トップページunix
1001コメント346KB

Postfix(5)

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。2005/11/30(水) 19:01:47
Postfixスレッド その5です。

●リンク
 本家
 http://www.postfix.org/

 Postfix のぺーじ (ドキュメントの日本語訳、MLなど)
 http://www.kobitosan.net/postfix/

過去スレ、関連スレなどは>>2-4あたり
0670名無しさん@お腹いっぱい。2006/07/01(土) 16:09:19
>>669
transport(5)とかでISPのSMTPサーバへスマートリレーさせる
0671名無しさん@お腹いっぱい。2006/07/01(土) 21:30:22
OP25Bするんだったら、SMTP AUTHも必須にして欲しいですね。
その上で時ドメイン以外のFromは全部拒否して欲しい。
>>669には悪いけど、そうやって送信元を排除していかないと
spamとかワーム系のメール送信は減らないよ。
0672名無しさん@お腹いっぱい。2006/07/03(月) 07:56:17
>>658 そのURLとまったく同じなんだったら、
俺なら IPアドレス制限とsmtpd_helo_restrictionsの合わせ技を使う。
0673名無しさん@お腹いっぱい。2006/07/03(月) 08:48:18
>>671
つまり、自分とこで提供してるアドレス以外でのfromでは送信させない、ということ?
それなら、同じこと出来るSenderIDにしたほうがいいんじゃない?
0674名無しさん@お腹いっぱい。2006/07/03(月) 12:55:04
@の前にドットが入ってるアドレスの転送を許可する方法を
おしえてくだちぃ
0675名無しさん@お腹いっぱい。2006/07/03(月) 13:10:40
resolve_dequoted_address = no
やってもだめだった?
0676名無しさん@お腹いっぱい。2006/07/03(月) 17:55:44
教えてください。
Solaris9でPostfixを動かしてます。
Postfixのコンフィグのみバックアップを取得し、
別マシンのSolaris9に移行したいのですが、
/etc/postfix配下のみを移せばよいのでしょうか?
0677名無しさん@お腹いっぱい。2006/07/03(月) 18:48:20
>>676
それで大丈夫なはずです。ただし、以下のファイルは別マシンの
新しいファイルをそのまま使った方が良いでせう。
post-install
postfix-files
postfix-script
0678名無しさん@お腹いっぱい。2006/07/03(月) 20:38:52
>>677
早速のレス
ありがとうございます。
0679名無しさん@お腹いっぱい。2006/07/09(日) 16:52:16
postfix をヴァーチャルドメインで運用しているのですが、
フィルタをドメイン毎に変えるにはどのようにすればよいのでしょうか?
0680名無しさん@お腹いっぱい。2006/07/09(日) 18:45:34
content_filterのこと? それは個別設定できない希ガス。
trasnport_mapsとかを駆使して、似たようなことは出来ると思う。
0681名無しさん@お腹いっぱい。2006/07/09(日) 23:36:06
trasnport_maps ですか。。。
ちょっと勉強してみます
0682名無しさん@お腹いっぱい。2006/07/10(月) 02:31:01

gcc-withfortran の ports/package は

なぜ mpfr を入れないのだろう?
0683名無しさん@お腹いっぱい。2006/07/10(月) 09:41:35
wietse 神曰く、

>I'm still aiming for an official 2.3 release by Tuesday.
0684名無しさん@お腹いっぱい。2006/07/10(月) 12:00:39
>>683
まじすか。
期待age
0685名無しさん@お腹いっぱい。2006/07/10(月) 19:17:03
海外からspamerどもがマイ鯖へメール送信

user unknwon の返信をするも
fromが詐称されてるっぽく、deferredに大量にメールが溜まる状態

解決方法ないでしょうか?
以前、ぐぐってて解決方法見つけたんだけど、
今回再度探しても一向に見つからないですよ
0686名無しさん@お腹いっぱい。2006/07/10(月) 21:07:50
>>685
メールゲートウェイにdeferredが溜るのが嫌ならlocal_recipient_maps使え
0687名無しさん@お腹いっぱい。2006/07/10(月) 21:42:08

うちはここのおかげでスパムはほぼ皆無でし
ttp://gabacho.reto.jp/anti-spam/anti-spam-system.html
0688名無しさん@お腹いっぱい。2006/07/10(月) 21:58:35
これがうまくいくって事は最初からMXの二番目に投げてくるスパマーは少ないって事か。
0689名無しさん@お腹いっぱい。2006/07/11(火) 00:27:36
>>688
なぜそうなる?
0690名無しさん@お腹いっぱい。2006/07/11(火) 00:33:48
>>689
なぜそうなるか考えてみよう
0691名無しさん@お腹いっぱい。2006/07/11(火) 01:46:02
>>685 backscatter
0692名無しさん@お腹いっぱい。2006/07/11(火) 01:57:50
>>690
MXの2番目以降だって、MXの1番目経由じゃなくって、直接クライアントから接続されるでしょ。
なら、そのIPから逆引きすれば良いだけのことじゃない?なんか間違ってるか??
0693名無しさん@お腹いっぱい。2006/07/11(火) 02:18:09
>>692
バーカ
0694名無しさん@お腹いっぱい。2006/07/11(火) 09:27:19
なんだ?バカが誤解に気づいて反論できなくなって切れたか?
0695名無しさん@お腹いっぱい。2006/07/11(火) 11:03:07
バカにかまってるとバカが伝染るよ。
0696名無しさん@お腹いっぱい。2006/07/11(火) 13:09:12
なあ、おまえ、ほんとに答えられないだけだろ?
0697名無しさん@お腹いっぱい。2006/07/12(水) 11:40:50
で結局688はなにが言いたかったんだ?
0698名無しさん@お腹いっぱい。2006/07/12(水) 23:58:07
2.3.0出たみたい。
06998732006/07/13(木) 00:45:59
レスするの忘れてました。
587ポートも追加されてたんで、今回はそいつを使うことにするだけで済みました。

ただ、いずれ587ポートを使うウィルスとかも出てくるだろうに、何故587ポートの方は
smtp認証を導入してないんだろうと思います。とりあえずは恙なく移行してもらって、
落ち着いたところでsmtp認証を導入するつもりなのかなあ?

俺としては変更作業は一度に済ませたいんで、今回一挙に587ポートのsmtp認証まで導入
して欲しかった。

どこかのプロバイダで587ポートもsmtp認証にしてるところはありますか?
0700名無しさん@お腹いっぱい。2006/07/13(木) 09:19:06
>>699
誤爆かね?

ちなみに普通のプロバイダなら、587はSMTP Authのみにしてると思う。
0701名無しさん@お腹いっぱい。2006/07/13(木) 09:31:12
ttp://www.cssv.jp/info/info_port25.html

レンタルサーバー屋が、ザルみたいな認証で
submission port用意していると、ISPレベルのOP25B
もspam野郎にとっては実効力を持たんな
0702名無しさん@お腹いっぱい。2006/07/13(木) 19:27:01
ザルなサーバがあればspammerがそこへ集中するだけだろ
そしたらその他プロバイダやJAIPAから一斉に非難されて泣く泣く対応するんじゃね?

>>701
>これは、通常メールの送信に使われていた【25】番ポートの利用を制限するものであり、
>SSLを有効とした【465】番ポートを使うことでしか、メールが送れないというものです。

ちょww勘違いwwwwwwww
OP25BとSSL関係ナスwww
0703名無しさん@お腹いっぱい。2006/07/13(木) 20:21:10
>>701 の文章力は酷いもんだけど、>>702 の読解力も同じレベル?
「SSLを有効とした」はOB25Pの部分に直接は掛かってないよ。
0704名無しさん@お腹いっぱい。2006/07/13(木) 20:22:10
あぁ、ごめん。701のリンク先の文章力ね。
0705名無しさん@お腹いっぱい。2006/07/13(木) 23:16:19
>>687-697
この流れがわからん
結局なにが言いたくてどっちが正しかったの?
0706名無しさん@お腹いっぱい。2006/07/13(木) 23:35:07
688 は、プライマリ MX が 4xx で一時的な拒否をした場合に
セカンダリ MX への配送を試みるのでは? という考えの元に、
spammer はセカンダリには接続して来ないのか・・・と思った。

それに対して煽っている派は、4xx で拒否された場合には、
すぐさまセカンダリに行くわけではない。セカンダリに行くのは
Unknown host や Conection refused 等、もっと下のレイヤでの
接続エラーの場合だ。と言っている・・・かな。

さて、正解はどちらでしょう?
0707名無しさん@お腹いっぱい。2006/07/14(金) 10:00:18
>>703
701の先の説明で、「サブミッションポートによる認証」ではなくまず「SSLが必要」と
書かれている訳だが・・・
0708名無しさん@お腹いっぱい。2006/07/14(金) 11:58:47
>>706
というより、セカンダリにも同じ条件で一時拒否させりゃいいだけじゃね?と思ったんだけども。
それならセカンダリに来ようが来まいが同じだろう。
0709名無しさん@お腹いっぱい。2006/07/14(金) 13:54:59
2.3.0
0710名無しさん@お腹いっぱい。2006/07/14(金) 17:22:05
>>707
だから文章力が酷いって言ってるじゃんw
465=smtps だから、それに接続するには SSL が必要って
言いたかったんじゃないの? ホントのところは知らんけど。

「サブミッションポートによる認証」だとしたって OB25P に
直接は関係ないじゃん。要は port25 じゃなきゃ何でも良い
わけであって、このレイヤでは認証は関係ない。
0711名無しさん@お腹いっぱい。2006/07/14(金) 19:03:31
うん、確かに舌足らずで混乱させられてる希ガス。w
酷い文章をベースに議論したってしょうがないからこの辺にしとこ。

ちなみにJEAGの推奨する「OP25B」なら、587(サブミッションポート)による認証は必須らしい。
(smtpsとかport25以外なら何でもおk、ってことじゃないみたい)
詳しくはこのあたり読んでみてくれ。んじゃノシ
http://jeag.jp/
0712名無しさん@お腹いっぱい。2006/07/15(土) 00:53:43
RFC2476 の submission では認証はどうでもいいけど、
それからアップデートされた 4409 では、↓

4.3. Require Authentication

The MSA MUST by default issue an error response to the MAIL command
if the session has not been authenticated using [SMTP-AUTH], unless
it has already independently established authentication or
authorization (such as being within a protected subnetwork).

# 465/tcp の話ではないのは念のため。
# まあ、smtps で投稿を受けつける場合でも SMTP AUTH か TLS クライアント認証の
# どっちかが必須と思っておいて間違いないんじゃないかな。
07137102006/07/15(土) 03:59:40
あー、もうどうでも良いと思いつつまた書いてしまう・・・orz

port25 以外では身元の証明という意味で認証が必要だとは思うよ。
じゃないと submission の意義が薄れる。
漏れが言いたいのはそういうことじゃなくって、OB25P は L4 での
実装であって、対する代替方法は port465 or port587 という
同じ L4 で解決する必要があるということ。それは L7 の実装である
認証との関連性は "直接は" ないと言いたかったわけです。

なんかもう変な話になって来たな。スマソ、逝って来る。
0714名無しさん@お腹いっぱい。2006/07/15(土) 06:28:16
2.3.0キタ━━━( ゚∀゚ )━(∀゚ )━(゚  )━(  )━(  ゚)━( ゚∀)━( ゚∀゚ )━━━!!!!
Milterキタ━━━( ゚∀゚ )━(∀゚ )━(゚  )━(  )━(  ゚)━( ゚∀)━( ゚∀゚ )━━━!!!!
DSNキタ━━━( ゚∀゚ )━(∀゚ )━(゚  )━(  )━(  ゚)━( ゚∀)━( ゚∀゚ )━━━!!!!
0715名無しさん@お腹いっぱい。2006/07/15(土) 08:32:29
2.3のmilterつかったClamAVやspamassassinの設定ファイル例きぼんぬ
0716名無しさん@お腹いっぱい。2006/07/20(木) 16:11:44
fatal:open database /etc/aliases.dir
っていうエラーが絶えず出てくるのですが、どうしたものでしょうか?
もちろん、aliases.dirなんていうファイル、ディレクトリはありません。
postfix2.3です。
0717名無しさん@お腹いっぱい。2006/07/20(木) 16:41:29
設定ファイルを晒せるだけの知能があればよかったのに
0718名無しさん@お腹いっぱい。2006/07/20(木) 16:41:41
>>716
postconf -v | grep aliases
0719名無しさん@お腹いっぱい。2006/07/20(木) 18:10:11
echo 'postconf -n' | banner
0720名無しさん@お腹いっぱい。2006/07/20(木) 18:31:45
なかったら、
newaliases
すればいいのでは
0721名無しさん@お腹いっぱい。2006/07/20(木) 20:11:17
>>719 そのネタ分かる香具師いるのかwww URI忘れちゃったよ。
0722名無しさん@お腹いっぱい。2006/07/20(木) 22:17:00
>>721
ttp://article.gmane.org/gmane.mail.postfix.user/117395

テンプレに入れとけよな >>1
0723名無しさん@お腹いっぱい。2006/07/20(木) 22:21:02
>>721
これだな。
ttp://article.gmane.org/gmane.mail.postfix.user/117395
0724名無しさん@お腹いっぱい。2006/07/20(木) 22:37:02
>>718 
# postconf -v | grep aliases
alias_database = dbm:/etc/aliases
alias_maps = dbm:/etc/aliases, nis:mail.aliases
newaliases_path = /usr/sbin/newaliases
以上ですが,自己解決しますた.どもども.
0725名無しさん@お腹いっぱい。2006/07/21(金) 11:36:38
ヒントを教わって解決したのに、自己解決と書くのはどういうつもりなんだ?
>>718に言われるまでもなく、自分で調べて解決したんだと言いたいのか?
0726名無しさん@お腹いっぱい。2006/07/21(金) 12:15:31
>>725
設定ファイル晒す知能すらないヤシがなにを言おうが放置しとけ
0727名無しさん@お腹いっぱい。2006/07/22(土) 01:51:33
>>722-723 夫婦乙
07286992006/07/22(土) 14:30:57
>>700
私は>>648でもあります。

>>701-704,707-708,710-713

プロバイダ名は書けませんが、私のところの587ポートは無認証です。
0729名無しさん@お腹いっぱい。2006/07/24(月) 00:28:52
>>728
> プロバイダ名は書けませんが、私のところの587ポートは無認証です。

そんなんだったら、POP before SMTPのほうがまだマシ。
0730名無しさん@お腹いっぱい。2006/07/24(月) 08:30:22
いつのまにか自己監視定時メールが届かなくなったと思ったら、
プロパイダの587ポートの仕様が変わってた
どうやったら通るのかまた調べないとあかん・・・・

SPAM防止はわかるが、契約者本人が自分の携帯に送るのもままならないのはどうにかして欲しいな
0731名無しさん@お腹いっぱい。2006/07/24(月) 12:55:30
ままならなくないだろw
0732名無しさん@お腹いっぱい。2006/07/24(月) 17:34:35
直接送るんじゃなくて、ISPのメールサーバに送ればいいだけじゃん
0733名無しさん@お腹いっぱい。2006/07/27(木) 13:28:00
すみません。質問なんですが、
main.cf に記述した smtpd_clinent_restrictions や smpd_helo_restrictions の
優先順位って制御できるのでしょうか?
また出来るとすれば、どうすればよいのでしょうか?

現状は main.cf 内に helo の方を先に記述して入るのですが、
postconf -n とすると client の方が先に表示されるし(アルファベット順?)
実際の処理でも、ふざけた helo を 553や554で蹴り飛ばしてやりたいのに、
450: cannnot find your hostname なんて温いコードを返してしまいます。

尚、それぞれの restriction 内では記述順で優先制御可能なことは承知しています。

よろしくお願いします。
0734名無しさん@お腹いっぱい。2006/07/27(木) 15:11:01
答え出てますやん。
0735名無しさん@お腹いっぱい。2006/07/27(木) 15:13:30
あ、そうでもあるけどそうでもないね。
0736名無しさん@お腹いっぱい。2006/07/28(金) 00:08:58
>>733
smtpd_client_restrictions を空にする
0737名無しさん@お腹いっぱい。2006/07/28(金) 10:06:56
>>733
clientは接続元IPがわかるタイミングで。
heloはheloを送ってきたタイミングで。
recipientはrcpt toを送ってきたタイミングで。
となればどういう順かはわかるな。
(デフォルトの設定だとフィルタ掛けるタイミングは一部違うが、順番は同じ。smtpd_delay_reject参照)
0738名無しさん@お腹いっぱい。2006/07/28(金) 12:48:45
皆さん、ありがとうございます。

>>734,735
とりあえず、 check_client_access を helo_restrictions の配下、 check_helo_access の直後に移動してみました。
client_check は、ちゃんと動作している模様です。
helo は、まだふざけたのが来ていないので、解りませんが、多分いけそう。

>>736
勿論、冗談ですよね。

>>737
>> smtp_delay_reject
noにすると面白そうではありますが、やはり reject したアクセスの helo と form: rcpt to: は目視確認してみたいし、
それに下手に即断して相手のツールの挙動がおかしくなったりしたら、無用の恨みを買いそう。
0739  2006/07/28(金) 15:02:08
>>728
意味ないやん。
07407382006/07/28(金) 19:01:00
駄目でした orz
いろいろ読んでみても、どうやら無理っぽい。
0741名無しさん@お腹いっぱい。2006/07/28(金) 19:24:12
[postfix-jp 1911]
07427362006/07/28(金) 23:31:24
>>738
冗談じゃないよ。
smtpd_client_restrictions を空にすれば、smtpd_helo_restrictions の制限が生きる。
クライアントIPで拒否したければ、smtpd_{helo,sender,recipient}_restrictions に書けばいい。
07437382006/07/29(土) 21:32:01
>>742

ありがとうございます。

実運用機では、なかなかいろいろ試しにくいので、
LAN 内にテスト用の postfix を導入しましたので、
後は DNS 未登録の端末を用意したりなんかして、
いろいろ記述を変えて試して見ます。
07442006/07/29(土) 22:05:05
minnaarigatou
0745名無しさん@お腹いっぱい。2006/07/30(日) 22:44:37
maildrop をMDAに使用、.mailfilter でフィルタリング(転送なども)しているのですが、
.mailfilter を管理しているメールアドレス全てに対して1つで設定しているため、
フィルタリングが繰り返し発生してしまう状況です。

.mailfilter で処理されたメールは、2度目は処理させない、
といったことは不可能でしょうか?
postfix側では無理ですかね・・・・
0746名無しさん@お腹いっぱい。2006/07/31(月) 11:01:40
自作自演メール転送ごっこでもしてるのか?
0747名無しさん@お腹いっぱい。2006/07/31(月) 11:56:20
>>745
共通設定はあくまでも共通設定、それ以外は個人設定でしょうw

それでもやりたいと言うのなら、流れて来たメールに対して
真っ先に独自ヘッダを追加してしまって、そのヘッダがあったら
maildrop の条件を出る、みたいなフィルタ設定を書いてみたら
どうでしょう?

その方法に関してはスレ違いかな。
07487472006/07/31(月) 11:57:23
ごめん、真っ先にじゃダメですね。共通設定の最後に、かな。
0749名無しさん@お腹いっぱい。2006/08/02(水) 22:19:08
postalias(1)とpostfix付属のnewaliases(1)の違いがわからんずら.
教えて偉い人
0750名無しさん@お腹いっぱい。2006/08/02(水) 22:24:58
newaliases は $alias_database だけ。
postalias は任意のファイル。
0751名無しさん@お腹いっぱい。2006/08/02(水) 22:25:58
さっそくpostconf alias_databaseしますた.
ありがとう>>750
0752名無しさん@お腹いっぱい。2006/08/02(水) 22:27:42
>>749
newaliases は senndmail 互換のための機能。
postfix でも /etc/mail/aliases を使用した際のdb 構築法。

postalias は /usr/local/etc/postfilx/aliases を使用する際の
db 構築法ではないでしょうか。

違っていたらスマソ。
0753名無しさん@お腹いっぱい。2006/08/06(日) 17:05:12
sasl適用したRHEL対応パッケージって無いですか?

普通に入れると postfix-2.1.5-4.2.RHEL4.i386 なんてのが・・・(´・ω・`)
0754名無しさん@お腹いっぱい。2006/08/06(日) 23:22:06
SRPM配ってるんだから、自分で作り直せばいいんデナイノ?
0755名無しさん@お腹いっぱい。2006/08/07(月) 21:42:14
済みません、ご存知の方ご教示頂けると有難い。

helo が仮に完全修飾ドメイン名であっても、 client address と一致しない場合は reject するには、
如何様に記述すればよろしいのでしょうか?
0756名無しさん@お腹いっぱい。2006/08/07(月) 22:31:53
なんか意味あるの?
07577552006/08/07(月) 23:15:45
>>756

helo=<so-net.nejp>
helo=<vector.co.jp>
helo=<excite.co.jp>
helo=<ocn.jp>
helo=<odn.jp>

こういう輩を、いちいち helo_restrictions に
正規表現など勘案しながら、記述するのが馬鹿らしいと思う次第でして・・
helo を詐称する不届きな輩は即刻叩き落してやりたいと思うのは、私だけでは無いでしょう。
07587552006/08/07(月) 23:17:25
自己解決しました
0759名無しさん@お腹いっぱい。2006/08/07(月) 23:27:20
DomainKeyがそういうのを防ぐ用途で存在してるんだと思うけど、
TXTレコードないドメインを弾くようにしたら99%弾いちゃうだろうしなぁ。
07607552006/08/07(月) 23:28:28
>>758

貴方も詐称するのですか?
意図が不明です。
0761名無しさん@お腹いっぱい。2006/08/07(月) 23:37:27
>>759
何を勘違いしてるんだ?
味噌汁で顔洗って出直して来い。
07627552006/08/07(月) 23:42:42
要するに、

現状:
    相手のクライアントアドレスが、逆引き可能で、しかもこちらのフィルターに引っかからなければ、
    どんなにふざけた helo でも、fqdn ならば、受け入れてしまう。
    client で拒否した場合も、 helo を咎めている訳ではない。

目標:
    兎に角、自己の本当の fqdn を helo で名乗れないクライアントは、即刻拒否したい。

ご理解いただけますでしょうか?
0763名無しさん@お腹いっぱい。2006/08/07(月) 23:48:09
policy server書けや
0764名無しさん@お腹いっぱい。2006/08/07(月) 23:50:43
>762
妄想を元にした願望は日記に書け

弊害の分析をもっと真面目にやれ
07657552006/08/07(月) 23:50:44
「書けや」というなら貴方が書いて下さい。そのために質問してるのですから。
0766名無しさん@お腹いっぱい。2006/08/07(月) 23:54:00
>>762
普通一般ユーザが使うメーラーは
fqdn吐かないと思うけど
それも拒否でいいの?
07677552006/08/07(月) 23:55:39
>>765は、偽者だ。

しかし私も、急に policy server といわれても理解できるスキルは無いです。

ちょと調べてみます。
07687552006/08/07(月) 23:58:31
>>766
それは、最初にOKを記述してます。
一般ユーザは決まった gateway からのみアクセスしてきますので。
07697552006/08/08(火) 00:02:09
>>764

管理の行き届いた小規模なサイトで、どのような弊害が生じますか?
■ このスレッドは過去ログ倉庫に格納されています