.1 +ClamAVでウイルススキャンかけるために
main.cf
content_filter = scan:127.0.0.1:10025
receive_override_options = no_address_mappings
master.cf
scan unix - - n - 16 smtp
-o smtp_send_xforward_command=yes
127.0.0.1:10026 inet n - n - 16 smtpd
-o content_filter=
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
-o smtpd_helo_restrictions=
-o smtpd_client_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks_style=host
-o smtpd_authorized_xforward_hosts=127.0.0.0/8
と設定しているんだけど、
0710名無しさん@お腹いっぱい。
2005/10/08(土) 05:32:28Received: from myhost.example.com (localhost [127.0.0.1])
by myhost.example.com (Postfix) with ESMTP id 9FDBAE23FE
for <foo@example.com>; Sat, 8 Oct 2005 05:00:18 +0900 (JST)
Received: from spam-sender (spam-sender.example.com [xx.xx.xx.xx])
by myhost.example.com (Postfix) with ESMTP id 44184E23F9
for <foo@example.com>; Sat, 8 Oct 2005 05:00:15 +0900 (JST)
っていう具合に一番上のところにlocalhostを通したよっていうのがくっつくせいか、
spamassassin 3.0.4でRBLの判定をしてもらえず、異様にspamを通すようになって
しまった。
spamassassinではなくPostfixがSMTPの段階でRBLをひくようにすればいいという考えもあるだろうけど、
このSMTPサーバはML serverもやっているんで、MLの参加者がRBLに引っかかってMLにメールを出せない
というのは避けたい。
ってことで、content_filterを通してもReceived: ヘッダに出ないように設定したいんだけど、
マニュアル読んでも方法がわからん…。FILTER READMEにこの辺のことが書いてあったら
うれしいのになぁ。
0711名無しさん@お腹いっぱい。
2005/10/08(土) 05:48:12あと、POP/IMAPともTLSにも対応していますな。これでIMAPでの多言語の検索も
きちんとサポートしていれば無敵なんだけどな…
0712名無しさん@お腹いっぱい。
2005/10/08(土) 08:06:29trusted_networksとかinternal_networksとか書くんじゃないか
0713名無しさん@お腹いっぱい。
2005/10/08(土) 15:18:32/etc/postfix/header_checksで
/^received: from myhost.example.com (localhost [127.0.0.1]) by myhost.example.com/ IGNORE
すればヘッダーは消えるよ。
#とアドホックな解決法のみ示して、根本的解決は教えないでおく。
0714名無しさん@お腹いっぱい。
2005/10/08(土) 17:25:360715名無しさん@お腹いっぱい。
2005/10/08(土) 17:49:07可能。つかドキュメントに書いてあると思うが。
0716名無しさん@お腹いっぱい。
2005/10/08(土) 19:10:26spamassassinの設定ですね。internal_networkやtrusted_networkにlocalhostや
自身の足のアドレスを書いたのですが、結果は芳しくありませんでした。
>>713
ad-hocな解決法でもうれしいです…。けど、根本的な解決方法ってなんなのですか?
0717名無しさん@お腹いっぱい。
2005/10/08(土) 19:49:580718691
2005/10/09(日) 01:40:08あれからご伝授頂いたpostfixadminというワードを参考になんとか構築しました。
現在postfix2.5.1にphp5とMySQLでpostfixadminが動いています。
ただ、何故かメアド追加する時に 追加ボタンクリックするとかなり待たされて作成されましたと表示されます。
でも何故か実際には作成されてないようです(´・ω・`)
(/usr/local/virtual/以下に何も追加されません)
踏んだ手順は
最初にpostfixadmin用にグループとユーザーを追加。
それからMySQLのユーザー情報を参照するようにmain.cfへ追加です。
ちなみに参考にしたサイトが全部FreeBSDやらCentOSだったりと私の使ってるRedhat系はありませんでした。
そのせいかもしかすると不具合があるのは私のとった手順が間違っているのでしょうか(^_^;)
FedoraCoreシリーズでpostfixadmin環境を実現された方いらっしゃいましたら宜しければヒントお願いします。
0719名無しさん@お腹いっぱい。
2005/10/09(日) 02:56:44無論ローカルアドレスなreceivedヘッダも消すようにするとよいのはいうまでもない。
0720名無しさん@お腹いっぱい。
2005/10/09(日) 03:26:300721名無しさん@お腹いっぱい。
2005/10/09(日) 03:34:280722名無しさん@お腹いっぱい。
2005/10/09(日) 03:36:39検索キーワードだけでも教えてください
0723名無しさん@お腹いっぱい。
2005/10/09(日) 03:42:54あれ見て理解できなければ、Postfix使うのやめといたほうが。
0724名無しさん@お腹いっぱい。
2005/10/09(日) 03:50:05もっとステップバイステップで解説してあると良いのですが。
0725名無しさん@お腹いっぱい。
2005/10/09(日) 06:10:060726名無しさん@お腹いっぱい。
2005/10/09(日) 11:17:17それを丁寧に日本語訳してくれてるkobitosan.netが調べ物には一番。
情報大杉でどこから読めばいいかわからないというのは、
たぶんメールの仕組みもきちんとわかってないせいもあるかもしれないから、
「Postfix詳解」とか、本をきちんと読むのがいいと思う。
もともと本には構成というものがあって、ステップバイステップで書いてあるからね。
0727名無しさん@お腹いっぱい。
2005/10/09(日) 11:22:05たしかに新しくなってからはどれから読んでいいかわかりにくくなった気がする。
まず、General configurationのBasic configurationを読む。
設定例としてはStandard configuration examplesを参考にする。
基本的な設定はこれで全部できてしまうけれど、
応用的なことをしたかったらやりたいことに応じて他のも読む。
もれが初めてPostfixを触ったときはこんなやつの原文を読んだなぁ。
http://www.kobitosan.net/postfix/trans-2.0/jhtml/basic.html
これの内容は2.0.x用なので最近のPostfixに対してはちと古いけど。
でも、1.x系列からの変化に比べたらましか。RBLまわりとか変わった気がする。
0728名無しさん@お腹いっぱい。
2005/10/09(日) 11:43:000729名無しさん@お腹いっぱい。
2005/10/09(日) 18:34:44UNIXシステムアカウントのメールボックスとバーチャルメールボックスの両方を使いたいのですが、
dovecot.confで
auth_passdb = pam
auth_passdb = passwd-file /etc/dovecot-passwd
この両方を同時に有効にするにはどうしたらよいのでしょうか?
0730名無しさん@お腹いっぱい。
2005/10/10(月) 00:12:03ってことで、SpamAssassinを3.1.0に上げたら、今までとは設定を一切
いじらなくても、きちんとRBLチェックするようになってくれました。Thanks。
0731名無しさん@お腹いっぱい。
2005/10/11(火) 16:19:07ここにある、アクセス制御項目でどれをYesにしてどれをNoにするのがよいのでしょうか?
できるだけ、スパムを排除したいのですが、あまり厳しくしすぎて、大手のプロバイダーから
のメールも拒否するようになっても困ります。
0732名無しさん@お腹いっぱい。
2005/10/11(火) 16:42:280733名無しさん@お腹いっぱい。
2005/10/11(火) 16:43:31SMTP接続時のRBLに頼るとそういうことが起こりがちだよなぁ。
なので、一度受け取ってからSpamAssassinのようなRBLも引くコンテンツフィルタも
併用するようにしたほうが便利。メールの量やマシン負荷は当然ながら激増するけど。
0734名無しさん@お腹いっぱい。
2005/10/11(火) 18:37:25つ warn_if_reject
漏れが管理しているところ。
一日あたり2500回のsmtpコネクション、4000通を拒絶して、正規なメール100通前後を受信。
正規のメール送信者はワールドワイド。
以前はウェブに連絡用メールアドレスをいくつも載せていたので、スパムとおぼしき接続が多い。
smtpd_recipient_restrictions =
permit_mynetworks
check_client_access hash:/var/lib/pop-before-smtp/hosts
reject_unauth_destination
check_recipient_access hash:/etc/postfix/recipient_access
check_helo_access regexp:/etc/postfix/helo_access
reject_invalid_hostname
reject_non_fqdn_hostname
reject_non_fqdn_sender
check_sender_access hash:/etc/postfix/sender_access
reject_unknown_sender_domain
reject_rbl_client relays.ordb.org
reject_rbl_client bl.spamcop.net
0735名無しさん@お腹いっぱい。
2005/10/11(火) 18:46:06暇な椰子は協力よろすく。
ttp://www.postfix.org/smtpd.8.html のTARPIT CONTROLS参照汁。
smtpd_error_sleep_time = 20
smtpd_soft_error_limit = 2
smtpd_hard_error_limit = 15
0736名無しさん@お腹いっぱい。
2005/10/12(水) 08:57:55偉いですね。
プロセスはそんなに爆発しない?
0737名無しさん@お腹いっぱい。
2005/10/12(水) 11:10:09受けるだけでプロセス爆発すんの?
0738736
2005/10/12(水) 15:01:21ゆっくり返答させると、それだけ一つのスパム処理にかかる時間増えるんで
待たせる時間よりもスパムがくる時間が短いと、どんどんプロセスが溜まって
いくんじゃないかと。
0739名無しさん@お腹いっぱい。
2005/10/12(水) 16:04:030740名無しさん@お腹いっぱい。
2005/10/12(水) 16:15:16hard limitを超えると普通に捨てる。
ってことでつか?
0741名無しさん@お腹いっぱい。
2005/10/12(水) 16:36:42http://www.jca.apc.org/~nezumi/techdoc/Spam-Filtering-for-MX.ja/html/smtpdelays.html
http://www.jca.apc.org/~nezumi/techdoc/Spam-Filtering-for-MX.ja/html/exim-smtpdelays.html
UNIX Mag. 2005/9 p134 なんかも。
0742734
2005/10/13(木) 02:01:23爆発はしない w
数秒間で20本以上つなぎにくるスパマーもいるけれど、こういう馬鹿は
返答をじらしてると短時間で諦めて接続切るから、smtpdはすぐ解放される。
master.cfでsmtpdも最大30に絞っているけれど、
待機しているsmtpdが枯渇することは稀だと思っている。
小さいサイトだからこそ20秒も足止めさせられるとも言えるな。
逆に言えば、ゆっくりしていってもらう馬鹿共も少ないから、
自己満足と言えば自己満足。
でも暇なpostmasterな椰子はちょっと協力してくれるとイイ!! AA(ry。
募金と一緒で、みんなが少しずつやれば効果もあると思われる。
スパムが減るだけでなく、トラフィックを減らせる。
0743734
2005/10/13(木) 02:08:49エラーがsmtpd_soft_error_limit回数超過すると、
相手へ返答するまでsmtpd_error_sleep_time秒数だけ寝る。
smtpd_hard_error_limit回数超過すると、
too many errors after RCPT from bakayaro.example.com [000.000.000.000] 吊って死ね!!
とこちらから接続を切る。
postfix 2.1.5だとsmtpd_soft_error_limitで指定した回数+1回のエラーで、
smtpd_error_sleep_timeの処理が始まるみたい。
>>735だと、三回目以降のエラーで、20秒足止め開始。
20秒とは言わんので、3秒でも5秒でもよかったら真似汁。(デフォは1秒)
# smtpd_hard_error_limitは少なくしすぎると良くないとどっかに書いてあったが、
# 根拠を忘れた。デフォは20。
0744名無しさん@お腹いっぱい。
2005/10/13(木) 07:32:12たとえばキューにいっぱいメールが入ってメールスプールに
落とすのすら追いついていない状態でもperiodic(daily)の
レポートメールだけ最優先で送り出す、みたいなことです。
0745名無しさん@お腹いっぱい。
2005/10/13(木) 10:32:32* MDA の所で細工をする(postfix が溢れている場合は意味がない?)
0746名無しさん@お腹いっぱい。
2005/10/13(木) 10:42:48>落とすのすら追いついていない状態
それって悠長に定時報告メールなんか読んでる状況じゃないと思うんだけど、
それはそれとして、対象のメールがわかってるなら
はじめから別プロセスで送ればいいでないの?
sendmail は cf をいじっておけばデーモンを常時動かしておく必要ないし、
periodic の出力にてきとーにヘッダを付加して、MTA を介さず
直接 procmail あたりに食わせるようなスクリプトを書いてもいいし。
0747736
2005/10/13(木) 11:16:10>>742
おお、接続回数見落としてました。なるほど。
待ち行列の話と同じで、ある閾値越えたら一気にプロセスが溜り出すんじゃないかと
少し不安に思ったもんだから。
やるなら、ふだんからどのくらいスパムがきてるか、データを持っておかないとマズイね。
あと、返答遅いと勝手に帰ってくれるんだ。
やつらも最適化してるからそこを逆手に取る、という感じになるのね。あたまイイ!
error_limit系の話も参考になりました。ありがとう。
0748736
2005/10/13(木) 17:26:28嫌がらせ用途というよりも、待たせてあきらめさせる効果が大きいのね。
そっちのほうがgreylistingよりも安全な感じで良いですね。
TARPIT CONTROLSは、クライアントのSMTPエラーがあったとき使われる
ということだけど、このエラーってどういう事でしょう?
サーバから返答来る前にクライアントがしゃべるとか、そういうのがトリガーでしょうか。
例えば、接続元のIPとかで選択的にゆっくり返答させる、とかって出来ないのかな。
0749名無しさん@お腹いっぱい。
2005/10/13(木) 19:54:58存在しないユーザに送ろうとしたときとか。
辞書攻撃とか食らったときに、エラーのたびに遅延を入れて、
これが一定以上になったら切断してやる、というのが>>735。
>サーバから返答来る前にクライアントがしゃべるとか、そういうのがトリガーでしょうか。
EHLO で PIPELINING を確認しないうちにそれをやっちゃうのは
明白な RFC 違反なので遅延させずに拒否しちゃって問題なし。
reject_unauth_pipelining でどうぞ。
>例えば、接続元のIPとかで選択的にゆっくり返答させる、とかって出来ないのかな。
現時点で正式リリースされてるものでは使えないけど、
2.3 からは check_client_access のテーブルに
OK だの REJECT だのを書くかわりに sleep 10 とか書いてやれば、
マッチしたクライアントに対してのみ10秒待ってから応答する。
デフォルトでは RCPT TO の後にだけ遅延が入るが、
smtpd_delay_reject = no としておけば、
smtpd_XXX_restrictions のどれに書くかによって
遅延が入るタイミングが変わる。
0750736
2005/10/14(金) 10:35:24すっごく参考になりました。ありがとう。
reject_unauth_pipeliningは悪影響少なそうだと思うので早速導入します。
2.3からはSLEEP 10みたいな書式が使えるのね。
ポリシーサービス使ってやるしかないのかな、と思ってました。
また質問で申し訳ないけど、エラー起こすクライアントの特定は
同一セッション中だけ?それとも同一IP?
マニュアル見ると、同一セッション中のみっぽく感じたんですが。
いちいちセッション切って送ってくるやつもいるから、
一定時間内で同一IPからなら遅く対応、とか出来たら良いのだけど。
0751734
2005/10/15(土) 02:12:13>エラー起こすクライアントの<<<特定>>>...
特定とは?。
マニュアルを読むのはすごく大事だし、
自分も良く読む方だけれど、読んでも分からんことは、
main.cf変えてからログ眺めていたらいいんジャマイカな。
>>749
2.3の新機能紹介参考になりますた。ありがと。
0752736
2005/10/15(土) 12:33:04エラーを起こしたと認定されたクライアントが一度セッション切って
次に連続的に同じIPから接続があったとき、最初から同じクライアントとして
始めから遅延入れるとか、拒否するとか出来るのかな、と聞きたかったんです。
でもよく考えたら、そのクライアントは毎回同じ手順で接続してくるわけで
毎回エラーを起こすはずだから、セッション中だけで問題ないんだと思いました。
なので、先の質問は流してもらっていいです。すみません。
■ このスレッドは過去ログ倉庫に格納されています