トップページunix
1001コメント324KB

Postfix(4)

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。05/03/15 10:30:15
Postfixスレッド その4です。

●リンク
 本家
 http://www.postfix.org/

 Postfix のぺーじ (ドキュメントの日本語訳、MLなど)
 http://www.kobitosan.net/postfix/

過去スレ、関連スレなどは>>2-4あたり
07507362005/10/14(金) 10:35:24
>>749
すっごく参考になりました。ありがとう。
reject_unauth_pipeliningは悪影響少なそうだと思うので早速導入します。
2.3からはSLEEP 10みたいな書式が使えるのね。
ポリシーサービス使ってやるしかないのかな、と思ってました。

また質問で申し訳ないけど、エラー起こすクライアントの特定は
同一セッション中だけ?それとも同一IP?
マニュアル見ると、同一セッション中のみっぽく感じたんですが。
いちいちセッション切って送ってくるやつもいるから、
一定時間内で同一IPからなら遅く対応、とか出来たら良いのだけど。
07517342005/10/15(土) 02:12:13
>>750
>エラー起こすクライアントの<<<特定>>>...

特定とは?。

マニュアルを読むのはすごく大事だし、
自分も良く読む方だけれど、読んでも分からんことは、
main.cf変えてからログ眺めていたらいいんジャマイカな。

>>749
2.3の新機能紹介参考になりますた。ありがと。
07527362005/10/15(土) 12:33:04
>>751
エラーを起こしたと認定されたクライアントが一度セッション切って
次に連続的に同じIPから接続があったとき、最初から同じクライアントとして
始めから遅延入れるとか、拒否するとか出来るのかな、と聞きたかったんです。

でもよく考えたら、そのクライアントは毎回同じ手順で接続してくるわけで
毎回エラーを起こすはずだから、セッション中だけで問題ないんだと思いました。
なので、先の質問は流してもらっていいです。すみません。
07537362005/10/15(土) 13:18:20
ところで、731あたりの話に戻りますが、ある程度大規模なメールサーバ、
例えば従業員1000人以上の会社だとか、小規模プロバイダだとかのレベルで、
現時点で導入しても許される制限って、どのへんでしょうか。

例えば以前、biglobeだかでFromにあるアドレスがDNSに登録無い場合
拒否するという設定にして、でも影響が大きくてすぐにやめたことがあったと思います。
これは reject_unknown_sender_domain にあたると思うのですが、
今でもこのへんは厳しいと思いますか?

reject_unauth_pipelining
reject_non_fqdn_recipient
あたりは問題ないかと思うのですが。

smtpd_error_sleep_time = 20
あたりもいけるでしょうか?
0754名無しさん@お腹いっぱい。2005/10/15(土) 14:44:55
OCN は reject_unknown_sender_domain やってる
0755名無しさん@お腹いっぱい。2005/10/15(土) 16:18:35
>>753
それってreject_unknown_clientのほうじゃなかったっけ?
逆引きできなかったら拒否。
0756名無しさん@お腹いっぱい。2005/10/15(土) 16:53:04
こんな感じ
% telnet mx.orion.ocn.ne.jp smtp
Trying 222.146.51.154...
Connected to mx.orion.ocn.ne.jp.
Escape character is '^]'.
220 mx.orion.ocn.ne.jp ESMTP Postfix
ehlo example.jp
250-mx.orion.ocn.ne.jp
250-PIPELINING
250-SIZE 104857600
250-ETRN
250 8BITMIME
mail from:<nobody@example.jp>
554 <nobody@example.jp>: Sender address rejected: Domain not found
quit
221 Bye
Connection closed by foreign host.
0757名無しさん@お腹いっぱい。2005/10/15(土) 16:53:20
reject_unknown_clientは設定がタコなSMTPサーバーって多いから困る。
老舗の某インターネット本屋はこれ設定したら確認のメール来なくなるからね。(藁
また、個人的にメールサービスやってるところでここら辺の設定が抜けてたりするから困る。
でも、ドメイン名を利用したreject_client_accessを有意義なものにするには
これを設定せざるを得ないよね。
0758名無しさん@お腹いっぱい。2005/10/15(土) 17:34:45
reject_unknown_clientで拒否は現時点ではちょっと厳しすぎだと思う。
中韓のサーバだとほとんどはじかれちゃうし、日本でも結構ダメなところあるし。
reject_unknown_sender_domainは、ユーザーのメーラー設定ミスだろうからいいんじゃない?
0759名無しさん@お腹いっぱい。2005/10/15(土) 22:06:03
spam 制限ならばこのスレよりも Internet Mail System 総合スレに移った方が。

ちなみに reject_unknown_client は以前 hi-ho が実施しだが、
被害が大きすぎて(?)すぐに撤回した。
0760名無しさん@お腹いっぱい。2005/10/15(土) 22:20:35
あー、あの半可通丸出しな設定やめたんだ > はいほー
そりゃそうだよな。

たまたま、情報処理技術者試験の過去問を眺めてたけど
メール関連は出題ミスの嵐というか酷いもんだねぇ。
07617342005/10/15(土) 23:00:00
話が有意義ながらも違った方向に進みつつあるので、ちょっと修正。
>>753
>FromにあるアドレスがDNSに登録無い場合...
>これは reject_unknown_sender_domain にあたると思うのですが、

はい、reject_unknown_sender_domainですね。
確かオライリーのpostfix本でも設定推奨だったと思います。

ちなみにreject_unknown_clientは漏れみたいに小さいところでも、
設定不良サイト大杉で絶対に実施できません。

最後に訂正がてら具体的な数字を。
>>734はシェルのコマンド履歴を見ると直近二日間の数字みたいなので、
過去49日間で一日あたりの平均値を集計し直し。
漏れの管理しているうちの一番忙しく、かつ厳しい態度のホスト。
>>753でリクエストしている「大きなサイト」じゃないけどね。

適当に数字丸めているので内訳合計はreject回数を超えてる。
smtpコネクション 2700回
reject 3100回
 'User unknown'で 2000回
 'Helo command rejected'で 530回
 'Sender address rejected'で 150回
 spamcopに登録で 410回
 ordbに登録で 2回
 不正なサードパーティーリレー試行 20回
受信メール 110通 (spamassassinのログ出力を見ると多分三四割はスパムの悪寒)

自ドメイン名や裸の自smtpホストのIPアドレスをHELOで送ってくる馬鹿は
殺してます。17%もあるんだな。バルクメーラー利用者逝ってよし。
0762名無しさん@お腹いっぱい。2005/10/16(日) 01:27:29
>>760
何でも知ってるネ申ハケーン!
0763名無しさん@お腹いっぱい。2005/10/16(日) 01:50:27
hi-hoがあまりにも時期尚早にOutbound Port25 Blockingをやったのを批判されたときも、
762みたいなのが湧いて出てきたな。
0764名無しさん@お腹いっぱい。2005/10/16(日) 02:02:40
社民党が憲法の議論の入口をつくることにすらとにかく反対するのと一緒。
こういうのは無視しておけばいい。
0765名無しさん@お腹いっぱい。2005/10/16(日) 11:28:19
「なんでOpen Relayだといけないの?」論争を思い出すな。
0766名無しさん@お腹いっぱい。2005/10/16(日) 22:14:13
よーく検討して問題点を洗い出して
問題が起って困る人が対策をとれるようにしたうえで
適切な処置を行うのならいいが...

プロバイダの公共サーバーがこっそり勝手に "親切な設定" をするのはイクナイ。

その辺を超越した不毛メタ議論が多すぎ。
0767名無しさん@お腹いっぱい。2005/10/17(月) 05:09:27
ユーザにかまってたら何もできないからな。
0768名無しさん@お腹いっぱい。2005/10/17(月) 05:34:00
767=粘着荒らし
0769名無しさん@お腹いっぱい。2005/10/17(月) 05:41:18
hi-hoだったかplalaだったかの一件は周知期間がちと短かったが、
方向性は間違っていないと思う。
0770名無しさん@お腹いっぱい。2005/10/17(月) 08:33:35
rough consensus が必要(IETF 流)

一人ないし極少数が信じる _正しい道_ は無意味・有害

一人のアプリケーションではなく相互の
コミュニケーション手段の話なんだということをお忘れなく

# そろそろ総合スレに移る?
07717362005/10/17(月) 10:35:40
>>759 >>770
Internet Mail総合スレって復活してたんだ。反対意見なければそっちに振ってみます。

>>759
すみません。勘違いしてました。
reject_unknown_clientにしてすぐにやめたhi-hoの件と、ごっちゃにしてました。
Biglobeのreject_unknown_sender_domainの制限は継続ですね。

>>766
どこまで「親切な設定」が許されるかを知りたいということです。
単純にRFCにしたがってるだけでOK、とはいかないでしょう。
結局、その時点その時点での時代の空気みたいなのがあると思うのですが、
そういうのを読み損ねてhi-hoのreject_unknow_clientの件みたいなことが
起ったのではないでしょうか。
今だとここまではいいんじゃね?というラインをみんなに出してもらえると
UNIX板的にはここまではOKっぽいという空気が読める、作られるのを期待してます。
07727362005/10/17(月) 10:56:17
ちなみに自分が可と思う制限
smtpd_helo_required = yes
reject_non_fqdn_sender
reject_unknown_sender_domain
reject_non_fqdn_recipient
reject_invalid_hostname
reject_non_fqdn_hostname
reject_unauth_pipelining

>>735 について現在検討中
rbl系は不可

07737362005/10/17(月) 10:59:54
あと、check_sender_ns_accessで、
http://pc7.2ch.net/test/read.cgi/antispam/1115305324/787
のネームサーバを拒否するのも許して欲しいところ。
0774名無しさん@お腹いっぱい。2005/10/17(月) 12:08:56
あと、これらで基準は全然違うよね。

1. 個人・SOHOのサーバ
2. 中〜大企業のサーバ
3. プロバイダのサーバ

1. で許されることでも 2.,3. で許されないっていうのは
いくらでもある。
0775名無しさん@お腹いっぱい。2005/10/17(月) 13:12:55
>>774
だから
> 例えば従業員1000人以上の会社だとか、小規模プロバイダだとかのレベルで、
と書いてあんじゃね?

まあ、そういう感じで何段階かレベルわけして書いてあればより参考になるな。
0776名無しさん@お腹いっぱい。2005/10/18(火) 19:46:55
自分でいくら調べてもわからなくてきてしまいました。
postmapが動いてくれません・・・

[root@www postfix]# /usr/sbin/postmap virtual
-bash: /usr/sbin/postmap: Permission denied
[root@www postfix]#

OSはFedoraCore4です。
0777名無しさん@お腹いっぱい。2005/10/18(火) 20:37:51
パーミッションってメッセージに出てるんだから
実行権限ふればいいんじゃないか?
0778名無しさん@お腹いっぱい。2005/10/18(火) 20:57:39
つーかなんで/usr/sbin/postmapに実行権限がなくなってるんだよ。
rpm -V postfix
してみな?
0779名無しさん@お腹いっぱい。2005/10/18(火) 21:51:39
>>777オメ

-rwxr-xr-x 1 root root 88016 Apr 21 00:31 postlog
-rwxr-xr-x 1 root root 162992 Apr 21 00:31 postmap
-rwxr-sr-x 1 root postdrop 138360 Apr 21 00:31 postqueue

なんです。

>>778
[root@www sbin]# rpm -V postfix
.M....... /etc/postfix/TLS_LICENSE
S.5....T. c /etc/postfix/main.cf
.......T. c /etc/postfix/transport
S.5....T. c /etc/postfix/virtual
S.5....T. c /usr/lib/sasl2/smtpd.conf
[root@www sbin]#

SMTP authとかもちゃんと動いてるんですけどね
なんでpostmap「だけ」動かないんだか・・・
0780名無しさん@お腹いっぱい。2005/10/18(火) 22:24:29
バーチャル環境構築してるんですが、
メールアカウント毎にフィルタリングとかclamAVとか設定するのって
どんな感じにすればいいでしょうか?
0781名無しさん@お腹いっぱい。2005/10/18(火) 22:28:56
>>780
つ コンサルt(ry
0782名無しさん@お腹いっぱい。2005/10/18(火) 22:36:58
>>779
じゃSELinuxだ。targetedポリシーにPostfix周りで修正が入ってる。
0783名無しさん@お腹いっぱい。2005/10/19(水) 01:42:19
>>776
質問するときにそれぐらいの情報
先に出しとけよ
0784名無しさん@お腹いっぱい。2005/10/19(水) 09:04:35
>>776
最近、後輩のFedora Core 4入れているやつもそういう症状ではまってたなぁ。
無駄にSELinuxがonになってるんでしょ。

つうか、Fedoraのような先進的なですとりで鯖を構築するなんて
正気の沙汰とは思えない。

>>780
個人にそういうのするならmaildropとかprocmailとかに流して、
その中でフィルタリングルールを書くんだね。
07857762005/10/19(水) 09:42:42
>>782
ドンピシャですた。
SELINUX=disable
で一発解決。

>>783
>>779のこと?

>>784
自分で立てた鯖じゃないので勝手がわかりません。
これを機にいろいろ勉強します。
07867762005/10/19(水) 11:07:02
>>782
http://www.redhat.com/archives/fedora-announce-list/2005-October/msg00009.html

これのことだったのですね。
0787名無しさん@お腹いっぱい。2005/10/23(日) 04:11:28
mbox形式をMaildir形式に変換したいのですか、そのようなプログラムはありませんか?
0788名無しさん@お腹いっぱい。2005/10/23(日) 04:24:22
perlか何かで書けばいいんデナイノ?
0789名無しさん@お腹いっぱい。2005/10/23(日) 07:21:36
バーチャルメールボックスでsmtp認証を行う際のパスワードはどこで設定するのでしょうか?
0790名無しさん@お腹いっぱい。2005/10/23(日) 11:55:45
mbox2maildir でぐぐれ
0791名無しさん@お腹いっぱい。2005/10/23(日) 16:22:09
>>787
一度メーラーで全てのメールを受信
それをIMAPに移せば、ほ〜らMaildir形式
0792名無しさん@お腹いっぱい。2005/10/24(月) 15:41:46
AMaViSとアンチウィルス
http://www.f-secure.co.jp/products/antivirus_linux_server/
でウィルスメールに対応するのと
ゲートウェイ方のアンチウィルス
http://www.f-secure.co.jp/products/linux_gw/
で対応するのって結局同じ仕組みって考えてよろし?
0793名無しさん@お腹いっぱい。2005/10/25(火) 08:01:08
>>792
fork+execのために実行速度に差が出る以外に違いはなさそうだね。
スピードを得るためにマシンパワーを増強して本末転倒になるかもしれんし...
そういう微妙なコストを削りたい貧者にはclamsmtpd+ClamAVがお勧め。
0794名無しさん@お腹いっぱい。2005/10/25(火) 22:36:37
postfix は設定も簡単だし、
MUA から mail を外に送り出すための手段として
ヘタな SMTP クライアントを使うくらいなら
そのためだけに postfix をいれるのも悪くない。

と今まで本気で思っていた…

しかし 世の中にはトンデモなことをしようとする奴がいるんだと
ML を見ていて思い知らされました。
0795名無しさん@お腹いっぱい。2005/10/26(水) 11:21:35
ワクワク期待age
0796名無しさん@お腹いっぱい。2005/10/26(水) 13:20:24
スパム対策に協力したいのですが、ドメイン認証を組み込むことは出来ますか?
0797名無しさん@お腹いっぱい。2005/10/26(水) 23:53:20
>>796
SPF -> http://www.ipnet6.org/postfix/spf/ このへん
Domainkey -> http://jason.long.name/dkfilter/ かな?

postfix-2.1.5-3.sasl1.ipv6.spf.tls.fc1 ってのを使っていてSPFは
うまくいってる(でも導入しているサイトがまだ少ない)。
Domainkeyは試したことないので、人柱レポート希望。
0798名無しさん@お腹いっぱい。2005/10/27(木) 22:18:39
どまいんきーは次期バージョンあたりでサポートする
0799名無しさん@お腹いっぱい。2005/10/28(金) 02:10:12
つまり、2.3系列?
developpers releaseだと入ってたりしますか?
0800名無しさん@お腹いっぱい。2005/10/28(金) 11:59:32
>I intend to implement DKIM support by the time of Postfix 2.3.
という発言がこの前本家 ML に流れた。
でも、8月時点では No design exists とかいってたから
実際に使えるものが出てくるのは当分先でしょ。

http://archives.neohapsis.com/archives/postfix/2005-10/0391.html
http://archives.neohapsis.com/archives/postfix/2005-08/1639.html
0801名無しさん@お腹いっぱい。2005/10/29(土) 00:21:49
VineLinux3.2, postfix-2.0.20-0vl5.1
以下のページを参考に、特定のIPアドレスからのメールを拒否する設定をしています。
で、サブネットマスクの書き方がわかりません。
http://www.itmedia.co.jp/help/tips/linux/l0327.html


(以下の192.168.*.*はすべて実在のグローバルIPと読み替えてください)
reject_listのファイルで
192.168 REJECT
と書けば192.168.10.10からのメールを拒否できるんですが、(reject: RCPT from hogehoge 554)
192.168.0.0/16 REJECT

192.168.0.0/255.255.0.0 REJECT
と書くと192.168.10.10からのメールを拒否できず受信してしまいます。

サブネットマスクが/16や/24なら別に困らないんですが、
もうちょっと細かくサブネット指定したい場合、どう書けばいいのか教えてもらえないでしょうか。
0802名無しさん@お腹いっぱい。2005/10/29(土) 00:42:39
see access(5)
08038012005/10/29(土) 01:03:35
>>802
jman 5 accessを見ました。
http://www.kobitosan.net/postfix/trans-2.2/jhtml/access.5.html

結論としては、サブネットマスク分割による指定はできないってことなんですね。
がんばってすべてを列挙することにします。
0804名無しさん@お腹いっぱい。2005/10/29(土) 02:10:59
cidr_table(5)
08058012005/10/29(土) 02:43:00
(´・ω・`)
"postmap: fatal: unsupported map type: cidr"
cidrは2.1からのサポート、VineLinux3.2ではまだ2.0.20で使えないようです。
http://www.kobitosan.net/postfix/trans-2.1/jhtml/cidr_table.5.html

>802 >804 ありがとうございました。。
0806名無しさん@お腹いっぱい。2005/10/29(土) 02:51:18
Vineは三大馬鹿OSのひとつらしい。使うのやめたら?
0807名無しさん@お腹いっぱい。2005/10/29(土) 03:08:46
Vine seedでは 2.2.5になってますよ。
0808名無しさん@お腹いっぱい。2005/10/29(土) 10:03:55
/16 なら cidr はいらんだろ。ちゃんと access(5) を読み直せ。
仮に/27 のようなドットで区切れない場合でもパターンを列挙すればいいだけだし。
0809名無しさん@お腹いっぱい。2005/10/29(土) 12:43:24
パターン列挙してrejectを書いてくれるソフトを見たことがあるから
手で書くのが面倒くさかったらそういうのを探してみ。
0810名無しさん@お腹いっぱい。2005/10/29(土) 13:20:26
話が済んだ後でやってきて余計な付け足しをしてVineの擁護をするVine厨キモイ
0811名無しさん@お腹いっぱい。2005/10/29(土) 16:46:04
三大バカOSについて詳しくw
0812名無しさん@お腹いっぱい。2005/10/29(土) 17:13:03
FreeBSD,Debian,Vineらしい
0813名無しさん@お腹いっぱい。2005/10/29(土) 20:12:51
FreeBSD 入っちゃいますか... orz

Fedora 辺りにしといてくださいませ
Vine だけはガチ
0814名無しさん@お腹いっぱい。2005/10/29(土) 20:26:16
FreeBSDはMLがアレだし
Vineはユーザーだけでなくトップがアレだし
Debianは信者がアレだから。
0815名無しさん@お腹いっぱい。2005/10/29(土) 20:27:56
スレ違いなのでよそでやってください
0816名無しさん@お腹いっぱい。2005/10/29(土) 20:40:20
では 3大バカ MTA について
0817名無しさん@お腹いっぱい。2005/10/29(土) 20:45:34
>>816
sendmail
postfix
qmail
(順不同)
0818名無しさん@お腹いっぱい。2005/10/29(土) 20:58:06
MTAといえばその3つくらいしか思い浮かばない俺は……
0819名無しさん@お腹いっぱい。2005/10/29(土) 21:06:59
eximのことを忘れないでくださいね(deb信者)
0820名無しさん@お腹いっぱい。2005/10/30(日) 00:58:09
zmailer とか
0821名無しさん@お腹いっぱい。2005/10/30(日) 07:26:24
ふつーMS Exchange serverだろ

0822名無しさん@お腹いっぱい。2005/10/30(日) 09:46:26
それがでたならIBM Dominoも。

名前が著しく変わっちゃってLotus Notesと言わないと通じないことが多いけど。
0823名無しさん@お腹いっぱい。2005/10/30(日) 10:08:21
昔 MTA のシェアのサーベイみたいなのあったような?
0824名無しさん@お腹いっぱい。2005/11/01(火) 16:23:28
三大バカWindowsは?w
0825名無しさん@お腹いっぱい。2005/11/01(火) 22:48:55
Windows1.0
Windows2.1(80286)
WindowsNT3.1
かな。
0826名無しさん@お腹いっぱい。2005/11/02(水) 01:28:31
Me が入らないのは問題があるんじゃ?
0827名無しさん@お腹いっぱい。2005/11/02(水) 01:31:36
三大馬鹿Windows:
Windows 3.0英語版+Win/V
Windows Me
Windows XP メディアセンターエディション
0828名無しさん@お腹いっぱい。2005/11/02(水) 17:06:50
>>827
的確でワロタ
0829名無しさん@お腹いっぱい。2005/11/02(水) 18:11:52
DDDが必要?>Win3.0+Win/V
作者はいつのまにか着エロカメラマンになっちゃったけど。
0830名無しさん@お腹いっぱい。2005/11/02(水) 19:10:03
>>829 着エロカメラマン・・・むしろ勝ち組みw
0831名無しさん@お腹いっぱい。2005/11/02(水) 19:51:07
DDDってあったねえ
で、ここ何のスレ?
0832名無しさん@お腹いっぱい。2005/11/02(水) 20:05:42
Postfixをめでながら昔を懐かしむスレ
0833名無しさん@お腹いっぱい。2005/11/02(水) 21:35:04
こういう雰囲気きらいじゃないな…
0834名無しさん@お腹いっぱい。2005/11/03(木) 00:30:44
DDD作者の近況
ttp://www.iwh12.net/blog/
0835名無しさん@お腹いっぱい。2005/11/03(木) 01:38:20
UNIX板のPostfixスレで、スレ違いどころか板違いな話題はいい加減に汁。
0836名無しさん@お腹いっぱい。2005/11/03(木) 02:38:12
どうせネタ無いんだし、少しくらい脱線したっていいんでない?
まじめな話題が続いているなかで脱線するのはうざいけどな。
0837名無しさん@お腹いっぱい。2005/11/03(木) 11:42:09
>>829
同一人物とは知らなかった。

ぐぐったらこんな記述が。
>'92年、いまやおねえちゃんカメラマンとして名を知られる西川和久氏がビデオカードマニアとして
>名を馳せ、DDDなるディスパッチャーでPCマニアに一筋の光を当て始めたころの事
0838名無しさん@お腹いっぱい。2005/11/03(木) 14:33:22
着エロカメラマンで、DOS/V mag のデジカメ評価なんかの連載してたよ
0839名無しさん@お腹いっぱい。2005/11/03(木) 17:10:11
連載で初期の一眼デジのD30とかD60使ってたよね
0840名無しさん@お腹いっぱい。2005/11/03(木) 22:29:38
postfix+sasl2環境なんですが、バーチャルアドレスからメールを送信すると、
受取人のメールヘッダに

Received: from ... by (ドメイン名)

と、バーチャルでない本来のドメインが表示されてしまいます。
バーチャルドメインから飛んだように見せるにはどう設定すればいいんでしょうか
0841名無しさん@お腹いっぱい。2005/11/03(木) 22:44:30
aaa@aaa.tld向けのメールをローカルユーザーにも出したいんだけど、どうやればいいですか?
canonical,header_checksでは出来ないんですけど
0842名無しさん@お腹いっぱい。2005/11/03(木) 23:46:01
MLからこっちにも飛び火したらしい
0843名無しさん@お腹いっぱい。2005/11/04(金) 00:16:46
つ 教えて君初心者フィッシングにご注意下さい。
0844名無しさん@お腹いっぱい。2005/11/04(金) 00:43:20
と、canonicalで出来てたわ。つーか、ここは機能してないのか
0845名無しさん@お腹いっぱい。2005/11/04(金) 08:22:32
>>841,844
つ ttp://www.catb.org/~esr/faqs/smart-questions.html
0846名無しさん@お腹いっぱい。2005/11/05(土) 11:23:07
Postfixでgreylistingしようとした場合ってpostgreyが一番人気なの?
SQLサーバーを裏で使ってるやつとか適度に変な命令を捨ててくれんとinjection
されそうな予感はするけど。
0847名無しさん@お腹いっぱい。2005/11/05(土) 11:36:06
>>846
それってpostgrey以前に injectionされそうな
構成のほうが問題では?
08488462005/11/05(土) 11:37:05
あ、質問なのにあげわすれた。
08498462005/11/05(土) 11:42:23
SQLgreyはinjection問題を2回起こしてるけど、
Postfixから渡されるpolicy情報にはSQL文字列になりうる怪しい文字列は
排除されてたりするのかな...
http://secunia.com/product/4224/

あと、CやC++による実装のはバッファあふれ攻撃が怖いですね。
http://www.juniper.net/security/auto/vulnerabilities/vuln1892.html

で、消去法するとPostgreyなのですが、これは単一プロセスしか動かないらしく
速度の面で心配が残ります。
■ このスレッドは過去ログ倉庫に格納されています