Postfix(6)
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2006/09/20(水) 02:04:10●リンク
本家
http://www.postfix.org/
Postfix のぺーじ (ドキュメントの日本語訳、MLなど)
http://www.kobitosan.net/postfix/
過去スレ、関連スレなどは>>2-4あたり
0143名無しさん@お腹いっぱい。
2006/11/15(水) 18:29:42直接送られるメールをブロックするもの。
IP25B を実施している ISP が、固定アドレスであっても ISP のサーバから送りやがれ、
というポリシーならば、送信側ではどうすることもできない。
0144名無しさん@お腹いっぱい。
2006/11/15(水) 18:40:12中国韓国のIPを総蹴りしてくれればそれだけで解決なのに。
0146名無しさん@お腹いっぱい。
2006/11/15(水) 19:25:21そういう問い合わせを世界中のISPに自分でやっていたら日が暮れるので
この手のサービスを利用するが普通。
ttp://www.trendmicro.com/jp/products/nrs/overview.htm
0147136
2006/11/15(水) 22:26:49普通のスパム対策ならそういうの使うのが当たり前。
だが、IP25BはISPがユーザの同意無くしかも任意に解除も出来ないという、相当きついフィルタ。
だから総務省の見解的に、そういうレピュテーションのような根拠が一定でない判断基準は
使えないんじゃないかと思う。
実際、一番最初にIP25Bを始めたOCNは、他事業者と交渉の上、IP25Bの対象を拡大すると言ってる。
http://www.ntt.com/release/2006NEWS/0004/0405.html
(2)「Inbound Port 25 Blocking」について、を参照のこと。
あとレピュテーション使ってるなら、144も言ってるように中韓からのスパムがもっと蹴られてるはず。
0148名無しさん@お腹いっぱい。
2006/11/18(土) 13:07:13ps ax | grep smtpd
などとしてプロセスを見ると以下のように表示されるわけですが、
smtpd -n smtp -t inet -u -c -s 2
引数の意味や master.cf との関連が書いてあるドキュメントはありますか?
-n smtp が master.cf のservice name、
-t inet は type だろうくらいは想像つくのですが、他のパラメータがわかりません。
man 5 master, man 8 master, man 8 smtpd してもわかりませんでした。
わかる方がいたらポインタでも良いので教えてください。よろしくです。
0149名無しさん@お腹いっぱい。
2006/11/18(土) 13:27:460150名無しさん@お腹いっぱい。
2006/11/18(土) 23:10:38Postfix辞典に載ってる
0151名無しさん@お腹いっぱい。
2006/11/18(土) 23:56:42smtpd.c とか master.c とか見たけど難しかったです
>>150
ありがとう。Postfix辞典買ってきます
0152名無しさん@お腹いっぱい。
2006/11/27(月) 22:26:42てことで、relayhostを指定するようになりました。
こんなこと出来ないでしょうか?
メールによってrelayhostを変更できないでしょうか?
出来ればprocmailでメール転送する際に転送先毎にrelayhostを切り替えたいのです。
0153名無しさん@お腹いっぱい。
2006/11/28(火) 18:10:23postfix2.3.3を使うために設定をしたんですが、
メール内外から受信、内部への送信はできても外部への送信ができません。
エラーは
Nov 28 17:36:58 hostname postfix/smtp[6987]: 664011EE4AE:
to=<eee@cc.dd.jp>, relay=none, delay=67174, delays=67144/0.03/30/0,
dsn=4.4.1, status=deferred (connect to mx.aaa.bbb.jp[xxx.xxx.xxx.xxx]: Connection timed out)
です。
pingでは正常に返ってきますが、telnetでは相手のメールサーバに接続できません。
ファイアーウォールを一度すべてoffにしてみてもだめでした。
また、ポートチェックでは25番ポートにアクセスできています。
なにが原因か考えられることはありますか?
プロバイダはBIGLOBEで、フレッツ光プレミアムの動的IPで運用しています。
0154名無しさん@お腹いっぱい。
2006/11/28(火) 18:33:13どうせ、OP25BやIP25Bまわりでそ
0155名無しさん@お腹いっぱい。
2006/11/28(火) 19:43:04もっと勉強してくれ
0156153
2006/11/28(火) 19:47:34ありがとうございました。
0157名無しさん@お腹いっぱい。
2006/11/28(火) 20:53:41transport
0158名無しさん@お腹いっぱい。
2006/11/28(火) 22:52:46smtp認証がなければ、それで一件落着なんだけど.....
転送先サーバ毎にsmtp認証のユーザID、パスワードを切り替えないといけないんですよ
0159名無しさん@お腹いっぱい。
2006/11/28(火) 23:02:58man smtp
0160158
2006/11/28(火) 23:29:35現状、relayhostにてsmtp認証する為に、
smtp_sasl_auth_enable, smtp_sasl_password_mapsの指定以外に、
myhostnameでrelayhostが要求するドメインを指定しています。
それとreturn-path指定の為にsender_canonical_mapsを指定しています。
このmyhostnameとsender_canonical_mapsが動的に変更できないので
難しいなーと思っているところです。これらをオーバーライドできるmap指定があれば
いいってことなんですけど
0161名無しさん@お腹いっぱい。
2006/11/29(水) 00:24:48> 転送先サーバ毎にsmtp認証のユーザID、パスワードを切り替えないといけないんですよ
これは可能と思うが...。
>>160
> ....relayhost が要求するドメインを指定..
これは必須なのか。名前が違うと蹴られるのかな。
0162158
2006/11/29(水) 07:32:15ちょっと間違ってました。
myhostnameは認証に必要ではなくて、Receivedヘッダに実在のドメインを記述
させることが主目的です。smtp認証していますのでこれは必須ではないです。
sender_canonical_mapsは、デフォルトのFrom, Return-Path指定の為に使用していますが、
現状でも明示的に指定すれば必須ではない筈です。またReturn-Pathに関しては固定でも一応許される問題です。
0163名無しさん@お腹いっぱい。
2006/11/29(水) 08:35:54要約すると、
Received ヘッダに記録されるのは、EHLO(HELO) で名乗った名前と、IP アドレスを
逆引きした名前、だと思うが、それを動的に変えたいということか。
0164158
2006/11/30(木) 00:12:05○,指定する,○,指定する,○,○,○
○,指定する,○,指定しない,○,×,○
○,指定する,×,指定する,○,×,○
○,指定する,×,指定しない,○,×,○
○,指定しない,○,指定する,○,×,○
○,指定しない,○,指定しない,○,○,○
○,指定しない,×,指定する,×,-,-
○,指定しない,×,指定しない,×,-,-
×,指定する,○,指定する,○,○,×
×,指定する,○,指定しない,○,○,×
×,指定する,×,指定する,○,×,×
×,指定する,×,指定しない,○,○,×
×,指定しない,○,指定する,○,×,×
×,指定しない,○,指定しない,○,×,×
×,指定しない,×,指定する,×,-,-
×,指定しない,×,指定しない,×,-,-
0165158
2006/11/30(木) 00:25:56>>164のcsvの説明です。
すみません。ちょっと話が戻るかもしれませんが、
1. sender_canonical_mapsのユーザ名
2. sender_canonical_mapsのドメイン名
3. myhostname
4. smtp_sasl_password_mapsのドメイン名
4条件を使った全ての組み合わせ16通りで検証してみました。
接続先プロバイダとrelayhostのあるプロバイダ(=nifty)とは異なります。
テストメールの送信先は全てyahooです。
条件の○はrelayhostにとって正当な値、×はデタラメな値を指定したことを意味します。
結果の項目は
1. 認証の結果
2. DomainKeysの結果
3. FromとReturn-Path(正しくデフォルト値が設定されるか)
です。
3項目全てOKとなったのは2行目と7行目だけです。
0166158
2006/11/30(木) 00:30:41出来るかというのが命題です。
DomainKeysがOKとなる条件がよくわかりません。
0167名無しさん@お腹いっぱい。
2006/11/30(木) 00:45:56smtp_sender_dependent_authentication とか
sender_dependent_relayhost_maps で済む話か?
0168158
2006/11/30(木) 02:44:50thanksです。
どうやら最新のpostfixだと対応できる可能性がありそうですね。
こっちはまだ2.2.10です。
DomainKeysについて誰か教えて頂けませんか?
0169名無しさん@お腹いっぱい。
2006/11/30(木) 08:45:03主要MUAでエラー/警告なしに使えればいーんだけど
0170名無しさん@お腹いっぱい。
2006/11/30(木) 09:24:51オレオレ証明書で「警告なし」だとしたら、それはそれで問題だとは思わないのかね?
脊髄反射で答えてみるテスト。
0171名無しさん@お腹いっぱい。
2006/11/30(木) 09:40:24PKIとしては「問題アリ」と思います
でもみんな一々証明書買ってるのかなぁ・・・
0172名無しさん@お腹いっぱい。
2006/11/30(木) 09:51:03Web と違って SMTP で SSL を使うのって管理下のユーザーだからハードルは
それほと高くないだろうし。
0173名無しさん@お腹いっぱい。
2006/11/30(木) 09:52:240174名無しさん@お腹いっぱい。
2006/11/30(木) 18:18:31個人認証までさせれば、オレオレでもそれなりの用途になるんじゃない?
0175名無しさん@お腹いっぱい。
2006/12/01(金) 01:30:02なんでレスすんの
0176名無しさん@お腹いっぱい。
2006/12/01(金) 01:32:480177名無しさん@お腹いっぱい。
2006/12/01(金) 09:00:21そういう使い方してるサーバが多い、って事だろ
インストールすると自己署名の証明書作るサーバもあるし。
0178名無しさん@お腹いっぱい。
2006/12/01(金) 21:32:31全然分かってないのは175だと思うんだけど俺の勘違い?
0179名無しさん@お腹いっぱい。
2006/12/01(金) 22:08:56173 が理解できなかったんなら自分で調べればいいのに
0180名無しさん@お腹いっぱい。
2006/12/02(土) 03:24:33pk12 でクライアント証明もつけたげれば、さらにぐー
漏れたらやばいけどなー
0181165,168
2006/12/02(土) 16:52:12Yahooが推している規格らしいんだけど、
http://help.yahoo.co.jp/help/jp/mail/whatisymail/whatisymail-56.html
を読んでもスペックはわからない。とにかくsmtpサーバ側の対応が必要らしい。
ここの人達は「どうせ孫の会社が推してる規格なんか無視,無視」ってとこなのかな
0182名無しさん@お腹いっぱい。
2006/12/02(土) 17:34:08つーか今さら DK なんか使うな。DKIM にしろ。
0183名無しさん@お腹いっぱい。
2006/12/02(土) 17:54:190184名無しさん@お腹いっぱい。
2006/12/02(土) 18:46:30スパム来た時も通す必要あるんだよね?
0185名無しさん@お腹いっぱい。
2006/12/02(土) 20:36:420186名無しさん@お腹いっぱい。
2006/12/03(日) 09:01:43ググレカス
0187名無しさん@お腹いっぱい。
2006/12/03(日) 12:51:44単なる燃料にマジレスする奴
0188名無しさん@お腹いっぱい。
2006/12/05(火) 20:17:200189名無しさん@お腹いっぱい。
2006/12/06(水) 19:17:47見たけど、これなんかまずいの?
0190名無しさん@お腹いっぱい。
2006/12/07(木) 12:04:42最近になってOB25のせいで自宅鯖からメールが送れなくなってしまいました。
ログにはConnectionRefusedと出ています
ISPはiijmioでISPのメール鯖を経由すれば送れるようでリレー先をそっちに指定しているんですが、何やら認証がいるようでうまくいきません。
メールサービスは入っているのでアカウントとパスワードはあるのですが、リレーさせるときどのようにすればいいかググっても解りません
postfix2.3 FreeBSD6.1でsaslやtlsなどは入れてあります
0191名無しさん@お腹いっぱい。
2006/12/07(木) 15:54:49http://www.kobitosan.net/postfix/trans-2.2/jhtml/smtp.8.html
の「SASL 認証の制御」辺りを読むべし。
0192名無しさん@お腹いっぱい。
2006/12/08(金) 23:42:10maildrop、procmail
以外にも何かありますか。フィルタ機能等は必要なく、
ただ配送だけしてくれればいいのですが。
0193名無しさん@お腹いっぱい。
2006/12/09(土) 00:09:07なにもローカル配送エージェント指定しなけりゃそのまま配送してくれるぞ
0194名無しさん@お腹いっぱい。
2006/12/09(土) 10:47:44目がすげー節穴
0195名無しさん@お腹いっぱい。
2006/12/09(土) 11:09:08してるんですが、とある中堅企業のMTAを介したスパムに悩まされています。
そのMTA自体は適正ですが、そいつがオープンリレーなのかmynetworks的な設定
がいい加減なのか分かりませんけどスパムメール率90%という状況で閉口してます。
そのMTAにリレーしたMTAをみるとDNS逆引きに失敗する中国の野良サーバの
ようなんですが、「2コ前のMTAについて(ブラックリストやPARANOID検査による)拒否」
ってできないでしょうか。
ちなみにそのMTAのpostmasterとも直接交渉中ですが「なんで俺のメールアドレス
知ってるんだゴルァ」「当社に不正アクセスしたのか?」と逆に脅されてる次第で、
その説明を始めたんですがラチがあきそうにありません。(ノД`)
0196名無しさん@お腹いっぱい。
2006/12/09(土) 11:51:04>「2コ前のMTAについて(ブラックリストやPARANOID検査による)拒否」
ふつーにそのアホ会社の IP アドレスを蹴ったら。業務上難しいのならば
from のアドレスやらメッセージ本文やらでチェックすればいい。
どーしても postfix でやりたいなら header_checks で Received: の行をひっかける。
ついでに、spamhaus とか spamcop とかの RBL に通報しておくと、
いろんなところにメール届かなくなるので事態の深刻さを認識してもらえると思う。
0197195
2006/12/09(土) 13:47:02必要なメールもあるので完全拒否はできないんです。
# でも必要なメール1に対しスパム15とか・・・名の通った国内企業とは思えない管理(涙)
# postmaster@ に送っただけで「なぜ私のアドレス知り得た?!」とか怒るくらいだからなぁ
# その程度ってことなのかorz
header_checksってReceived:の順番までは把握できないですよね。全着信メールについて
^Received: from sono-mta.example.co.jp (.+ [ブラックリストIP])/
これのマッチテストだけでREJECTさせるしかないのか・・・
0198名無しさん@お腹いっぱい。
2006/12/09(土) 14:07:01おおむね解決すると思う
困っているのは君だけじゃないのだから
キミがローカルに解決してもあまり意味は無い
0199名無しさん@お腹いっぱい。
2006/12/09(土) 14:29:11> >>192
> なにもローカル配送エージェント指定しなけりゃそのまま配送してくれるぞ
んなことは百も承知しとります。
aliases の中でパイプで外部に渡して、ごにょごにょしてから、ローカル配送したいのです。
0200名無しさん@お腹いっぱい。
2006/12/09(土) 14:30:31http://www.kobitosan.net/postfix/trans-2.2/jhtml/SMTPD_PROXY_README.html
は役に立たんか。
0201名無しさん@お腹いっぱい。
2006/12/09(土) 15:34:03milterって知ってる?
0202195
2006/12/09(土) 16:03:52postfix(というかMTA)で、Received:を解析してREJECTさせるのはチェックコストの問題もあるし厳しそう。
やはりベイジアンフィルタとかがベストなのかな。。。
>>198
そうしたい(そうすべき)ですけど、ちょっと影響が大きくて判断しかねます。(取引先だし)
すいません。
某外車メーカー、とだけ書いておきます。
>>200
情報ありがとう。じっくり読んでみます。
0203名無しさん@お腹いっぱい。
2006/12/09(土) 22:25:31そんなアホなところってあるんだなあ。
fromでのチェックはだめなの?そのIPからの時だけ、fromが特定のドメインでなかったら
蹴るようにすれば、スパムがそこの会社のドメイン騙ってない限りは防げるから。
smtpd_restriction_classesを使うと、そういう複合的な条件を書けるよ。
0204名無しさん@お腹いっぱい。
2006/12/11(月) 13:49:430205名無しさん@お腹いっぱい。
2006/12/11(月) 16:39:43そのファイルの定義によるw
virtual_alias_maps だとしたら、外のアドレスを書いても問題ない。
0206名無しさん@お腹いっぱい。
2006/12/13(水) 02:49:49つー事で、あまり環境依存のないwebベースの管理ツール教えてください
0207名無しさん@お腹いっぱい。
2006/12/14(木) 03:26:580208名無しさん@お腹いっぱい。
2006/12/15(金) 01:39:46管理者やめちまえ
0209名無しさん@お腹いっぱい。
2006/12/15(金) 01:42:31登場してから今に至るまでこのロジックで満足できたという奴を俺は知らんw
とりあえず上手く行きそうな未来を感じるのはSURBL系だろ?
0210名無しさん@お腹いっぱい。
2006/12/15(金) 03:13:160211名無しさん@お腹いっぱい。
2006/12/15(金) 03:24:170212名無しさん@お腹いっぱい。
2006/12/15(金) 14:12:200213名無しさん@お腹いっぱい。
2006/12/15(金) 18:43:490214名無しさん@お腹いっぱい。
2006/12/16(土) 08:56:07NGワードで拒否ってるだけ?
0215名無しさん@お腹いっぱい。
2006/12/16(土) 09:36:35迂闊に判定して捨てないで欲しいけどな。
MLとか通販伝票とかがヤバい
0216名無しさん@お腹いっぱい。
2006/12/16(土) 09:45:15んじゃもっといい方法を作って実装して提供してくれ
0217名無しさん@お腹いっぱい。
2006/12/16(土) 10:09:01>>215はメールフォルダにSPAMすら10通も来ない寂しい人なんだよ。
0218名無しさん@お腹いっぱい。
2006/12/16(土) 11:03:52過疎ってるこのあたりでも使ってやれよ。
http://pc8.2ch.net/test/read.cgi/unix/1128256415/
0219名無しさん@お腹いっぱい。
2006/12/18(月) 09:54:04だがベイジアン盲信するのも馬鹿だがな
0220名無しさん@お腹いっぱい。
2006/12/18(月) 21:02:59だか使って考察しようとせずに高みの見物を決め込むのはアホ。
0221名無しさん@お腹いっぱい。
2006/12/18(月) 23:52:08「解決できず、人によって許容できる・できないが分かれる物」を話題にしてしまうから荒れるんだろ。
0222名無しさん@お腹いっぱい。
2006/12/19(火) 00:33:17合わせてバランスを取ってくひたすら不毛な作業でしかないわけだよね。
ある技術 (たとえばベイジアンフィルタリングとか) が万能ではないから
といって役立たず扱いするってのは、極端杉だろう。
0223名無しさん@お腹いっぱい。
2006/12/19(火) 02:03:23有料でも当然完全ではないので妄信はどのみち不可
結局MUA/MTAで診断結果をヘッダ付加しユーザーが目視チェックする
しかなく、上流で拒絶するタイプは弊害が大きく毒になるってこと
んで、ベイジアンが前者の目視チェックタイプの導入例が多くxBLは後者
の拒絶する導入例が多いという事
(xBLチェックはMTAで行う歴史があり、ベイジアンはSpamAssassinって事)
そう考えるとInternet社会の中では xBL 系の方が実害が多く毒になってる
とは思う
結局、管理者はどちらを使うにしろ最低限の検出率UP対策はするべきであり
RBLならどこを使うかの選定、SpamAssassinなら日本語化対応、白黒学習
の方法の指導など「仕組みが悪い」と居直る前に先手先手に立ち回らなければ
いけない(ログのチェックは当然だしね)
ウイルス対策がいたちごっこな用にSPAM対策も同じように対処しなければ
いけない
だから、このスレでは何でも何回でも同じ議論がされてOK
常に”敵”は進化するんだからこちらも進化しなければいけない
例:reject_ns (今はもう必要ない)
結局、俺たち管理者の仕事は今後も永久に無くならないw
俺は少なくてもISPの有料フィルターやF-Sxxxxxなんかの糞製品には負けない
サービスを会社で構築している自負と自信があるよ
たとへ会社がそれを評価するかどうかは知らんけどさ・・・ _| ̄|○ アウアウ
0224名無しさん@お腹いっぱい。
2006/12/19(火) 03:43:20spamassassinでDNSBLだのURIBLだのをやっていることを知らない人?
0225名無しさん@お腹いっぱい。
2006/12/19(火) 03:54:570226名無しさん@お腹いっぱい。
2006/12/19(火) 09:35:49それと、スレ違いです。続けるのなら別のところでどうぞ。
0227名無しさん@お腹いっぱい。
2006/12/19(火) 09:38:10> reject_ns (今はもう必要ない)
qsv系って今もうこれ効かないの?
0228名無しさん@お腹いっぱい。
2006/12/19(火) 12:02:102.3.xでおっ毛(無難)ですかね?
調べてみてもバージョンごとの違いが明確に出てこないもんで
0229名無しさん@お腹いっぱい。
2006/12/19(火) 12:13:51開発元が最新の安定版だとしているものを迷わずインストールしろ。
オープンソースソフトの場合
商用ソフトのような「新製品を買わせるための新製品」は無いのだから。
0230名無しさん@お腹いっぱい。
2006/12/19(火) 13:10:22どうも失礼しました。
0231名無しさん@お腹すいた。
2006/12/19(火) 17:20:38master.cf にて設定を行い
外部から25番で受けたメールを他サーバに飛ばして、検疫後10025番で受ける
というシステムを動かしています。
ポート毎にログを分ける
もしくはpostfix/smtpdが受けたポート番号をmaillogに出力する
ことは可能でしょうか?
0232名無しさん@お腹いっぱい。
2006/12/19(火) 18:21:30submission ポートで受け付けたことをログに記録したくても、
一筋縄では出来ないってことと同じ問題かな?
たしか smtpd からハードリンクした submitd 等のファイルを
作成して、master.cf で submission ポートの smtpd の代わり
に指定すれば、ログで判別できるようになるのだったっけ。
0233名無しさん@お腹いっぱい。
2006/12/19(火) 19:26:38cd /usr/libexec/postfix; ln -s smtpd smtpA
master.cfに
587 inet n - n - - smtpA
でオケ。logは
Dec 19 19:22:09 svr postfix/smtpA[24798]: connect from localhost.localdomain[127.0.0.1]
Dec 19 19:22:25 svr postfix/smtpA[24798]: 3245233360: client=localhost.localdomain[127.0.0.1]
0234名無しさん@お腹いっぱい。
2006/12/19(火) 20:47:08最近QSV系は皆無だね
DDNS側で対策したんじゃないの?
0236名無しさん@お腹いっぱい。
2006/12/19(火) 21:45:35それで実現できるけど、推奨はされない。本家 ML でもときどき話題に出るけど、
かならず「もうひとつ postfix を起動しろ」という回答に落ち着く。
2.3 では smtp と lmtp が統合されてひとつのバイナリになって、
どの名前で起動されたかによって動作を変えるようになった。
今のところ smtpd はそういうことはしないけど、
将来もずっとそうだとは保証はされない。
0237231
2006/12/20(水) 11:35:33>>233
>>236
ありがとうございます。
もうひとつPostfixを起動させるとなると、ちょっと気軽に構成変更はできないですね・・・
maillogの client= とかでgrepして集計するようにしたいと思います。
本家MLでも出る話題なのですね。そちらもチェックしたいと思います。
ありがとうございました!
0238名無しさん@お腹いっぱい。
2006/12/20(水) 11:39:14ほんとだ。
dmfactorysとかbusiassistとか、mel@なやつにしか効いてねえや。
0239名無しさん@お腹いっぱい。
2006/12/21(木) 03:51:16他にいいwebフロントエンドないかな?
まあ、ユーザ管理をするだけならpostfix専用のwebフロントエンドは
必要ないのは確かなんだけど。
0240名無しさん@お腹いっぱい。
2006/12/21(木) 16:40:56postfixadminの不満点は?
0241名無しさん@お腹いっぱい。
2006/12/21(木) 17:30:332年近くアップデートされていないこと自体が不満になる罠。
ttp://forums.high5.net/viewforum.php?f=1を見る限りフォーラムは盛況なので、
開発が停止して死んだプロダクトと化しているわけではないだろうけど。
0242名無しさん@お腹いっぱい。
2006/12/21(木) 18:38:11内容に不満は無いんでしょ?
■ このスレッドは過去ログ倉庫に格納されています