Postfix(5)

[0001 名無しさん＠お腹いっぱい。 2005/11/30(水) 19:01:47]

Postfixスレッド その5です。

●リンク
　本家
　http://www.postfix.org/

　Postfix のぺーじ (ドキュメントの日本語訳、MLなど)
　http://www.kobitosan.net/postfix/

過去スレ、関連スレなどは>>2-4あたり

[0951 名無しさん＠お腹いっぱい。 2006/09/08(金) 22:36:38]

>914 って "うさだ 回収に来ました" AA が似合う感じだよね

いや、貼らなくていいけどさ

[0952 名無しさん＠お腹いっぱい。 2006/09/11(月) 01:39:58]

結局、プロパイダがFROM行規制を行っているので、
カノニカルでプロパイダのメールアドレスに置換して、SASL認証付で送るようにした。

ちゃんと届くようになったけど、rootからのエラーメールがFROM行置換されてくるので
何がなんだかさっぱりわからん

携帯でFROM行見ただけで大体わかるようになってるのに、なんで全部同じにしないとならないんだか・・・・

[0953 914 2006/09/11(月) 09:24:02]

すみません、毎日見てるわけではないので、反応遅くなりました。
あと、もう来ないでねという意見もいただいてますが、ネガティブな意見のほうがいろいろと
勉強になりますので、もう少しこちらで意見を聞かせてください。
もし、スパム対策系のスレに移動したほうがよければそうしますのでご意見下さい。

S25R+(greylisting|tarpitting)というような手法に嫌悪感を持たれてるのは、主にS25Rに対してですか？
それとも、greylistingやtarpitting自体がダメだという意見でしょうか？
>>903や元ネタのVine-Userの投稿では、S25Rについての否定的な意見、と読んでいるのですが。
ttp://ya.maya.st/mail/accessctl.html#s25r
で書かれているようにgreylisting(tarpitting)自体がダメ、という意見なら自分も納得いきます。
またS25Rが嫌という場合、DNSBL+(greylisting|tarpitting)という構成はどう思われますか？

>>950
いえ、おっしゃられるとおりで、ほぼそういったものが誤検出となっているものです。
今のところ、ホワイトリストで救済するしか方法がありません。
結局、スパムを出すのと同じ手法で出されると、誤検出してしまうので。

>>945
それは認識不足でした。勉強になりました。
本文の下の方に普通のメール内容や関係ない単語をたくさん並べて、メール全体としての
スパム色を「薄める」手法とかもありますが、そういったものもなにか対応策は考えられて
いるのでしょうか？
あと画像スパムに対して、SpamAssassinなんかだと、OCR機能で文字化して、その中身を
ベイジアンフィルタ掛けるとか、ますます重くなるような対応策が出ていますが、OCR使わずに
とれるような対応策とかって他にあるのでしょうか？
（反論とかではなくて、純粋にベイジアンフィルタ系のところでは、そういったものについて対抗策が
考えられているのか知りたいので。）

[0954 914 2006/09/11(月) 09:44:10]

937への説明を考えてたら>>907への回答になりそうなことを思いつきました。
ちょっとスレ違いになると思いますが、書いてみるのでおかしなところ叩いてください。
まず937への説明から。

ベイジアンフィルタは結局、スパムと判定されたものの中にそれぞれの単語がどのくらいの
頻度で入っているかを逆算して、単語毎に「スパムっぽい度(と正しいメール度)」のテーブルを
作っておき、未知のメールが入ってきたときに、そのテーブルと比較して、メール全体のスパム度
や正しいメール度を推定する、というものです。
例えば「Viagra」という単語が入っているメールのうち90%がスパムだったら、Viagraには0.9ポイント
つける、みたいな感じですね。なのでこれを「V1agra」とか替えてきても、V1agraは100%スパムだから
高ポイントがついてすぐに学習されてしまいます。

で、そういう単語でどのメールにも入っていて、その単語が入っていると95%以上スパムだ
というのがわかっている単語があったら、それを指標に使って欲しいと思いませんか？

S25Rという動的IPっぽいFQDNかどうかを見ると、少なくとも現時点で98%くらいの相関があります。
これはS25Rじゃなくて、DNSBLでも良いです。
本文中の単語だけじゃなくて、接続時の情報も指標としてもっと有効に使うべきでは、という主旨です。

[0955 914 2006/09/11(月) 09:58:58]

続き。こちらは>>907へのアイデア。

ちなみにSpamAssassinでは、普通にブラックリストとなる単語のマッチングだけではなく
DNSBLやベイジアンフィルタも、それぞれポイント付けをして、トータルの点数でスパムを判断
するようになっています。
ただ、そのポイント付けが結構めんどうで、TLECのルールとか、だれかが頑張って調整したものを
ベースに、不具合あれば手で少しずつ修正、という感じだと思います。

これを前のレスのように、ルールを単語に見立てて、その相関度を学習させていってはどうでしょうか。
つまり「ベイジアンフィルタ99%以上の確率」という単語、「Spamcopでリスとされている」という単語
「本文中に『出会い』と書いてある」という単語、としてそれぞれのルールをベイジアンフィルタで
学習していくわけです。
つまり、ルール自体をメタに学習していくというアイデアです。すでにこういう案出てるのかなあ？

学習はもちろん人間が指示しても良いですが、SpamAssassinのベイジアンフィルタと同様
自分自身の判定結果や、ハニーポットのアドレスを準備しておいて、そこからのものを学習に使えば
よいと思います。

学習が進めば、SORBSの重みは減って、Spamhausの評価は高いとか、そういうのが自動的に
重み付けされてくると思いますし、S25Rのスパムとの現時点での相関とかもレポートが可能でしょう。

[0956 名無しさん＠お腹いっぱい。 2006/09/11(月) 10:36:08]

>で、そういう単語でどのメールにも入っていて、その単語が入っていると95%以上スパムだ
>というのがわかっている単語があったら、それを指標に使って欲しいと思いませんか？

頭悪いって良く言われない?

>S25Rという動的IPっぽいFQDNかどうかを見ると、少なくとも現時点で98%くらいの相関があります。

人の話を聞かないって良く言われない?

そんなことは判った上でいろいろツッコまれているわけですが...


とりあえず妄想は日記に書いてくれ

[0957 名無しさん＠お腹いっぱい。 2006/09/12(火) 00:02:55]

妹の下着を脱がし、まで読んだ

[0958 名無しさん＠お腹いっぱい。 2006/09/12(火) 04:16:30]

>>958
＞そんなことは判った上でいろいろツッコまれているわけですが...
どれ？

[0959 名無しさん＠お腹いっぱい。 2006/09/12(火) 05:06:55]

紋舞らん引退、まで読んだ

[0960 名無しさん＠お腹いっぱい。 2006/09/12(火) 21:31:03]

もう、FROM/TO/CC/BCCに914のアドレスが含まれていたらspamでいいよ

[0961 名無しさん＠お腹いっぱい。 2006/09/12(火) 21:50:55]

ほぉ。Bcc: に含まれていたアドレスで spam 判定できるのか。
どんなテクノロジを使ってるのか教えてくれないか。

[0962 名無しさん＠お腹いっぱい。 2006/09/12(火) 23:55:39]

自慰-Worksなら可能です！

[0963 名無しさん＠お腹いっぱい。 2006/09/13(水) 00:03:25]

レスまとめて読むとどっちがＤＱＮなのか良くわかるなあｗ

[0964 名無しさん＠お腹いっぱい。 2006/09/13(水) 01:38:32]

ヘッダにBcc:が書かれていれば、普通に可能と思うがｗ
マヌケにも、Bcc:を書いて送ってくるプログラムは実在するしｗ

[0965 名無しさん＠お腹いっぱい。 2006/09/13(水) 03:33:41]

大昔のsendmailはBcc素通し。

[0966 名無しさん＠お腹いっぱい。 2006/09/16(土) 15:13:07]

相手のheloがFQDNじゃなかったら３０秒遅延とかさせたいんですが、これってどうやればできますかね？

[0967 名無しさん＠お腹いっぱい。 2006/09/16(土) 15:28:16]

自分でパッチを作る

[0968 名無しさん＠お腹いっぱい。 2006/09/16(土) 18:21:18]

>>966
sendmailに乗り換える

[0969 名無しさん＠お腹いっぱい。 2006/09/16(土) 20:09:11]

自分がsmtpdになる

[0970 名無しさん＠お腹いっぱい。 2006/09/16(土) 20:28:07]

>>968
Sendmailならできるの??
GreetPauseを使うんだよね？ぜひ詳しく教えてください。

[0971 名無しさん＠お腹いっぱい。 2006/09/16(土) 21:24:48]

>>966
Postfix2.3 check_client_access regexp
/^[a-z0-9-]+(\.[a-z0-9-]+)+$/ sleep 30

[0972 名無しさん＠お腹いっぱい。 2006/09/16(土) 22:19:51]

HELOまでなら簡易Proxyを自作するのも手。

[0973 971 2006/09/17(日) 11:46:43]

いけね、check_helo_access だった。条件も逆だし。

[0974 名無しさん＠お腹いっぱい。 2006/09/18(月) 13:21:25]

ん、結局
check_helo_access regexp でおｋってことかにゃ？
しかし肝心の条件がおいらわかんねorz....

[0975 名無しさん＠お腹いっぱい。 2006/09/18(月) 13:49:51]

９１４の会社に丸投げすればおｋ

[0976 名無しさん＠お腹いっぱい。 2006/09/18(月) 15:24:53]

[postfix-jp: 2252]
>Received:ヘッダにIPアドレスが出ているのと、for以下を抑制したいと思っています

ウィルスとか spam とか追跡しにくいし
素人考えで余計なことをすんなよ

[0977 名無しさん＠お腹いっぱい。 2006/09/18(月) 15:51:52]

4.4 Trace Information

When an SMTP server receives a message for delivery or further
processing, it MUST insert trace ("time stamp" or "Received")
information at the beginning of the message content, as discussed in
section 4.1.1.4.

This line MUST be structured as follows:

- The FROM field, which MUST be supplied in an SMTP environment,
SHOULD contain both (1) the name of the source host as presented
in the EHLO command and (2) an address literal containing the IP
address of the source, determined from the TCP connection.

The ID field MAY contain an "@" as suggested in RFC 822, but this
is not required.

- The FOR field MAY contain a list of <path> entries when multiple
RCPT commands have been given. This may raise some security
issues and is usually not desirable; see section 7.2.

[0978 名無しさん＠お腹いっぱい。 2006/09/18(月) 15:57:05]

ちょっとだけコピペミスった。RFC2822を見てくれぃ。

ReceivedヘッダのFROMフィールドではEHLOで与えられたsource hostの名前と
IPアドレスの両方を含むことがSHOULDで、FROMフィールド自体はMUST。

FORフィールドはMAYなので規格上抑制は可能みたいだね。

[0979 名無しさん＠お腹いっぱい。 2006/09/18(月) 15:58:06]

RFC2821だった、メンゴ。

[0980 名無しさん＠お腹いっぱい。 2006/09/18(月) 16:41:16]

そもそも IP アドレスを抑制してなんの効果があるのかと小一時間...

次には Received: zapping とか言い出しそうな悪寒

[0981 名無しさん＠お腹いっぱい。 2006/09/18(月) 17:25:10]

どうもSPAM対策と称してあほらしいことをやるヤシが増えてきている気がする。
正引きと逆引きが一致していないホストからのメールははじくなんていう設定をしている
サイトがあって、唖然とした。

[0982 名無しさん＠お腹いっぱい。 2006/09/18(月) 18:01:13]

>>981
中韓対策には最も効果的だが・・・

[0983 名無しさん＠お腹いっぱい。 2006/09/18(月) 18:15:35]

>>981
いわゆる自宅サーバとかいう個人的なサーバでしょ。
spam送信箱になってなければ、もうどーでもいいよ。

業務で提案してきたら再教育だけどな。

[0984 名無しさん＠お腹いっぱい。 2006/09/18(月) 19:42:04]

一致してないと海原雄山みたいのが怒鳴り込んでくるならまだいいけどな。

[0985 名無しさん＠お腹いっぱい。 2006/09/18(月) 19:43:31]

>>755みたいなのが怒鳴り込んでくるｗ

[0986 名無しさん＠お腹いっぱい。 2006/09/18(月) 23:45:22]

OSXで１週間ほど使っています。
５分に１回10通ずつぐらいの頻度でしか送信されません。
何かおかしい気がするのですが、これは正常なのでしょうか。

[0987 名無しさん＠お腹いっぱい。 2006/09/18(月) 23:47:16]

異常です

[0988 名無しさん＠お腹いっぱい。 2006/09/18(月) 23:49:23]

orz

[0989 名無しさん＠お腹いっぱい。 2006/09/18(月) 23:53:10]

通常は一瞬かつ高速に送信されるのでしょうか。

[0990 名無しさん＠お腹いっぱい。 2006/09/19(火) 00:11:25]

「一瞬」と「高速」を定量的に定義してください

[0991 名無しさん＠お腹いっぱい。 2006/09/19(火) 00:14:44]

ごめんなさい　OSをクリーンインストールして最初から設定したりしてみます。

[0992 名無しさん＠お腹いっぱい。 2006/09/19(火) 00:30:19]

せっかく症状が出ているんだから、何が起こっているかを突き止めてみては?
logに何か出ていないのか、Linuxあたりだとstraceで何やってるか見てみる
んだけど、OSXでは何ができるのやら…

[0993 名無しさん＠お腹いっぱい。 2006/09/19(火) 00:59:22]

[postfix-jp: 2252]が届かないからPostfixのログを見てみたら、
reject: mime-error improper use of 8-bit data in message header: Received: mx.ctc-g.co.jp (CTC-GN mail 06/09/12) id k8I3uiCK009725; ?Mon, 18 Sep 2006 12:56:44 +0900
というのがありましたよ。Monの前に何か変なコードが入ってたのかな。

[0994 名無しさん＠お腹いっぱい。 2006/09/19(火) 04:21:39]

>>983
某大学のサーバだった…
しかも研究室クラスじゃなく、情科センタークラスの規模の。

[0995 991 2006/09/19(火) 20:24:34]

ログを見ると、googleのsmtpサーバーに接続しようとして、ことごとくタイムアウトになってるようでした。
で、ごくまれにうまく送れることもあるようです。

[0996 名無しさん＠お腹いっぱい。 2006/09/19(火) 20:35:48]

>>994
学校関係の連中は世間知らずで独善な皆さんが時々いるから（極端な例は大岡山ｗ）
そういう極端な設定を平気でやるのな。

で企業のサーバ作ってるとゲートウェイ以外の内部ネットワーク情報を隠すのは
良く有ること。Postfixだとheader_checkで正規表現書いてREPLACEとか。
いちいち書き換えしたログが出て鬱陶しいんでその辺はソースいじって潰す。

[0997 名無しさん＠お腹いっぱい。 2006/09/19(火) 22:43:29]

>で企業のサーバ作ってるとゲートウェイ以外の内部ネットワーク情報を隠すのは
>良く有ること。

よくあるのは分かるけど、たいして意味がなくて
その割に迷惑源になったりするんだよね。

[0998 名無しさん＠お腹いっぱい。 2006/09/20(水) 01:17:38]

ネットワーク情報だけじゃなくて、いろんなものを隠してそうな企業だな

[0999 名無しさん＠お腹いっぱい。 2006/09/20(水) 02:05:55]

Postfix(6)
http://pc8.2ch.net/test/read.cgi/unix/1158685450/

次スレ立てた。

[1000 名無しさん＠お腹いっぱい。 2006/09/20(水) 02:06:55]

フィーナ姫かわいい