Postfix(6)
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2006/09/20(水) 02:04:10●リンク
本家
http://www.postfix.org/
Postfix のぺーじ (ドキュメントの日本語訳、MLなど)
http://www.kobitosan.net/postfix/
過去スレ、関連スレなどは>>2-4あたり
0157名無しさん@お腹いっぱい。
2006/11/28(火) 20:53:41transport
0158名無しさん@お腹いっぱい。
2006/11/28(火) 22:52:46smtp認証がなければ、それで一件落着なんだけど.....
転送先サーバ毎にsmtp認証のユーザID、パスワードを切り替えないといけないんですよ
0159名無しさん@お腹いっぱい。
2006/11/28(火) 23:02:58man smtp
0160158
2006/11/28(火) 23:29:35現状、relayhostにてsmtp認証する為に、
smtp_sasl_auth_enable, smtp_sasl_password_mapsの指定以外に、
myhostnameでrelayhostが要求するドメインを指定しています。
それとreturn-path指定の為にsender_canonical_mapsを指定しています。
このmyhostnameとsender_canonical_mapsが動的に変更できないので
難しいなーと思っているところです。これらをオーバーライドできるmap指定があれば
いいってことなんですけど
0161名無しさん@お腹いっぱい。
2006/11/29(水) 00:24:48> 転送先サーバ毎にsmtp認証のユーザID、パスワードを切り替えないといけないんですよ
これは可能と思うが...。
>>160
> ....relayhost が要求するドメインを指定..
これは必須なのか。名前が違うと蹴られるのかな。
0162158
2006/11/29(水) 07:32:15ちょっと間違ってました。
myhostnameは認証に必要ではなくて、Receivedヘッダに実在のドメインを記述
させることが主目的です。smtp認証していますのでこれは必須ではないです。
sender_canonical_mapsは、デフォルトのFrom, Return-Path指定の為に使用していますが、
現状でも明示的に指定すれば必須ではない筈です。またReturn-Pathに関しては固定でも一応許される問題です。
0163名無しさん@お腹いっぱい。
2006/11/29(水) 08:35:54要約すると、
Received ヘッダに記録されるのは、EHLO(HELO) で名乗った名前と、IP アドレスを
逆引きした名前、だと思うが、それを動的に変えたいということか。
0164158
2006/11/30(木) 00:12:05○,指定する,○,指定する,○,○,○
○,指定する,○,指定しない,○,×,○
○,指定する,×,指定する,○,×,○
○,指定する,×,指定しない,○,×,○
○,指定しない,○,指定する,○,×,○
○,指定しない,○,指定しない,○,○,○
○,指定しない,×,指定する,×,-,-
○,指定しない,×,指定しない,×,-,-
×,指定する,○,指定する,○,○,×
×,指定する,○,指定しない,○,○,×
×,指定する,×,指定する,○,×,×
×,指定する,×,指定しない,○,○,×
×,指定しない,○,指定する,○,×,×
×,指定しない,○,指定しない,○,×,×
×,指定しない,×,指定する,×,-,-
×,指定しない,×,指定しない,×,-,-
0165158
2006/11/30(木) 00:25:56>>164のcsvの説明です。
すみません。ちょっと話が戻るかもしれませんが、
1. sender_canonical_mapsのユーザ名
2. sender_canonical_mapsのドメイン名
3. myhostname
4. smtp_sasl_password_mapsのドメイン名
4条件を使った全ての組み合わせ16通りで検証してみました。
接続先プロバイダとrelayhostのあるプロバイダ(=nifty)とは異なります。
テストメールの送信先は全てyahooです。
条件の○はrelayhostにとって正当な値、×はデタラメな値を指定したことを意味します。
結果の項目は
1. 認証の結果
2. DomainKeysの結果
3. FromとReturn-Path(正しくデフォルト値が設定されるか)
です。
3項目全てOKとなったのは2行目と7行目だけです。
0166158
2006/11/30(木) 00:30:41出来るかというのが命題です。
DomainKeysがOKとなる条件がよくわかりません。
0167名無しさん@お腹いっぱい。
2006/11/30(木) 00:45:56smtp_sender_dependent_authentication とか
sender_dependent_relayhost_maps で済む話か?
0168158
2006/11/30(木) 02:44:50thanksです。
どうやら最新のpostfixだと対応できる可能性がありそうですね。
こっちはまだ2.2.10です。
DomainKeysについて誰か教えて頂けませんか?
0169名無しさん@お腹いっぱい。
2006/11/30(木) 08:45:03主要MUAでエラー/警告なしに使えればいーんだけど
0170名無しさん@お腹いっぱい。
2006/11/30(木) 09:24:51オレオレ証明書で「警告なし」だとしたら、それはそれで問題だとは思わないのかね?
脊髄反射で答えてみるテスト。
0171名無しさん@お腹いっぱい。
2006/11/30(木) 09:40:24PKIとしては「問題アリ」と思います
でもみんな一々証明書買ってるのかなぁ・・・
0172名無しさん@お腹いっぱい。
2006/11/30(木) 09:51:03Web と違って SMTP で SSL を使うのって管理下のユーザーだからハードルは
それほと高くないだろうし。
0173名無しさん@お腹いっぱい。
2006/11/30(木) 09:52:240174名無しさん@お腹いっぱい。
2006/11/30(木) 18:18:31個人認証までさせれば、オレオレでもそれなりの用途になるんじゃない?
0175名無しさん@お腹いっぱい。
2006/12/01(金) 01:30:02なんでレスすんの
0176名無しさん@お腹いっぱい。
2006/12/01(金) 01:32:480177名無しさん@お腹いっぱい。
2006/12/01(金) 09:00:21そういう使い方してるサーバが多い、って事だろ
インストールすると自己署名の証明書作るサーバもあるし。
0178名無しさん@お腹いっぱい。
2006/12/01(金) 21:32:31全然分かってないのは175だと思うんだけど俺の勘違い?
0179名無しさん@お腹いっぱい。
2006/12/01(金) 22:08:56173 が理解できなかったんなら自分で調べればいいのに
0180名無しさん@お腹いっぱい。
2006/12/02(土) 03:24:33pk12 でクライアント証明もつけたげれば、さらにぐー
漏れたらやばいけどなー
0181165,168
2006/12/02(土) 16:52:12Yahooが推している規格らしいんだけど、
http://help.yahoo.co.jp/help/jp/mail/whatisymail/whatisymail-56.html
を読んでもスペックはわからない。とにかくsmtpサーバ側の対応が必要らしい。
ここの人達は「どうせ孫の会社が推してる規格なんか無視,無視」ってとこなのかな
0182名無しさん@お腹いっぱい。
2006/12/02(土) 17:34:08つーか今さら DK なんか使うな。DKIM にしろ。
0183名無しさん@お腹いっぱい。
2006/12/02(土) 17:54:190184名無しさん@お腹いっぱい。
2006/12/02(土) 18:46:30スパム来た時も通す必要あるんだよね?
0185名無しさん@お腹いっぱい。
2006/12/02(土) 20:36:420186名無しさん@お腹いっぱい。
2006/12/03(日) 09:01:43ググレカス
0187名無しさん@お腹いっぱい。
2006/12/03(日) 12:51:44単なる燃料にマジレスする奴
0188名無しさん@お腹いっぱい。
2006/12/05(火) 20:17:200189名無しさん@お腹いっぱい。
2006/12/06(水) 19:17:47見たけど、これなんかまずいの?
0190名無しさん@お腹いっぱい。
2006/12/07(木) 12:04:42最近になってOB25のせいで自宅鯖からメールが送れなくなってしまいました。
ログにはConnectionRefusedと出ています
ISPはiijmioでISPのメール鯖を経由すれば送れるようでリレー先をそっちに指定しているんですが、何やら認証がいるようでうまくいきません。
メールサービスは入っているのでアカウントとパスワードはあるのですが、リレーさせるときどのようにすればいいかググっても解りません
postfix2.3 FreeBSD6.1でsaslやtlsなどは入れてあります
0191名無しさん@お腹いっぱい。
2006/12/07(木) 15:54:49http://www.kobitosan.net/postfix/trans-2.2/jhtml/smtp.8.html
の「SASL 認証の制御」辺りを読むべし。
0192名無しさん@お腹いっぱい。
2006/12/08(金) 23:42:10maildrop、procmail
以外にも何かありますか。フィルタ機能等は必要なく、
ただ配送だけしてくれればいいのですが。
0193名無しさん@お腹いっぱい。
2006/12/09(土) 00:09:07なにもローカル配送エージェント指定しなけりゃそのまま配送してくれるぞ
0194名無しさん@お腹いっぱい。
2006/12/09(土) 10:47:44目がすげー節穴
0195名無しさん@お腹いっぱい。
2006/12/09(土) 11:09:08してるんですが、とある中堅企業のMTAを介したスパムに悩まされています。
そのMTA自体は適正ですが、そいつがオープンリレーなのかmynetworks的な設定
がいい加減なのか分かりませんけどスパムメール率90%という状況で閉口してます。
そのMTAにリレーしたMTAをみるとDNS逆引きに失敗する中国の野良サーバの
ようなんですが、「2コ前のMTAについて(ブラックリストやPARANOID検査による)拒否」
ってできないでしょうか。
ちなみにそのMTAのpostmasterとも直接交渉中ですが「なんで俺のメールアドレス
知ってるんだゴルァ」「当社に不正アクセスしたのか?」と逆に脅されてる次第で、
その説明を始めたんですがラチがあきそうにありません。(ノД`)
0196名無しさん@お腹いっぱい。
2006/12/09(土) 11:51:04>「2コ前のMTAについて(ブラックリストやPARANOID検査による)拒否」
ふつーにそのアホ会社の IP アドレスを蹴ったら。業務上難しいのならば
from のアドレスやらメッセージ本文やらでチェックすればいい。
どーしても postfix でやりたいなら header_checks で Received: の行をひっかける。
ついでに、spamhaus とか spamcop とかの RBL に通報しておくと、
いろんなところにメール届かなくなるので事態の深刻さを認識してもらえると思う。
0197195
2006/12/09(土) 13:47:02必要なメールもあるので完全拒否はできないんです。
# でも必要なメール1に対しスパム15とか・・・名の通った国内企業とは思えない管理(涙)
# postmaster@ に送っただけで「なぜ私のアドレス知り得た?!」とか怒るくらいだからなぁ
# その程度ってことなのかorz
header_checksってReceived:の順番までは把握できないですよね。全着信メールについて
^Received: from sono-mta.example.co.jp (.+ [ブラックリストIP])/
これのマッチテストだけでREJECTさせるしかないのか・・・
0198名無しさん@お腹いっぱい。
2006/12/09(土) 14:07:01おおむね解決すると思う
困っているのは君だけじゃないのだから
キミがローカルに解決してもあまり意味は無い
0199名無しさん@お腹いっぱい。
2006/12/09(土) 14:29:11> >>192
> なにもローカル配送エージェント指定しなけりゃそのまま配送してくれるぞ
んなことは百も承知しとります。
aliases の中でパイプで外部に渡して、ごにょごにょしてから、ローカル配送したいのです。
0200名無しさん@お腹いっぱい。
2006/12/09(土) 14:30:31http://www.kobitosan.net/postfix/trans-2.2/jhtml/SMTPD_PROXY_README.html
は役に立たんか。
0201名無しさん@お腹いっぱい。
2006/12/09(土) 15:34:03milterって知ってる?
0202195
2006/12/09(土) 16:03:52postfix(というかMTA)で、Received:を解析してREJECTさせるのはチェックコストの問題もあるし厳しそう。
やはりベイジアンフィルタとかがベストなのかな。。。
>>198
そうしたい(そうすべき)ですけど、ちょっと影響が大きくて判断しかねます。(取引先だし)
すいません。
某外車メーカー、とだけ書いておきます。
>>200
情報ありがとう。じっくり読んでみます。
0203名無しさん@お腹いっぱい。
2006/12/09(土) 22:25:31そんなアホなところってあるんだなあ。
fromでのチェックはだめなの?そのIPからの時だけ、fromが特定のドメインでなかったら
蹴るようにすれば、スパムがそこの会社のドメイン騙ってない限りは防げるから。
smtpd_restriction_classesを使うと、そういう複合的な条件を書けるよ。
0204名無しさん@お腹いっぱい。
2006/12/11(月) 13:49:430205名無しさん@お腹いっぱい。
2006/12/11(月) 16:39:43そのファイルの定義によるw
virtual_alias_maps だとしたら、外のアドレスを書いても問題ない。
0206名無しさん@お腹いっぱい。
2006/12/13(水) 02:49:49つー事で、あまり環境依存のないwebベースの管理ツール教えてください
0207名無しさん@お腹いっぱい。
2006/12/14(木) 03:26:580208名無しさん@お腹いっぱい。
2006/12/15(金) 01:39:46管理者やめちまえ
0209名無しさん@お腹いっぱい。
2006/12/15(金) 01:42:31登場してから今に至るまでこのロジックで満足できたという奴を俺は知らんw
とりあえず上手く行きそうな未来を感じるのはSURBL系だろ?
0210名無しさん@お腹いっぱい。
2006/12/15(金) 03:13:160211名無しさん@お腹いっぱい。
2006/12/15(金) 03:24:170212名無しさん@お腹いっぱい。
2006/12/15(金) 14:12:200213名無しさん@お腹いっぱい。
2006/12/15(金) 18:43:490214名無しさん@お腹いっぱい。
2006/12/16(土) 08:56:07NGワードで拒否ってるだけ?
0215名無しさん@お腹いっぱい。
2006/12/16(土) 09:36:35迂闊に判定して捨てないで欲しいけどな。
MLとか通販伝票とかがヤバい
0216名無しさん@お腹いっぱい。
2006/12/16(土) 09:45:15んじゃもっといい方法を作って実装して提供してくれ
0217名無しさん@お腹いっぱい。
2006/12/16(土) 10:09:01>>215はメールフォルダにSPAMすら10通も来ない寂しい人なんだよ。
0218名無しさん@お腹いっぱい。
2006/12/16(土) 11:03:52過疎ってるこのあたりでも使ってやれよ。
http://pc8.2ch.net/test/read.cgi/unix/1128256415/
0219名無しさん@お腹いっぱい。
2006/12/18(月) 09:54:04だがベイジアン盲信するのも馬鹿だがな
0220名無しさん@お腹いっぱい。
2006/12/18(月) 21:02:59だか使って考察しようとせずに高みの見物を決め込むのはアホ。
0221名無しさん@お腹いっぱい。
2006/12/18(月) 23:52:08「解決できず、人によって許容できる・できないが分かれる物」を話題にしてしまうから荒れるんだろ。
0222名無しさん@お腹いっぱい。
2006/12/19(火) 00:33:17合わせてバランスを取ってくひたすら不毛な作業でしかないわけだよね。
ある技術 (たとえばベイジアンフィルタリングとか) が万能ではないから
といって役立たず扱いするってのは、極端杉だろう。
0223名無しさん@お腹いっぱい。
2006/12/19(火) 02:03:23有料でも当然完全ではないので妄信はどのみち不可
結局MUA/MTAで診断結果をヘッダ付加しユーザーが目視チェックする
しかなく、上流で拒絶するタイプは弊害が大きく毒になるってこと
んで、ベイジアンが前者の目視チェックタイプの導入例が多くxBLは後者
の拒絶する導入例が多いという事
(xBLチェックはMTAで行う歴史があり、ベイジアンはSpamAssassinって事)
そう考えるとInternet社会の中では xBL 系の方が実害が多く毒になってる
とは思う
結局、管理者はどちらを使うにしろ最低限の検出率UP対策はするべきであり
RBLならどこを使うかの選定、SpamAssassinなら日本語化対応、白黒学習
の方法の指導など「仕組みが悪い」と居直る前に先手先手に立ち回らなければ
いけない(ログのチェックは当然だしね)
ウイルス対策がいたちごっこな用にSPAM対策も同じように対処しなければ
いけない
だから、このスレでは何でも何回でも同じ議論がされてOK
常に”敵”は進化するんだからこちらも進化しなければいけない
例:reject_ns (今はもう必要ない)
結局、俺たち管理者の仕事は今後も永久に無くならないw
俺は少なくてもISPの有料フィルターやF-Sxxxxxなんかの糞製品には負けない
サービスを会社で構築している自負と自信があるよ
たとへ会社がそれを評価するかどうかは知らんけどさ・・・ _| ̄|○ アウアウ
0224名無しさん@お腹いっぱい。
2006/12/19(火) 03:43:20spamassassinでDNSBLだのURIBLだのをやっていることを知らない人?
0225名無しさん@お腹いっぱい。
2006/12/19(火) 03:54:570226名無しさん@お腹いっぱい。
2006/12/19(火) 09:35:49それと、スレ違いです。続けるのなら別のところでどうぞ。
0227名無しさん@お腹いっぱい。
2006/12/19(火) 09:38:10> reject_ns (今はもう必要ない)
qsv系って今もうこれ効かないの?
0228名無しさん@お腹いっぱい。
2006/12/19(火) 12:02:102.3.xでおっ毛(無難)ですかね?
調べてみてもバージョンごとの違いが明確に出てこないもんで
0229名無しさん@お腹いっぱい。
2006/12/19(火) 12:13:51開発元が最新の安定版だとしているものを迷わずインストールしろ。
オープンソースソフトの場合
商用ソフトのような「新製品を買わせるための新製品」は無いのだから。
0230名無しさん@お腹いっぱい。
2006/12/19(火) 13:10:22どうも失礼しました。
0231名無しさん@お腹すいた。
2006/12/19(火) 17:20:38master.cf にて設定を行い
外部から25番で受けたメールを他サーバに飛ばして、検疫後10025番で受ける
というシステムを動かしています。
ポート毎にログを分ける
もしくはpostfix/smtpdが受けたポート番号をmaillogに出力する
ことは可能でしょうか?
0232名無しさん@お腹いっぱい。
2006/12/19(火) 18:21:30submission ポートで受け付けたことをログに記録したくても、
一筋縄では出来ないってことと同じ問題かな?
たしか smtpd からハードリンクした submitd 等のファイルを
作成して、master.cf で submission ポートの smtpd の代わり
に指定すれば、ログで判別できるようになるのだったっけ。
0233名無しさん@お腹いっぱい。
2006/12/19(火) 19:26:38cd /usr/libexec/postfix; ln -s smtpd smtpA
master.cfに
587 inet n - n - - smtpA
でオケ。logは
Dec 19 19:22:09 svr postfix/smtpA[24798]: connect from localhost.localdomain[127.0.0.1]
Dec 19 19:22:25 svr postfix/smtpA[24798]: 3245233360: client=localhost.localdomain[127.0.0.1]
0234名無しさん@お腹いっぱい。
2006/12/19(火) 20:47:08最近QSV系は皆無だね
DDNS側で対策したんじゃないの?
0236名無しさん@お腹いっぱい。
2006/12/19(火) 21:45:35それで実現できるけど、推奨はされない。本家 ML でもときどき話題に出るけど、
かならず「もうひとつ postfix を起動しろ」という回答に落ち着く。
2.3 では smtp と lmtp が統合されてひとつのバイナリになって、
どの名前で起動されたかによって動作を変えるようになった。
今のところ smtpd はそういうことはしないけど、
将来もずっとそうだとは保証はされない。
0237231
2006/12/20(水) 11:35:33>>233
>>236
ありがとうございます。
もうひとつPostfixを起動させるとなると、ちょっと気軽に構成変更はできないですね・・・
maillogの client= とかでgrepして集計するようにしたいと思います。
本家MLでも出る話題なのですね。そちらもチェックしたいと思います。
ありがとうございました!
0238名無しさん@お腹いっぱい。
2006/12/20(水) 11:39:14ほんとだ。
dmfactorysとかbusiassistとか、mel@なやつにしか効いてねえや。
0239名無しさん@お腹いっぱい。
2006/12/21(木) 03:51:16他にいいwebフロントエンドないかな?
まあ、ユーザ管理をするだけならpostfix専用のwebフロントエンドは
必要ないのは確かなんだけど。
0240名無しさん@お腹いっぱい。
2006/12/21(木) 16:40:56postfixadminの不満点は?
0241名無しさん@お腹いっぱい。
2006/12/21(木) 17:30:332年近くアップデートされていないこと自体が不満になる罠。
ttp://forums.high5.net/viewforum.php?f=1を見る限りフォーラムは盛況なので、
開発が停止して死んだプロダクトと化しているわけではないだろうけど。
0242名無しさん@お腹いっぱい。
2006/12/21(木) 18:38:11内容に不満は無いんでしょ?
0243名無しさん@お腹いっぱい。
2006/12/21(木) 18:55:480244名無しさん@お腹いっぱい。
2006/12/21(木) 19:09:22でダメな理由はちょっとしりたい
0245名無しさん@お腹いっぱい。
2006/12/21(木) 19:14:110246名無しさん@お腹いっぱい。
2006/12/21(木) 19:16:13大したキチガイ発言だ。
0247名無しさん@お腹いっぱい。
2006/12/21(木) 20:05:27良し悪しの基準が239にはあるのだろうし、
それに照らし合わせてpostfixadminのよしあしを
語ってもらえれば良いんじゃないかな?
とりあえず最近アップデートされているやつが欲しいというのは読み取れた。
0248名無しさん@お腹いっぱい。
2006/12/21(木) 20:21:500249名無しさん@お腹いっぱい。
2006/12/21(木) 20:40:340250名無しさん@お腹いっぱい。
2006/12/21(木) 20:41:11postfixadminの不満点を書いてよワンワン
0251名無しさん@お腹いっぱい。
2006/12/21(木) 20:50:25質問をすると240に噛みつかれる点
0252名無しさん@お腹いっぱい。
2006/12/21(木) 20:52:020253名無しさん@お腹いっぱい。
2006/12/21(木) 20:53:55遅れない。にょろーん。なんか独自パッチが当たっているっぽい。
そして独自パッチがバグっていると思う…。
しゃあないので、2chに転載しますが、
------------
少々お知恵を拝借したいのですが、LDAPサーバ障害時の対策について
なにか良い手がないでしょうか?
現在
LDAPサーバ CentOS4.2 /OpenLDAP : 1台
メールサーバ CentOS4.4 /Postfix : 1台
構成で運用しています。
先日、LDAPサーバのldap daemon(プロセス)が落ちてました。
メールサーバでUnknown Userエラーで大量のメールが落ちてしまいました。
とほほ。そこで対策を考えていたのですが、
色々調べた所
(続く)
0254253
2006/12/21(木) 20:55:27即時にUser Unknown エラーになる。つまり、再送は期待できない。
---
% telnet mail.example.ac.jp 25
Trying 192.168.0.1...
Connected to mail.example.ac.jp.
Escape character is '^]'.
220 mail.example.ac.jp ESMTP Postfix
HELO hoge.example.ac.jp
250 mail.example.ac.jp
RCPT TO: hogehoge@mail.example.ac.jp
550 <hogehoge@mail.example.ac.jp>: Recipient address rejected: User unknown in local recipient table
---
(2)LDAPサーバのLANケーブルを抜いた場合:
LDAPサーバに接続しようとして反応しなくなる。
---
% telnet mail.example.ac.jp 25
Trying 192.168.0.1...
Connected to mail.example.ac.jp.
Escape character is '^]'.
(この状態で黙る)
---
しかし 即時にUser Unknown エラーにはならないので、後日、再送が期待できる
送信側の/var/log/maillogより:
-----
Dec 21 19:13:22 hoge postfix/smtp[25039]: [ID 197553 mail.info] 107541DB41: conversation with mail.example.ac.jp[192.168.0.1] timed out while sending MAIL FROM
-----
(続く)
0255253
2006/12/21(木) 20:56:17が問題です。
何か手はないでしょうか?
例えば、
1. LDAPサーバのヘルスチェックをして、反応が無くなったら
/etc/postfix/main.cf
---
unknown_local_recipient_reject_code = 550
---
から
---
unknown_local_recipient_reject_code = 450
---
に書き換えてくれるようなスクリプトとか、
2. LDAPサーバのldap daemonが落ちた場合でも即時にエラーにならないような
/etc/ldap.confの設定方法とか。
なにかありましたらよろしくお願いします。
0256名無しさん@お腹いっぱい。
2006/12/22(金) 00:08:38独自パッチの当たったGreylistingで送れない気がする、というほうが気になるんだが。
どういうエラーログが出てるのか、どういう環境から送ってるのか知りたいところ。
■ このスレッドは過去ログ倉庫に格納されています