Postfix(5)
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2005/11/30(水) 19:01:47●リンク
本家
http://www.postfix.org/
Postfix のぺーじ (ドキュメントの日本語訳、MLなど)
http://www.kobitosan.net/postfix/
過去スレ、関連スレなどは>>2-4あたり
0698名無しさん@お腹いっぱい。
2006/07/12(水) 23:58:070699873
2006/07/13(木) 00:45:59587ポートも追加されてたんで、今回はそいつを使うことにするだけで済みました。
ただ、いずれ587ポートを使うウィルスとかも出てくるだろうに、何故587ポートの方は
smtp認証を導入してないんだろうと思います。とりあえずは恙なく移行してもらって、
落ち着いたところでsmtp認証を導入するつもりなのかなあ?
俺としては変更作業は一度に済ませたいんで、今回一挙に587ポートのsmtp認証まで導入
して欲しかった。
どこかのプロバイダで587ポートもsmtp認証にしてるところはありますか?
0700名無しさん@お腹いっぱい。
2006/07/13(木) 09:19:06誤爆かね?
ちなみに普通のプロバイダなら、587はSMTP Authのみにしてると思う。
0701名無しさん@お腹いっぱい。
2006/07/13(木) 09:31:12レンタルサーバー屋が、ザルみたいな認証で
submission port用意していると、ISPレベルのOP25B
もspam野郎にとっては実効力を持たんな
0702名無しさん@お腹いっぱい。
2006/07/13(木) 19:27:01そしたらその他プロバイダやJAIPAから一斉に非難されて泣く泣く対応するんじゃね?
>>701
>これは、通常メールの送信に使われていた【25】番ポートの利用を制限するものであり、
>SSLを有効とした【465】番ポートを使うことでしか、メールが送れないというものです。
ちょww勘違いwwwwwwww
OP25BとSSL関係ナスwww
0703名無しさん@お腹いっぱい。
2006/07/13(木) 20:21:10「SSLを有効とした」はOB25Pの部分に直接は掛かってないよ。
0704名無しさん@お腹いっぱい。
2006/07/13(木) 20:22:100705名無しさん@お腹いっぱい。
2006/07/13(木) 23:16:19この流れがわからん
結局なにが言いたくてどっちが正しかったの?
0706名無しさん@お腹いっぱい。
2006/07/13(木) 23:35:07セカンダリ MX への配送を試みるのでは? という考えの元に、
spammer はセカンダリには接続して来ないのか・・・と思った。
それに対して煽っている派は、4xx で拒否された場合には、
すぐさまセカンダリに行くわけではない。セカンダリに行くのは
Unknown host や Conection refused 等、もっと下のレイヤでの
接続エラーの場合だ。と言っている・・・かな。
さて、正解はどちらでしょう?
0707名無しさん@お腹いっぱい。
2006/07/14(金) 10:00:18701の先の説明で、「サブミッションポートによる認証」ではなくまず「SSLが必要」と
書かれている訳だが・・・
0708名無しさん@お腹いっぱい。
2006/07/14(金) 11:58:47というより、セカンダリにも同じ条件で一時拒否させりゃいいだけじゃね?と思ったんだけども。
それならセカンダリに来ようが来まいが同じだろう。
0709名無しさん@お腹いっぱい。
2006/07/14(金) 13:54:590710名無しさん@お腹いっぱい。
2006/07/14(金) 17:22:05だから文章力が酷いって言ってるじゃんw
465=smtps だから、それに接続するには SSL が必要って
言いたかったんじゃないの? ホントのところは知らんけど。
「サブミッションポートによる認証」だとしたって OB25P に
直接は関係ないじゃん。要は port25 じゃなきゃ何でも良い
わけであって、このレイヤでは認証は関係ない。
0711名無しさん@お腹いっぱい。
2006/07/14(金) 19:03:31酷い文章をベースに議論したってしょうがないからこの辺にしとこ。
ちなみにJEAGの推奨する「OP25B」なら、587(サブミッションポート)による認証は必須らしい。
(smtpsとかport25以外なら何でもおk、ってことじゃないみたい)
詳しくはこのあたり読んでみてくれ。んじゃノシ
http://jeag.jp/
0712名無しさん@お腹いっぱい。
2006/07/15(土) 00:53:43それからアップデートされた 4409 では、↓
4.3. Require Authentication
The MSA MUST by default issue an error response to the MAIL command
if the session has not been authenticated using [SMTP-AUTH], unless
it has already independently established authentication or
authorization (such as being within a protected subnetwork).
# 465/tcp の話ではないのは念のため。
# まあ、smtps で投稿を受けつける場合でも SMTP AUTH か TLS クライアント認証の
# どっちかが必須と思っておいて間違いないんじゃないかな。
0713710
2006/07/15(土) 03:59:40port25 以外では身元の証明という意味で認証が必要だとは思うよ。
じゃないと submission の意義が薄れる。
漏れが言いたいのはそういうことじゃなくって、OB25P は L4 での
実装であって、対する代替方法は port465 or port587 という
同じ L4 で解決する必要があるということ。それは L7 の実装である
認証との関連性は "直接は" ないと言いたかったわけです。
なんかもう変な話になって来たな。スマソ、逝って来る。
0714名無しさん@お腹いっぱい。
2006/07/15(土) 06:28:16Milterキタ━━━( ゚∀゚ )━(∀゚ )━(゚ )━( )━( ゚)━( ゚∀)━( ゚∀゚ )━━━!!!!
DSNキタ━━━( ゚∀゚ )━(∀゚ )━(゚ )━( )━( ゚)━( ゚∀)━( ゚∀゚ )━━━!!!!
0715名無しさん@お腹いっぱい。
2006/07/15(土) 08:32:290716名無しさん@お腹いっぱい。
2006/07/20(木) 16:11:44っていうエラーが絶えず出てくるのですが、どうしたものでしょうか?
もちろん、aliases.dirなんていうファイル、ディレクトリはありません。
postfix2.3です。
0717名無しさん@お腹いっぱい。
2006/07/20(木) 16:41:290718名無しさん@お腹いっぱい。
2006/07/20(木) 16:41:41postconf -v | grep aliases
0719名無しさん@お腹いっぱい。
2006/07/20(木) 18:10:110720名無しさん@お腹いっぱい。
2006/07/20(木) 18:31:45newaliases
すればいいのでは
0721名無しさん@お腹いっぱい。
2006/07/20(木) 20:11:170722名無しさん@お腹いっぱい。
2006/07/20(木) 22:17:00ttp://article.gmane.org/gmane.mail.postfix.user/117395
テンプレに入れとけよな >>1
0723名無しさん@お腹いっぱい。
2006/07/20(木) 22:21:02これだな。
ttp://article.gmane.org/gmane.mail.postfix.user/117395
0724名無しさん@お腹いっぱい。
2006/07/20(木) 22:37:02# postconf -v | grep aliases
alias_database = dbm:/etc/aliases
alias_maps = dbm:/etc/aliases, nis:mail.aliases
newaliases_path = /usr/sbin/newaliases
以上ですが,自己解決しますた.どもども.
0725名無しさん@お腹いっぱい。
2006/07/21(金) 11:36:38>>718に言われるまでもなく、自分で調べて解決したんだと言いたいのか?
0726名無しさん@お腹いっぱい。
2006/07/21(金) 12:15:31設定ファイル晒す知能すらないヤシがなにを言おうが放置しとけ
0727名無しさん@お腹いっぱい。
2006/07/22(土) 01:51:330728699
2006/07/22(土) 14:30:57私は>>648でもあります。
>>701-704,707-708,710-713
プロバイダ名は書けませんが、私のところの587ポートは無認証です。
0729名無しさん@お腹いっぱい。
2006/07/24(月) 00:28:52> プロバイダ名は書けませんが、私のところの587ポートは無認証です。
そんなんだったら、POP before SMTPのほうがまだマシ。
0730名無しさん@お腹いっぱい。
2006/07/24(月) 08:30:22プロパイダの587ポートの仕様が変わってた
どうやったら通るのかまた調べないとあかん・・・・
SPAM防止はわかるが、契約者本人が自分の携帯に送るのもままならないのはどうにかして欲しいな
0731名無しさん@お腹いっぱい。
2006/07/24(月) 12:55:300732名無しさん@お腹いっぱい。
2006/07/24(月) 17:34:350733名無しさん@お腹いっぱい。
2006/07/27(木) 13:28:00main.cf に記述した smtpd_clinent_restrictions や smpd_helo_restrictions の
優先順位って制御できるのでしょうか?
また出来るとすれば、どうすればよいのでしょうか?
現状は main.cf 内に helo の方を先に記述して入るのですが、
postconf -n とすると client の方が先に表示されるし(アルファベット順?)
実際の処理でも、ふざけた helo を 553や554で蹴り飛ばしてやりたいのに、
450: cannnot find your hostname なんて温いコードを返してしまいます。
尚、それぞれの restriction 内では記述順で優先制御可能なことは承知しています。
よろしくお願いします。
0734名無しさん@お腹いっぱい。
2006/07/27(木) 15:11:010735名無しさん@お腹いっぱい。
2006/07/27(木) 15:13:300736名無しさん@お腹いっぱい。
2006/07/28(金) 00:08:58smtpd_client_restrictions を空にする
0737名無しさん@お腹いっぱい。
2006/07/28(金) 10:06:56clientは接続元IPがわかるタイミングで。
heloはheloを送ってきたタイミングで。
recipientはrcpt toを送ってきたタイミングで。
となればどういう順かはわかるな。
(デフォルトの設定だとフィルタ掛けるタイミングは一部違うが、順番は同じ。smtpd_delay_reject参照)
0738名無しさん@お腹いっぱい。
2006/07/28(金) 12:48:45>>734,735
とりあえず、 check_client_access を helo_restrictions の配下、 check_helo_access の直後に移動してみました。
client_check は、ちゃんと動作している模様です。
helo は、まだふざけたのが来ていないので、解りませんが、多分いけそう。
>>736
勿論、冗談ですよね。
>>737
>> smtp_delay_reject
noにすると面白そうではありますが、やはり reject したアクセスの helo と form: rcpt to: は目視確認してみたいし、
それに下手に即断して相手のツールの挙動がおかしくなったりしたら、無用の恨みを買いそう。
意味ないやん。
0740738
2006/07/28(金) 19:01:00いろいろ読んでみても、どうやら無理っぽい。
0741名無しさん@お腹いっぱい。
2006/07/28(金) 19:24:120742736
2006/07/28(金) 23:31:24冗談じゃないよ。
smtpd_client_restrictions を空にすれば、smtpd_helo_restrictions の制限が生きる。
クライアントIPで拒否したければ、smtpd_{helo,sender,recipient}_restrictions に書けばいい。
0743738
2006/07/29(土) 21:32:01ありがとうございます。
実運用機では、なかなかいろいろ試しにくいので、
LAN 内にテスト用の postfix を導入しましたので、
後は DNS 未登録の端末を用意したりなんかして、
いろいろ記述を変えて試して見ます。
0744み
2006/07/29(土) 22:05:050745名無しさん@お腹いっぱい。
2006/07/30(日) 22:44:37.mailfilter を管理しているメールアドレス全てに対して1つで設定しているため、
フィルタリングが繰り返し発生してしまう状況です。
.mailfilter で処理されたメールは、2度目は処理させない、
といったことは不可能でしょうか?
postfix側では無理ですかね・・・・
0746名無しさん@お腹いっぱい。
2006/07/31(月) 11:01:400747名無しさん@お腹いっぱい。
2006/07/31(月) 11:56:20共通設定はあくまでも共通設定、それ以外は個人設定でしょうw
それでもやりたいと言うのなら、流れて来たメールに対して
真っ先に独自ヘッダを追加してしまって、そのヘッダがあったら
maildrop の条件を出る、みたいなフィルタ設定を書いてみたら
どうでしょう?
その方法に関してはスレ違いかな。
0748747
2006/07/31(月) 11:57:230749名無しさん@お腹いっぱい。
2006/08/02(水) 22:19:08教えて偉い人
0750名無しさん@お腹いっぱい。
2006/08/02(水) 22:24:58postalias は任意のファイル。
0751名無しさん@お腹いっぱい。
2006/08/02(水) 22:25:58ありがとう>>750
0752名無しさん@お腹いっぱい。
2006/08/02(水) 22:27:42newaliases は senndmail 互換のための機能。
postfix でも /etc/mail/aliases を使用した際のdb 構築法。
postalias は /usr/local/etc/postfilx/aliases を使用する際の
db 構築法ではないでしょうか。
違っていたらスマソ。
0753名無しさん@お腹いっぱい。
2006/08/06(日) 17:05:12普通に入れると postfix-2.1.5-4.2.RHEL4.i386 なんてのが・・・(´・ω・`)
0754名無しさん@お腹いっぱい。
2006/08/06(日) 23:22:060755名無しさん@お腹いっぱい。
2006/08/07(月) 21:42:14helo が仮に完全修飾ドメイン名であっても、 client address と一致しない場合は reject するには、
如何様に記述すればよろしいのでしょうか?
0756名無しさん@お腹いっぱい。
2006/08/07(月) 22:31:530757755
2006/08/07(月) 23:15:45helo=<so-net.nejp>
helo=<vector.co.jp>
helo=<excite.co.jp>
helo=<ocn.jp>
helo=<odn.jp>
こういう輩を、いちいち helo_restrictions に
正規表現など勘案しながら、記述するのが馬鹿らしいと思う次第でして・・
helo を詐称する不届きな輩は即刻叩き落してやりたいと思うのは、私だけでは無いでしょう。
0758755
2006/08/07(月) 23:17:250759名無しさん@お腹いっぱい。
2006/08/07(月) 23:27:20TXTレコードないドメインを弾くようにしたら99%弾いちゃうだろうしなぁ。
0760755
2006/08/07(月) 23:28:28貴方も詐称するのですか?
意図が不明です。
0761名無しさん@お腹いっぱい。
2006/08/07(月) 23:37:27何を勘違いしてるんだ?
味噌汁で顔洗って出直して来い。
0762755
2006/08/07(月) 23:42:42現状:
相手のクライアントアドレスが、逆引き可能で、しかもこちらのフィルターに引っかからなければ、
どんなにふざけた helo でも、fqdn ならば、受け入れてしまう。
client で拒否した場合も、 helo を咎めている訳ではない。
目標:
兎に角、自己の本当の fqdn を helo で名乗れないクライアントは、即刻拒否したい。
ご理解いただけますでしょうか?
0763名無しさん@お腹いっぱい。
2006/08/07(月) 23:48:090764名無しさん@お腹いっぱい。
2006/08/07(月) 23:50:43妄想を元にした願望は日記に書け
弊害の分析をもっと真面目にやれ
0765755
2006/08/07(月) 23:50:440766名無しさん@お腹いっぱい。
2006/08/07(月) 23:54:00普通一般ユーザが使うメーラーは
fqdn吐かないと思うけど
それも拒否でいいの?
0767755
2006/08/07(月) 23:55:39しかし私も、急に policy server といわれても理解できるスキルは無いです。
ちょと調べてみます。
0768755
2006/08/07(月) 23:58:31それは、最初にOKを記述してます。
一般ユーザは決まった gateway からのみアクセスしてきますので。
0769755
2006/08/08(火) 00:02:09管理の行き届いた小規模なサイトで、どのような弊害が生じますか?
0770755
2006/08/08(火) 00:16:58端折って書きましたが、一般ユーザのメーラに登録する
サーバは、外部からのアクセスを受け付けるサーバと別にあります。
で、そのサーバでは特に helo の規制はしていません。
relayhost を 当該サーバに設定しており、そいつのしゃべる helo を、
helo_restrictions で OK としております。
0771名無しさん@お腹いっぱい。
2006/08/08(火) 00:38:26ホントはrejectしたいけど、やってません。
0773755
2006/08/08(火) 01:03:56アドビの電子文書保護ソリューションと、 Postfix に何の関係があるのでしょうか?
しかも「書く」って、改竄奨励ですか?
0774名無しさん@お腹いっぱい。
2006/08/08(火) 01:06:31ホスト名と HELO が一致しないことがしょっちゅうあることぐらいは
ある程度メールサーバの運用の経験があれば知ってるはずなんだけどねぇ。
postfix 1.x には $smtp_helo_name がなかったから、
ネットワーク構成的に $myhostname と実際のホスト名が一致させられない場合では
どうしようもなかったし。
0775755
2006/08/08(火) 01:31:50経験の浅いことを認めるのには吝かではない。
しかし、$myhostname が実際のホスト名と極端に違うことなど有り得ないでしょう。
私の書き方に至らぬとことはあると思うが、くそふざけた vector.co.jp のようなものを
排除する趣旨が、わからないわけではないと思うが・・・
ちなみに、 $smtp_helo_name は、初めて知りました、ありがとうございます。
当方では、曲げて、 $myhostname に domainname を設定し、 相手先から
client と同じであると、認識してもらうようにしておりますので、各位も同様の工夫在れたしと、思う。
正直、世間的にまともと思われる企業やISPのサーバが、平気なのが解せないですね。
0776名無しさん@お腹いっぱい。
2006/08/08(火) 01:36:56だから無知だっていうんだよ。
MTA がファイアウォールの裏側にいてプライベートアドレスしか
持っていないようなネットワーク構成なんてのは少しも珍しくない。
そういう場合、そのファイアウォールの裏側にいるプライベートアドレスの MTA が
外から名前を解決できるホスト名を持ってると思うか?
0777名無しさん@お腹いっぱい。
2006/08/08(火) 01:39:270778名無しさん@お腹いっぱい。
2006/08/08(火) 01:45:34smtpd_helo_restrictions の check_helo_access と smtpd_restriction_classes を
使えば・・・出来ないな。書いてて無理だと気がついた。スマソ。
0779755
2006/08/08(火) 01:50:20そりゃ、設定しだいと言わせて頂こう。
0780名無しさん@お腹いっぱい。
2006/08/08(火) 01:54:37「平気なのが解せない」というなら、そういうとこ相手に啓蒙して回ったら?
単に「なにこのお坊ちゃんわ(pgr」と思われるだけだろうが。
0781755
2006/08/08(火) 01:55:19$myhostname や $myorigin は、書きたい放題なのよ。
外からのアクセスは、ファイアウォールや、 NAPT の設定次第で、 MTA とは関係ないのよ。
0782名無しさん@お腹いっぱい。
2006/08/08(火) 01:57:590783755
2006/08/08(火) 02:01:31当然の意見ですな。
しかし、UCEを徹底的に排除するには、グローバルな一律化は必要で、
ついていけない企業は、それなりの烙印を押されても仕方ないですね。
0784名無しさん@お腹いっぱい。
2006/08/08(火) 02:03:24> しかし、$myhostname が実際のホスト名と極端に違うことなど有り得ないでしょう。
そりゃ、設定しだいと言わせて頂こう。
0785名無しさん@お腹いっぱい。
2006/08/08(火) 02:09:51自分のホスト名と必ず一致していることは要求されていない。
これが全て。
0786755
2006/08/08(火) 02:11:03煽ってるつもりで、こちらの言い分を補強しているわけだが・・
要するに、糞な設定をしない限り、ありえないでしょうと・・
まあ、大分疲れましたなぁ。
寝ますよ。
0788名無しさん@お腹いっぱい。
2006/08/08(火) 02:14:15そうそう。mustとは書いてなかったと思う。
0789755
2006/08/08(火) 02:26:19may であろうと must であろうと、たかだか文書の文言に拘泥してどうする?
大事なのは貴様のサイトがふざけた helo に屈するかどうかということだぞ。
0790名無しさん@お腹いっぱい。
2006/08/08(火) 02:29:15でも他人に規格外の設定を押しつけることはできない。
それがインターネットというもの。
0791755
2006/08/08(火) 02:35:33寝ろ前に一言。
糞ふざけた helo を容認したくないということは、
他人への押し付けになるのでしょうか?
誰も人様に当方と同じ設定を押し付けているわけではなく、
純粋に糞ふざけた完全修飾ドメイン名を騙るインチキを
排除したいだけなんですが?
インターネットとは、騙りを容認する場ですか?
0792名無しさん@お腹いっぱい。
2006/08/08(火) 02:37:44UCEが減ることによるメリットと、商機を逃すことのデメリットを天秤に掛けて、
得な方を選べばいいんでは?
0793755
2006/08/08(火) 02:46:33あのね、まるで理念の衝突の様な現状だけど、
そもそもは、当方が方法がわからなくて質問したのに端を発している。
方法が解らなければ、勝手に設定の仕様も無いのよ。
天秤以前の問題だな。
0794名無しさん@お腹いっぱい。
2006/08/08(火) 02:47:31そこに載せられてブラックリスト行きになるリスクモナー
0795名無しさん@お腹いっぱい。
2006/08/08(火) 02:49:17何のためにソースが公開されていると思っているの?
ただのScript Kiddyならサーバ管理やめれば?
0796755
2006/08/08(火) 03:04:51随分と失礼な言い回しですね。
今日のサーバ管理者が全て、プログラマ同等のスキルが必須と仰せか?
(まあプログラマといっても、職業プログラマじゃなくて・・・)
当方も、将来的にはソースをよんで、稼動しているデーモンの状態くらいは把握したいと
感じていますが、今この現状で設定ファイルに記述する文言に、右往左往するのは当然である。
誰しもがはじめからソースを読めるなど、貴君の空想力はすさまじいですな。
0797名無しさん@お腹いっぱい。
2006/08/08(火) 03:06:200798名無しさん@お腹いっぱい。
2006/08/08(火) 03:17:064.1.4 Order of Commands
> An SMTP server MAY verify that the domain name parameter in the EHLO
> command actually corresponds to the IP address of the client.
> However, the server MUST NOT refuse to accept a message for this
> reason if the verification fails: the information about verification
> failure is for logging and tracing only.
■ このスレッドは過去ログ倉庫に格納されています