Postfix(8)
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2008/11/29(土) 19:18:18●リンク
本家
http://www.postfix.org/
Postfix のぺーじ (ドキュメントの日本語訳、MLなど)
http://www.kobitosan.net/postfix/
過去スレ、関連スレなどは>>2-4あたり
0242名無しさん@お腹いっぱい。
2009/07/06(月) 21:03:47金で解決するかポリシーで解決するか。
傾向を調べて日本国外からの爆撃がほとんどだったら
>>236でまとめて制限するとかすればいいんじゃね
0243名無しさん@お腹いっぱい。
2009/07/06(月) 23:03:350244名無しさん@お腹いっぱい。
2009/07/10(金) 19:15:34Postfix 2.4を2.6の最新版にアップグレードして
postgreyも最新のものにしようと思っているのですが
# portupgrade -o mail/postfix -f mail/postfix24
# portupgrade -R mail/postgrey
で大丈夫なんでしょうか?
設定ファイルの書き方に変更があるならバックアップをとろうと思うんですが
0245名無しさん@お腹いっぱい。
2009/07/14(火) 21:21:02postfix set-permissions
でいいんじゃね
0246名無しさん@お腹いっぱい。
2009/07/24(金) 21:09:220247名無しさん@お腹いっぱい。
2009/07/25(土) 11:54:070248名無しさん@お腹いっぱい。
2009/07/28(火) 00:37:03どうせ大した人数もいないんだからGmailでもなんでもSaaSつかえばよかろうに
0249名無しさん@お腹いっぱい。
2009/07/28(火) 12:46:41ウェブサーバーとかはイントラネットで立てて実験してってできるじゃないですかあ
でもメールサーバーってほんとに送受信できるかどうかって他所のサーバーと
やってみるまでわかんないじゃないですかあ
そこがこうヒリヒリする感じ?ああ本物のサーバーだなって思えるじゃないですかあ
やっぱりただのサーバーとメールサーバーとは隔絶した存在なんですよ
ギンヌンガガップがあるんですよ
0250名無しさん@お腹いっぱい。
2009/07/28(火) 13:15:220251名無しさん@お腹いっぱい。
2009/08/09(日) 01:09:53直接SMTPたたかれるとユーザ名等がログに残らないのですが、
ユーザ名を特定する方法はないでしょうか?
0252251
2009/08/09(日) 01:20:18SMTPポートへの接続はローカルからでも拒否して、
postfix.sendmail
ttp://www.postfix-jp.info/trans-2.2/jhtml/mailq.1.html
への接続はローカルから許可する、なんてことは可能でしょうか?
理想は 251のようにローカルホスからの接続の場合、ユーザ名をログすることなんですが、
なんか厳しい気がするので。
0253名無しさん@お腹いっぱい。
2009/08/09(日) 01:41:13「SMTPポートへの接続」と「postfix.sendmailへの接続」っつーのはどう違うんだ?
それぞれ違うTCPポートで起動させてんのか?
まあ、プロトコルやMTAについてよく判ってないようなので、君には無理。
0254251
2009/08/09(日) 01:58:31postfix.sendmailが最終的にSMTP接続を行うと考えれば結局は同じになるかと思います。
なんで252の件もやはり難しそうですよね。
ローカルであろうがなかろうが、SMTP認証をつけてしまおうかとも
考えましたが、そうなるとpostfix.sendmail使用の際も認証が必要、となり、
実質的にpostfix.sendmailを改造しないと対応できない気がします。
postfix.sendmailは使用ユーザをログするようになってるようなので
使用は問題ないのですが、
直にSMTP接続されると使用者の特定方法がなくて困っています。
ローカルからは接続許可しているケースが一般的だと思います。
この場合、極端な事例だと、自社に大量スパマーがいたら
送信行動の特定ができなくなってしまうわけですが、
このあたり他の方はどのような対応なさってるんでしょうか?
ローカルポートへの接続状況を監視するようなプログラムってないでしょうか?
0255251
2009/08/09(日) 02:04:16netstat をもう少しログや接続ユーザ等詳細に残せるような感じなものが
あればとりあえずの目的は達成できそうなのですが。
0256名無しさん@お腹いっぱい。
2009/08/09(日) 11:08:04postfixがidentサポートしてればいいんだろうけど、サポートしてなさげだし。
0257名無しさん@お腹いっぱい。
2009/08/10(月) 11:33:310258名無しさん@お腹いっぱい。
2009/08/11(火) 10:10:28良く読んだらspammer防ぎたいってだけだからauth強要でいいのか。
0259名無しさん@お腹いっぱい。
2009/08/14(金) 08:03:240260名無しさん@お腹いっぱい。
2009/08/15(土) 20:23:47フィールドを追加する等加工をして通すなんて処理は出来るのでしょうか?
なるべくサーバでは捨てないでクライアントで捨てる方向にしたいのですが・・・。
0261名無しさん@お腹いっぱい。
2009/08/15(土) 22:24:24つ spamassassin
0262260
2009/08/16(日) 00:43:18spamassassinってベジアンフィルタだけだと思ってスルーしてたけど
RBLとかにも対応してるのね。ベジアンフィルタOFFで使えるなら
これが良さそう。ちょっと試してみます。ありがとー
0263260
2009/08/16(日) 06:38:57procmailかamavisd-newあたりをかまさないと駄目なんだと思うけど
ベジアンフィルター使わないならちょっと大げさな気がしてきた
もうちょっとシンプルな方法無いのかな・・・
0264名無しさん@お腹いっぱい。
2009/08/16(日) 07:08:58もうちょっと調べろよ…
つ spamass-milter
0265名無しさん@お腹いっぱい。
2009/08/16(日) 08:16:47http://www.postfix-jp.info/trans-2.1/jhtml/access.5.html
PREPEND headername: headervalue
メッセージの前に指定されたメッセージヘッダを付加します。このアク
シ ョンが複数回使われると、最初に付加されたヘッダは2番目などのヘ
ッダの前に現れます。
注意: このアクションは複数行のメッセージヘッダをサポートしていま
せん。
この機能は Postfix 2.1 以降で使えます。
0266名無しさん@お腹いっぱい。
2009/08/17(月) 12:26:54メールの転送について聞きたいのですが、
Aから、Bに届いたメールをCに転送すると、Cには差出人が
Aであると表示されます。これをBと表示するにはどんな設定が必要でしょうか。
Bのアドレスがpostfixで提供しているアドレスです。
0267名無しさん@お腹いっぱい。
2009/08/17(月) 12:51:45いやほんとに
0268名無しさん@お腹いっぱい。
2009/08/17(月) 13:10:45PostfixのRBLの機能使って、PREPENDでヘッダにメッセージ付加は出来ないんじゃない?
やっぱSAとか使わん限りむりじゃないかなあ。
0269266
2009/08/17(月) 15:53:38MySQLのaliasテーブルにowner-***を追加してみたけど、ダメだった。
http://mtlab.ecn.fpu.ac.jp/WSM_2005/051007121618.html
Try & Errorでやるようなスキルじゃpostfix扱うべきじゃないんですかねorz
0270名無しさん@お腹いっぱい。
2009/08/17(月) 16:23:13悪いことはいわん
明らかに envelope と header の区別もついていなさそうだし
forward が何をさすのかも分かっていないようなので
氏ねとか逝ってしまえとまでは言わないが
基本をきちんと勉強してからにしてくれ
設定とかじゃなくて「メールとは何か」ってことを、ね
そして上記のキーワードの意味が分かってからにしなさい
0271266
2009/08/17(月) 16:31:33勘違いしてました。全然分かってなかったですね。ちょっと勉強しなおしてきます(汗;
0272名無しさん@お腹いっぱい。
2009/09/01(火) 16:22:41が出力される時の条件って、smtpd_hard_error_limit に依存するのですか?
出力条件が良く判らないので、ご存じの方お教えください。
0273名無しさん@お腹いっぱい。
2009/09/01(火) 20:20:110274名無しさん@お腹いっぱい。
2009/09/04(金) 09:34:32smtpd_soft_error_limit
0275名無しさん@お腹いっぱい。
2009/09/10(木) 14:37:02達しちゃうんです。limitを多くしても根本的な解決にならないような気がして、この
不要なsmtpdをすぐに停止するようなオプションってあるのでしょうか。
0276名無しさん@お腹いっぱい。
2009/09/10(木) 14:40:350277275
2009/09/10(木) 14:48:13あーでも拒否っても無視してデータ送ってくる類もいますか。
0278名無しさん@お腹いっぱい。
2009/09/10(木) 15:17:26> 一定時間待っててもなんもデータが送られてこない接続。ですかね?
どの段階でかよくわからんが
smtp_なんちゃら_timeout でいいんじゃね。
0279名無しさん@お腹いっぱい。
2009/09/10(木) 15:18:140280275
2009/09/10(木) 17:29:39どもです。タイムアウトの設定があったのですね。
とりあえずこんな感じで短めにしてみたところ前より処理が早くなりました。
もうちょい様子を見てまたご報告します。
anvil_rate_time_unit = 5
default_process_limit = 500
smtp_connect_timeout = 10s
smtp_helo_timeout = 60s
smtp_mail_timeout = 60s
smtp_rcpt_timeout = 60s
smtp_data_init_timeout = 45s
smtp_data_xfer_timeout = 60s
smtp_data_done_timeout = 60s
smtp_quit_timeout = 60s
smtp_mx_session_limit = 0
0281名無しさん@お腹いっぱい。
2009/09/10(木) 17:36:01ぜんぜん関係ないパラメータいじってんのに効果あるわけねーよ。
ちっとは自分でマニュアル調べろ。
0282280
2009/09/10(木) 17:48:26anvil_rate_time_unit ですよね?マニュアル読みました・・・orz
0283名無しさん@お腹いっぱい。
2009/09/10(木) 21:49:21プロセス使い切ってしまう問題は、postfix の設定変更だけじゃ無理だよ。
OS書いてないから、具体的な事は言わないけど・・・
0284280
2009/09/10(木) 22:54:00そうなんですか。とりあえずタイムアウトの設定いじったらずいぶんマシに
なりましたが、結局量が増えたら同じですかね。
CentOSなんですが何かいい方法ありますでしょうか。
別のOSの場合でもいいのですが。
0285名無しさん@お腹いっぱい。
2009/09/10(木) 22:55:36あーこの設定は極めてまずいところが有るな
0286280
2009/09/10(木) 23:13:16他のサイトを参考にしたんですが、やはり明示的に上限を決めておいた方がいいのでしょうか。
0287名無しさん@お腹いっぱい。
2009/09/10(木) 23:16:54無制限に接続を受け付けてメモリ不足スワップ発生
スラッシング発生になったほうがよっぽど処理速度が落ちる
よっぽどでかいサイトでもない限り10や20も受け付けときゃ十分だ
SMTPには再送の機構が最初からあるんだから
0288280
2009/09/10(木) 23:34:100289名無しさん@お腹いっぱい。
2009/09/10(木) 23:43:19プロセス使い切っちゃうねい。まあ、ttp://k2net.hakuba.jp/targrey/ のパッチ
当てればいいんだけど、最近のSPAMってtarpittingしていてもいなくても、
あまり差が出てこないような気もするし、もうtarpittingはやめちゃっていいのかも。
0290名無しさん@お腹いっぱい。
2009/09/11(金) 11:19:27tarpitしてもプロセス数の増加はせいぜい3倍くらいだったよ。
もちろんパッチ当てたほうがいいと思うけどね。
あとtarpit掛ける時間が現状にマッチしてるかも大事。
大手botnetが時々待ち時間変更してくるからそれが抜けない時間を設定。
今なら90秒くらいか。
0291名無しさん@お腹いっぱい。
2009/09/11(金) 14:47:33んな大量のリクエストてアドレス数も多いと思うけど
担当がこんなのだと、そうでも無いんかな
0292名無しさん@お腹いっぱい。
2009/09/11(金) 18:56:390293名無しさん@お腹いっぱい。
2009/09/11(金) 21:43:31postfixを5年ほど10台くらいで運用してるけど、spam受信が100埋まる事無いです
tarpitは90秒ですよねぇ
よっぽどあれなサービスか?とか勘ぐってるんだけど
もしくはその接続はspamじゃないとか
0294名無しさん@お腹いっぱい。
2009/09/11(金) 22:18:540295名無しさん@お腹いっぱい。
2009/09/12(土) 01:32:25いや、最近Brute force attackみたいに1秒間に1000セッションとか張ってくる
いやーんな感じのがはやっているの。
以前だったら、全然問題無かったけど最近他のスレでも話題になったよ。
0296名無しさん@お腹いっぱい。
2009/09/12(土) 03:11:41メールを送るのでは無くて、純粋に攻撃なのでわww
受け取る必要無いだろうから、ファイアーウォールで弾くのがはやそう
0297名無しさん@お腹いっぱい。
2009/09/12(土) 08:02:33まだ理解できていないのか、こいつ。
0298名無しさん@お腹いっぱい。
2009/09/12(土) 08:28:41>いや、最近Brute force attackみたいに1秒間に1000セッションとか張ってくる
>いやーんな感じのがはやっているの。
IP晒してくれ
0299名無しさん@お腹いっぱい。
2009/09/12(土) 09:03:030300名無しさん@お腹いっぱい。
2009/09/12(土) 09:15:560301名無しさん@お腹いっぱい。
2009/09/12(土) 09:20:230302名無しさん@お腹いっぱい。
2009/09/12(土) 11:11:040303名無しさん@お腹いっぱい。
2009/09/12(土) 12:10:14どんな種類のFWで、どのような方法で弾くのか教えてください。
0304名無しさん@お腹いっぱい。
2009/09/12(土) 12:30:230305名無しさん@お腹いっぱい。
2009/09/12(土) 12:34:280306名無しさん@お腹いっぱい。
2009/09/12(土) 12:49:00もうやめとけ。
アホを相手にしても無駄にスレが伸びるだけ。
0307名無しさん@お腹いっぱい。
2009/09/12(土) 13:33:52jp以外からの接続は次のMXに任せればいーがね
つか、そうやってるぞ
あ、291,293,296 ね
他は別の人です
0308名無しさん@お腹いっぱい。
2009/09/12(土) 14:55:32書けば書くほど自分の知識と経験の無さを宣伝している
事に何故気がつかない?
もう少し色々と経験して自分の頭で考えた方が良いよ。
0309名無しさん@お腹いっぱい。
2009/09/12(土) 15:59:11DDoSのなにが大変なのかお勉強して出直してくること。
0310名無しさん@お腹いっぱい。
2009/09/12(土) 16:00:061行目の時点でお前が何もわかっていないということはわかる。
0311名無しさん@お腹いっぱい。
2009/09/12(土) 18:49:150313名無しさん@お腹いっぱい。
2009/09/12(土) 20:23:000314名無しさん@お腹いっぱい。
2009/09/12(土) 20:43:56突然auth関連のログが1.5MBとかになっていて、何事かと思ったら
sshだったりするものねい。かつてに比べて、1回のアタックあたりの
試行回数が増えていて、本当にうざい。一昨日は15000回ぐらいやられてた。
0315名無しさん@お腹いっぱい。
2009/09/12(土) 21:17:30それこそ
>304
>iptablesのlimitとかconnlimitでいいんじゃね。Linuxしか知らないけど。
の出番だろ
0316名無しさん@お腹いっぱい。
2009/09/12(土) 21:24:10>>309はちゃんと「DDoS」と書いてくれてるのに、それを勝手にDOSと
書き換えるような不注意さ、調べる気の無さが問題かな。
0317名無しさん@お腹いっぱい。
2009/09/12(土) 22:04:030318名無しさん@お腹いっぱい。
2009/09/12(土) 23:49:560319名無しさん@お腹いっぱい。
2009/09/13(日) 00:15:070320名無しさん@お腹いっぱい。
2009/09/13(日) 02:05:300321名無しさん@お腹いっぱい。
2009/09/13(日) 05:17:56∧,,∧ ∧,,∧
∧,,(´-ω-)(-ω-`)∧,,∧
( ´-ω)旦o) (o旦o(ω-` )
(_ o[( ´-) (-` )]o _)
└'ー-(_ )][( _)ー'┘
'ー'^ー' 'ー'^ー'
0322307
2009/09/14(月) 00:36:34>>316
ごめんなさい。携帯からだったので打つのが面倒でDOSと略しちゃった。
この文意の中だったら意味伝わるかなと。。申し訳ない。
んじゃぁ、結局私が提示した
・必要な通信とあらかた不要な通信を分離してサービスレベルを分ける
・全部取得する必要があるならサーバー台数を増やす
という対処法に間違いは無いで宜しいでしょうか?
必要な通信の定義がサービスによって違うと思いますが、うちではとりあえず
http://www.nic.ad.jp/ja/dns/ap-addr-block.html
ここのIPアドレスとhotmailやgmail等の海外メジャーメールサービスをプライマリMXに。他をセカンダリ以下のMXで受けてます。
0323名無しさん@お腹いっぱい。
2009/09/14(月) 00:45:42∧,,∧ ∧,,∧
∧,,(´-ω-)(-ω-`)∧,,∧
( ´-ω)旦o) (o旦o(ω-` )
(_ o[( ´-) (-` )]o _)
└'ー-(_ )][( _)ー'┘
'ー'^ー' 'ー'^ー'
0324名無しさん@お腹いっぱい。
2009/09/14(月) 00:49:000325名無しさん@お腹いっぱい。
2009/09/14(月) 01:07:39そんな時間があるのなら、お勉強すればいいのに。
0326名無しさん@お腹いっぱい。
2009/09/14(月) 01:18:17__,,/ _, ----`ヽ :.
:. / _ ___ 、\
/ / i \ \\ :.
:. ,'./ i ヽ:. ヽ:.:.. ヽ.ヽ
,'/ / .ハ ヽ ヽ:.:.:.:. ヽ::.. ヽヽ :.
:. |i .i i .i / ヽ ト 、 \、:.:.:. ',:.',:.:.lヽ}
|i .i l :N_, -弋 \弌弋ナ:}:.:}
:. |i∧ ', :{ ,ィjモト \ イjミトイイV :. な…
.| :メヽ.', `ozZ} izN。ハ::{ なんなんですか?
:. | :ヾ_! ゝ "゙゙ ' `゙ ハ.:', :. ここ、どこですか?
| :.:_イ .:.ヽ. (二フ , イ :.:.:!:.ヽ どうして私
:. / rィイ | :.:.ヽ: >r/`<ノ .:.::.}ヽ、\:. よばれたんですか?…
/ ∧l;l ! :.:.:.://{二 ̄ .} ..:..::リ//ハ.:\
:. / .{. ',ヾ、ヽi .:.:.{ /(^` |.:.:.:.//: : :.}: . ヽ.:.
/ / ) ヽ ヾ、ヽ:.ハ ヤ{ ∧/.-‐'": : |:.:. i ',
./ .,イ .:..} : :\ヾレ'ハ ∧__ノノハヾ、 : : : l:.:.: .ハ ',
{ /| .:.:ハ : : :i Y {ヾ`Yヽニン'ノ}: : } : : : :/:.:.:/ }:.}
V | .:.:/:.:|_,ィ' ̄ ヽ三{ `ー-ノ : イ : : :/:.:i.:{ リ
ヽ:.:{、.:.V : : ヘ : : {: : :/:.::∧|
ヽ! )人 : : :人 : : : / \! :.
" ヽ : : : : :/イ{ :.ノ: : : :.\ :.
:. \__///: :\______/: : : : : : : ヽ
/ //: : :|;|: : : : : : i: : : __: : : : ',
:. / 、 {;{ |;| . : i/. : : : : : :|
0327307
2009/09/14(月) 01:30:57OpenRelay期待のボットが秒間1000接続来てるんですか?
そら困るなぁ
突破して欲しい海外サーバーの為の仕込みなので、botがMXを見る事は期待していません。
>>325
ごめんよー。
何故煽られているのか判らないので不安なのよ。
つーても、そろそろスパマーに手の内明かされそうなのでやめよかなと。
0328名無しさん@お腹いっぱい。
2009/09/14(月) 01:41:200329名無しさん@お腹いっぱい。
2009/09/14(月) 02:04:05消えろバカ
0330名無しさん@お腹いっぱい。
2009/09/14(月) 06:56:23>>322
>http://www.nic.ad.jp/ja/dns/ap-addr-block.html
>ここのIPアドレスとhotmailやgmail等の海外メジャーメールサービスをプライマリMXに。他をセカンダリ以下のMXで受けてます。
>>327
>突破して欲しい海外サーバーの為の仕込みなので、botがMXを見る事は期待していません。
意味が判らん。
0331名無しさん@お腹いっぱい。
2009/09/14(月) 09:12:39ま いっか
0332名無しさん@お腹いっぱい。
2009/09/14(月) 09:21:00意味が判らん。
0333名無しさん@お腹いっぱい。
2009/09/14(月) 09:23:48きっと頭も不自由なんだろうな
0334名無しさん@お腹いっぱい。
2009/09/14(月) 11:54:01同一IPからの同時接続数制限にひっかかってそれほど問題にはなってない。
なんでそんなに問題になってるの?
0335名無しさん@お腹いっぱい。
2009/09/14(月) 11:55:25国内とかメジャーなフリーメールのところはプライマリで受けて
それ以外からはセカンダリから受けるってなんか良いことあるの?
プライマリにばっかり負荷増やしたくないってことなのかな?
0336名無しさん@お腹いっぱい。
2009/09/14(月) 12:35:31botnet使ってDDoS的にやってくるものも出てきたから。
最近はbotnetからのspamでも再送してきてgreylistingが無意味になるものも
増えてきているし、対策が本当に面倒。
0337名無しさん@お腹いっぱい。
2009/09/14(月) 13:01:23∧,,∧ ∧,,∧
∧,,(´-ω-)(-ω-`)∧,,∧
( ´-ω)旦o) (o旦o(ω-` )
(_ o[( ´-) (-` )]o _)
└'ー-(_ )][( _)ー'┘
'ー'^ー' 'ー'^ー'
0338名無しさん@お腹いっぱい。
2009/09/14(月) 15:40:23あー、一般的な話じゃなくって>>275の問題に関して。
例のたくさんセッション張ってくるやつって同一IPからどばどば張ってこない?
それについてはsmtpd_client_connection_count_limitの制限きつくすりゃいいだけでは
と思ったんだけども、それじゃうまくいかない問題なのかなあと。
0339名無しさん@お腹いっぱい。
2009/09/14(月) 19:28:35smtpd_client_connection_count_limit でも受け取らないだけで
プロセスは立ち上がってしまうから、DoS 攻撃じみたものだと
上限まで使われてしまうわけだが。
私の環境では iptables の 何とか limit のレベル(L3)で、
落とさないと駄目でした。
0340名無しさん@お腹いっぱい。
2009/09/14(月) 22:08:28速攻で接続切れるんだから大丈夫じゃない??
実際、うちとこでは問題出てないんだが。
ちょっと他の人の状況も聞きたいところ。
0341307
2009/09/15(火) 00:24:51結局一次情報元出て来ないし。。
>>335
おえらい 332や333が利点もしくは、意味の無い点を解説してくれるよ!くれるよ!ww
■ このスレッドは過去ログ倉庫に格納されています