トップページunix
987コメント240KB

Dovecot(1)

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。2005/12/05(月) 11:44:13
Dovecotスレッド その1です。

●リンク
 本家
 http://www.dovecot.org/


#過去スレ、即dat落ちした模様。
関連スレなどは>>2-4あたり
0639名無しさん@お腹いっぱい。2008/06/19(木) 17:59:13
>>638
/etc/password認証だとINBOXに/var/mail/fooを使い、~fooにmboxを作るけど、
SQLで認証した場合はmaildirを使ったバーチャルドメインとかいう
トリッキーなことが実現可能。
0640名無しさん@お腹いっぱい。2008/06/20(金) 07:23:33
そんなこんなでrc12
0641名無しさん@お腹いっぱい。2008/06/20(金) 22:22:40
rc13。調子が出てきたね。
0642名無しさん@お腹いっぱい。2008/06/20(金) 23:32:32
timoのfinalに何度騙されれば..
0643名無しさん@お腹いっぱい。2008/06/20(金) 23:40:20
1.0 系でいいよもう。不具合無いし安定してるし。
0644名無しさん@お腹いっぱい。2008/06/21(土) 00:04:31
これも、IMAPサーバでは現時点でコードの進化を続けているライバルが不在だからこそ。
Webフレームワークとかだと、すぐ、「リリースマネージメントがなってない。他所に乗り換えるぞ!」
とか何とか、使うだけのお客さんが騒ぐけど、dovecotは安定版もちゃんとあることだし、1.1は
まったりやってくれればいいよ。
0645名無しさん@お腹いっぱい。2008/06/21(土) 12:11:33
あらヤダ、1.1.0が出てるわ
0646名無しさん@お腹いっぱい。2008/06/21(土) 19:27:20
二日後くらいに1.1.1だろうか。
0647名無しさん@お腹いっぱい。2008/06/22(日) 08:23:04
1.0.15が出ている。
0648名無しさん@お腹いっぱい。2008/06/22(日) 21:59:08
日刊dovecot v1.1.1
0649名無しさん@お腹いっぱい。2008/06/23(月) 22:42:02
1.1.1が予想書き込みより早くて思わず笑た
0650名無しさん@お腹いっぱい。2008/06/26(木) 15:51:59
1.1はどうですか?
0651名無しさん@お腹いっぱい。2008/06/29(日) 09:38:49
変わったことすら気がつかなかった@ユーザー
0652名無しさん@お腹いっぱい。2008/07/03(木) 20:26:35
識者のかた、教えてください。
xinetd経由でimap-loginとpop3-loginを起動させています。
クライアントとのコネクションが終了しても、"dovecot"と"dovecot-auth"の
プロセスが起動したままなのですが、この挙動は正常でしょうか?
0653名無しさん@お腹いっぱい。2008/07/03(木) 20:42:23
>>652
それって listen してるポートに pop, imap を叩き起こす要求が来た場合にのみ
pop3-login, imap-login が動くから普通では。
{pop3,imap}-login のプロセスが残ったままなら問題あるけどね。

sshd なんかが良い例では。
06546522008/07/03(木) 21:06:55
>>653
どうも有り難うございます。
sshdもxinetd経由で起動させると、同じような挙動になるのですか?? (やった事はないですが)
xinetdで、telnetやvsftpd, qpopper等も起動させて使っていますが、そのどれもがクライアントと
コネクションが終了すると、きれいさっぱりとプロセスがなくなるので、それが普通だと思っていたの
ですが・・・。
0655名無しさん@お腹いっぱい。2008/07/03(木) 21:29:29
>>654
ちょっと例がおかしな物でしたね。失礼。
Dovecot で pop や imap を xinetd 経由で起動させる場合、マスタープロセスとして "Dovecot" が
pop-login や imap-login を起動させます。
伴い、認証に必要な dovecot-auth も一緒に居る。ということになります。

/etc/xinet.d/ 以下に記述したファイルの内容を覗けば dovecot というプロセスに対する記述は
無いはずです。

参考
ttp://wiki.dovecot.org/InetdInstall
06566522008/07/03(木) 22:01:37
>>655
うわ〜、「This makes Dovecot somewhat special as a inetd-based service.」って書いてありますね。
正常な挙動のようなので安心しました。
どうも有り難うございました。
0657名無しさん@お腹いっぱい。2008/07/08(火) 22:14:07
1.0.15になってえらく速くなったような気がする
0658名無しさん@お腹いっぱい。2008/07/10(木) 08:46:48
1.0.13-> 1.1.1にしたら
namespace public { hidden = yes; }
なメールボックスが隠れなくなったけど、そういうもんなんだっけ?
0659名無しさん@お腹いっぱい。2008/07/11(金) 01:01:07
1.0.14→1.0.15にしたら、xinetdだとimapが起動しなくなった。1.1.1でも同じ。
xinetdを使わなければ問題なし。
0660名無しさん@お腹いっぱい。2008/07/14(月) 20:32:45
1.0.14→1.0.15変更見たけど起動部分とか全く変更ないから
別の問題じゃね?
0661名無しさん@お腹いっぱい。2008/07/17(木) 21:37:10
>>658
1.1からlistが追加になったんで
list=no
にしないと見える
0662名無しさん@お腹いっぱい。2008/07/19(土) 23:51:17
>>661
それどうやって見つけたの? ソース読んだ?
ドキュメントをgrepした限りでは該当なさそうだし、
あとlistとhiddenの使い分けが不明...
0663名無しさん@お腹いっぱい。2008/07/20(日) 00:27:19
付属のconfに書いてある
ttp://dovecot.org/doc/dovecot-example.conf
0664名無しさん@お腹いっぱい。2008/07/20(日) 00:27:38
>>662
dovecot-example.conf
0665名無しさん@お腹いっぱい。2008/07/24(木) 10:25:34
1.1.2が出た。
1.2betaの話も出てきてるねえw
0666名無しさん@お腹いっぱい。2008/07/24(木) 17:20:33
postfixでdovecot saslを使ってるんだけど、587番で送信できない
saslauthdならできるのに
0667名無しさん@お腹いっぱい。2008/07/25(金) 00:37:05
うちは出来てるけどな
どんな設定してるの?
0668名無しさん@お腹いっぱい。2008/07/25(金) 13:53:17
1.0.10 -> 1.1.1 でsharedなメールボックスのメールの既読/削除情報が
変更しなくなった。原因分かりますか?
0669名無しさん@お腹いっぱい。2008/07/25(金) 14:35:30
>>666
つ chroot
0670名無しさん@お腹いっぱい。2008/07/25(金) 20:14:55
>>669
もうちょっとだけ教えてください・・・
0671名無しさん@お腹いっぱい。2008/07/27(日) 09:27:40
named pipe fileの場所
0672名無しさん@お腹いっぱい。2008/08/03(日) 01:06:42
あげておこう
0673名無しさん@お腹いっぱい。2008/08/10(日) 21:09:41
寂しいのう
0674名無しさん@お腹いっぱい。2008/08/11(月) 00:04:04
平和に Dovecot してます。
0675名無しさん@お腹いっぱい。2008/08/17(日) 23:22:23
平和ボケだな
0676名無しさん@お腹いっぱい。2008/08/21(木) 16:10:49
Dovecot 1.0.14を使用しています。
デーモン実行で、POP3で使っています。
UNIXローカルアカウントのメール受信を行っています。

POP3接続へのアクセス制御はしておらず、どこからでも接続できます。

最近、ユーザ名AdministratorでPOP3アクセスする攻撃者が多くて困っています。
Administratorのパスワードを試しても、全然影響はないのですが、
唯一困るのが、dovecotのログ出力が多くなることです。

攻撃者はロボットなので、1秒間に4−5回、アクセスしてきます。

そこで、教えて欲しいのですが、dovecotのPOP3認証で、
ユーザ名とパスワードの組み合わせが間違っているときは、指定された
秒数だけ応答を待機(スリープ)させることはできないでしょうか?

例えば60秒ぐらい待機してからクライアントに、
     -ERR Authentication failed.
の応答メッセージを返したいのです

そうすればロボットの攻撃が遅くなって出力ログも減って助かります。

どのようにすればよろしいでしょうか?

0677名無しさん@お腹いっぱい。2008/08/21(木) 16:19:47
grep -v でよくね?
0678名無しさん@お腹いっぱい。2008/08/21(木) 17:12:46
いっそポート番号を変えたらどうよ?

変えられない理由があるならともかく
悪くない対策だと思うんだが
0679名無しさん@お腹いっぱい。2008/08/21(木) 17:16:03
>>676
POP に限らず FTP やら MTA も攻撃はかなり来るはず。
攻撃元の IP を見て F/W で Drop させるなりしたほうが早いかな。

Sleep 状態に出来たとしてもその接続が大量に来たらプロセス数が爆発するのでは。
うちでは国外からの攻撃に関しては F/W で Drop させてますです。
0680名無しさん@お腹いっぱい。2008/08/21(木) 22:34:36
1秒間に4,5回は無理じゃない?
nodelay指定してんじゃないか?
0681名無しさん@お腹いっぱい。2008/08/22(金) 00:20:40
676の者です。
アドバイス、ありがとうございます。

インターネット側からどのようなアクセスがあるのか勉強したくて
FTPやPOPをアクセスフリーにしました。

しかしサーバーをWindowsだと思って、パスワード攻撃してくるのは
閉口しました。

唯一の収穫は、いろいろなアカウント名でパスワード攻撃してくるのが
見れました。

FTPをアクセスするロボットは律儀で、認証エラーで待機させても、他の
セッションを張らず、ずっと待ってくれました。
だからPOPも待機させたいなと考えた次第です。

FTPでは、認証エラー時の待機する機能は無かったので、プログラムの中を
いろいろ探って、スリープさせました。

しかしDovecotのソースは認証が細かく分かれており、どの部分に手を
入れたらいいのかまだわからず、質問しました。

もう少しソースを読んでみます。

>>680
ログに書かれた時間で同じ秒数に記録された個数です。
でも2秒ぐらい時間が飛んで次のログが書かれるので、1秒当たりの
個数にすると4-5個は多いかもしれません

0682名無しさん@お腹いっぱい。2008/08/22(金) 04:09:52
そういうのってhoneypotを立てて観察するものだと思うぞ
0683名無しさん@お腹いっぱい。2008/08/23(土) 00:51:29
やるなら
http://wiki.dovecot.org/PostLoginScripting
の最後を参考に
ソースの変更で、一箇所だけの変更を望むなら
AUTH_FAILURE_DELAY_CHECK_MSECS
だな
0684名無しさん@お腹いっぱい。2008/08/23(土) 10:33:10
>>676
>最近、ユーザ名AdministratorでPOP3アクセスする攻撃者が多くて困っています。
>>681
> インターネット側からどのようなアクセスがあるのか勉強したくてFTPやPOPをアクセスフリーにしました。

お前は何をいっているんだ...

ログをsyslogdで記録してるんなら、連続した同じ内容のログは
まとめてくれるから、ソースいじるなら認証失敗した時に同じログが
出るように改造すればいいと思うけど。
あとは、「攻撃っぽい」ログと通常のアクセスログを分けるように
するとかね。攻撃のほうはインターネット側から辞書攻撃を繰り返す
のに対して、通常のアクセスはプライベート側がメインで、あとたまに
インターネット側からも使うかもしれないけどたいてい成功するでしょ?
0685名無しさん@お腹いっぱい。2008/08/23(土) 12:53:48
日本語でおk
0686名無しさん@お腹いっぱい。2008/08/24(日) 00:09:23
スワヒリ語でおk
0687名無しさん@お腹いっぱい。2008/08/24(日) 06:31:46
無理せずともマシン語でおk
0688名無しさん@お腹いっぱい。2008/08/24(日) 07:07:01
落語でおk
0689名無しさん@お腹いっぱい。2008/08/24(日) 15:03:26
お後が宜しいようで
0690名無しさん@お腹いっぱい。2008/08/30(土) 12:41:14
imapではなくpop3としてのdovecotは、扱い辛い?
pop3sの要求があがっているので、dovecotにしようか悩んでる。
0691名無しさん@お腹いっぱい。2008/08/30(土) 14:43:58
どっちも大差ない。
0692名無しさん@お腹いっぱい。2008/09/03(水) 23:23:18
1.1.3出た
0693名無しさん@お腹いっぱい。2008/10/02(木) 21:44:58
てst
0694名無しさん@お腹いっぱい。2008/10/06(月) 09:45:50
いつの間にやら1.1.4
0695名無しさん@お腹いっぱい。2008/10/17(金) 19:45:25
たまには、あげておこう
0696名無しさん@お腹いっぱい。2008/10/17(金) 20:00:27
先週メル鯖のHDDがあぼーんしたんで、まっさらから作り直した。

OSをうぶつんにしたらデフォで入ってたんで使ってみたけど、これいいね。
saslの認証も簡単に任せられるしpostfixadminあっさりと。
0697名無しさん@お腹いっぱい。2008/10/23(木) 12:31:15
いつの間にやら1.1.5
0698名無しさん@お腹いっぱい。2008/10/23(木) 23:49:52
何たってKerberos認証が簡単にできちゃったのでビックリ
cyrusであんなに苦労したのがまるで嘘のよう
vistaのthunderbirdでシングルサインオンしちゃいますよ
0699名無しさん@お腹いっぱい。2008/10/24(金) 09:52:23
ニュースが出たと思ったら
Sieve完全対応だってさ
そんなに使ってる奴居るんかな
0700名無しさん@お腹いっぱい。2008/10/24(金) 12:23:16
sieveつかってるよ
manage sieveも使えるようにしてある
0701名無しさん@お腹いっぱい。2008/10/24(金) 12:25:54
うちもsieve使ってる。
ユーザーが簡単なフォルダ振り分けルールのsieveファイルを生成できる
Webインタフェースを用意して、サーバー側で振り分けをするようにしてる。
0702名無しさん@お腹いっぱい。2008/10/24(金) 13:34:38
おお、できることがいっぱい増えてるね。これはさっそく試さねば。

>>700
manage sieve を使える MUA がない……。
0703名無しさん@お腹いっぱい。2008/10/24(金) 16:07:15
procmailやmaildrop使っていた人がsieveに移行するとどんな感じの嬉しいことが
あるのかな? もちろん、MUAから扱えるようになれば劇的に嬉しくなるけど。
0704名無しさん@お腹いっぱい。2008/10/24(金) 17:31:33
エンドユーザの観点、とくに procmail や maildrop をすでに使ってるユーザなら
メリットはそれほど多くはないんじゃないかなぁ。
こいつらの機能をツール非依存の規格化された設定言語で記述できるようにするものが
sieve であって、procmail や maildrop にない機能が使えるわけじゃないので。

メールボックスのインデックスファイルが配送時に更新されるので
フォルダへのアクセス時には更新する必要がなくて応答が速くなる、ってのは
地味に嬉しいかもしれん。

やっぱり managesieve の使える MUA が普及しないことには絵に描いた餅かなぁ。
使えたとしても、↓こんなのじゃ初心者ユーザには勧めらないし。
http://sieve.mozdev.org/screenshots.html
0705名無しさん@お腹いっぱい。2008/10/24(金) 23:11:58
>>704
thunderbird の plugin もこんな感じだが、それでも .procmail をftpでウプれ、というのに比べれば3.14倍は良い(当社比)。
少なくとも activate はスクリプトのファイル名をクリックするだけで変えられるので、転送の有効・無効をスイッチする程度なら
初心者でもできるだろう。
07067052008/10/24(金) 23:19:05
ちっくしょう!
704 が「こんな感じ」っていってるスクリーンショットは、まさにthunderbirdのpluginのスクリーンショットじゃねーか!!
0707名無しさん@お腹いっぱい。2008/10/24(金) 23:21:17
ところで procmail で転送するとエンベロープのフロムが転送したユーザーになるけど
sieveで転送すると元のままでしょ。sieveでエンベロープのフロムは変更できるないの?
0708名無しさん@お腹いっぱい。2008/10/25(土) 16:58:33
> できるないの?

新語の予感
0709名無しさん@お腹いっぱい。2008/10/26(日) 00:55:45
自分で試してはないですが、マニュアルを読んだ感じだと、できるないとおもいます。
0710名無しさん@お腹いっぱい。2008/10/26(日) 10:19:47
sieve対応って、普通にdovecotだけで配送ルール書けるってこと?
それともなんかsieve対応のフィルタプラグインみたいなのを入れないとダメ?
0711名無しさん@お腹いっぱい。2008/10/26(日) 11:12:09
dovecotだけと言えばdovecotだけだし
プラグインかと言われればプラグインだ
sieveはalpha版への対応だし
ttp://wiki.dovecot.org/LDA/Sieve
を読んで理解できなければ
手を出さないことだろうね
07127072008/10/26(日) 12:32:02
私はDebian(etch)ユーザーなのですが、当方のケースではdovecotパッケージに含まれているsieveは
cyrusのsieveそのものらしいです。Debianのパッケージで独自に移植されているのではなく、もともとdovecot
がcyrusのsieveを含んでいるようです。プラグインの名前もcyrsieveですし。

その後、調べたところsieveでエンベロープのフロムを書き換えるかどうかは、仕様としてのsieveでは実装による、
と定義されているようでした。
(dovecot付属の)cyrusのsieveではできるないようでした。
07137102008/10/27(月) 00:50:38
>>711
ありがとう。
wiki読むとプラグインで対応なんですね。試してみます。
quotaプラグインとの併用も可能なのか気になるんですが
サンプルの設定でコメントに other plugins like quota と書いてあるから可能なのかな?
すでに試された方いたら教えてください。
0714名無しさん@お腹いっぱい。2008/10/27(月) 23:59:27
sieveとquotaの両方を同時に使えている。
0715名無しさん@お腹いっぱい。2008/10/28(火) 02:05:12
MH形式のメール読めないのか…orz
07167102008/10/28(火) 02:24:04
>>714
自分も試してみて、問題なく使えました。
sieveは、今まで外部プラグインで使えていたのが、今後は同梱のプラグインになる
ということだったんですね。
こんなのがあるってのを今まで知らずに、ずっとmaildrop使ってました。
0717名無しさん@お腹いっぱい。2008/10/30(木) 10:55:53
いつの間にやら1.1.6
0718名無しさん@お腹いっぱい。2008/10/30(木) 17:44:59
今postfix + dovecot (IMAP + maildir) + sieveでメールの振り分けをサーバ側でやらせようとしています。

ベースの設定は終わっており、sieveのper-user scriptがバイトコンパイルされること、
fileintoでのサブディレクトリへの振り分けが行われていることを確認しています。

$ cat ~/hoge.to/dovecot.sieve
...
require "fileinto";
if address :is "to" "hoge@fuga.jp" {
fileinto "INBOX.hoge";
}

クライアントにThunderbirdを使っているのですが、クライアントを立ち上げたまま、
新規メールがサブディレクトリに振り分けられた際にクライアントへの通知がされません。
(ポップアップでの通知や、ディレクトリ横の未読数が更新されず、
そのディレクトリを見に行かないと更新されない)。

Thunderbird側で
user_pref("mail.check_all_imap_folders_for_new", true);
の設定をいれれば、ユーザ側でメールチェックをした場合にサブフォルダを見てくれるようですが、
できればINBOXに振り分けられた時と同じように、クライアント側へ通知がされるように
する方法はないでしょうか。

アドバイスをよろしくお願いします。
postfix: 2.5.5
dovecot : 1.0.15
thunderbird: 2.0.0.17
0719名無しさん@お腹いっぱい。2008/10/30(木) 18:58:43
imap のプロトコル的には、クライアントが IDLE を送ってぼーっとしている間に、
フォルダの更新があればサーバから * STATUS な応答を返してやればいいのかな。

でもソースを見るかぎりそんなことはまったくやらないみたい。
0720名無しさん@お腹いっぱい。2008/10/30(木) 22:28:33
>>719
ソース見て頂いてどうもです。
ソース上でもしていないってことは望み薄そうですね・・・

ちなみにThunderbirdだと同時に4セッションほど張ってIDLE状態になるようですが
そのセッションが振り分け先のフォルダでIDLEになってれば通知を受け取れる
みたいです。(フォルダ選択した後で別フォルダをみていても、新規メールがくれば
通知がでる)

「クライアント側でのメールチェック感覚を短くする」「全フォルダチェック」
という対策とると、サーバ負荷もあがりそうですし何とも。

Windows Mailで試したところやはり似た状況でした。他のクライアントも同じ状況
であれば、サーバサイドで振り分けする以上IMAPでは仕方ないのかしら・・・
0721名無しさん@お腹いっぱい。2008/11/08(土) 18:24:27
あげておく
0722名無しさん@お腹いっぱい。2008/11/08(土) 22:48:05
そいやこれ

だぶこっと

って読みでおk?
0723名無しさん@お腹いっぱい。2008/11/08(土) 23:21:58
だぶ のような どぶ のような ぶもぶよりはふにちかいような
だぶこっと だふこっと どぶこっと どふこっと を足して4で割るような
0724名無しさん@お腹いっぱい。2008/11/10(月) 23:50:10
だヴこっ
0725名無しさん@お腹いっぱい。2008/11/17(月) 18:40:04
大きなバグでもあると盛り上がるんだけどね
0726名無しさん@お腹いっぱい。2008/11/17(月) 18:40:41
そんな盛り上がりいりません。
0727名無しさん@お腹いっぱい。2008/11/17(月) 20:45:47
>>725の環境が大クラッシュするよう祈っとくわ
0728名無しさん@お腹いっぱい。2008/11/24(月) 13:46:31
1.1.7が出たな。
0729名無しさん@お腹いっぱい。2008/12/02(火) 08:27:01
age
0730名無しさん@お腹いっぱい。2008/12/02(火) 12:34:01
POP3サーバをサーバ2台とL4スイッチで構築したい場合、
共通のメールスプール領域はどの様な構成にするのが良いでしょうか?
メールスプール用の別サーバ(NASとか)を用意してNFSでマウント?
DovecotでMaildirでの運用を想定してます。
0731名無しさん@お腹いっぱい。2008/12/02(火) 13:02:16
>>730
NASからNFS mountでいいんじゃない? 実績のある構成だし。
もし不安に思うようなら、とりあえずVMwareでも使って実験してみたら。
07327302008/12/02(火) 15:22:07
>>731
どうも有り難うございます。
NFSはなんとなく不安な気がしたのですが、実績ある構成なんですね。ISPとかもそうなのかな?
VMwareは身近にあるのに忘れておりました。NFS関連の障害試験を実施してみたいと思います。
0733名無しさん@お腹いっぱい。2008/12/02(火) 18:32:53
>>732
メールの ASP やってる IDC で運用やらなんやらしてたけどスプールは NFS でマウントしてたよ。
1 日の通数忘れたけど tail -f じゃ追いつかない位の物だったかな。
07347302008/12/02(火) 18:57:32
>>733
中の人の話が聞けてとても嬉しいです。NFSで問題ないんですね。
ちなみに、サービスに使用していたソフトウェアはDovecotでしたか?
0735名無しさん@お腹いっぱい。2008/12/02(火) 20:28:57
>>734
流石にそこは商用の MRA ですよw
ちなみに NAS で使ってたストレージは NetApp。
認証用にバックエンドで DB(Oracle) サーバーが 20 台近くあったかなぁ…
0736名無しさん@お腹いっぱい。2008/12/03(水) 11:37:07
俺のところはSANでやってる
NFSはロックがクソだしね、最近は良くなってるかもしれんが
個人でやる+Linux+速度気にしない、だったらsshfsもオヌヌメ
0737名無しさん@お腹いっぱい。2008/12/03(水) 16:09:14
>>736
Maildirでlockingを気にするとは
0738名無しさん@お腹いっぱい。2008/12/03(水) 16:27:34
dovecot がいじるのは Maildir の下のファイルだけじゃないよ。
■ このスレッドは過去ログ倉庫に格納されています