X

Postfix(8)

0262260
垢版 |
2009/08/16(日) 00:43:18
>>261
spamassassinってベジアンフィルタだけだと思ってスルーしてたけど
RBLとかにも対応してるのね。ベジアンフィルタOFFで使えるなら
これが良さそう。ちょっと試してみます。ありがとー
0263260
垢版 |
2009/08/16(日) 06:38:57
postfixからspamassassinに食わせようとすると直では使えないのね
procmailかamavisd-newあたりをかまさないと駄目なんだと思うけど
ベジアンフィルター使わないならちょっと大げさな気がしてきた
もうちょっとシンプルな方法無いのかな・・・
0265名無しさん@お腹いっぱい。
垢版 |
2009/08/16(日) 08:16:47
>>260
http://www.postfix-jp.info/trans-2.1/jhtml/access.5.html
PREPEND headername: headervalue
メッセージの前に指定されたメッセージヘッダを付加します。このアク
シ ョンが複数回使われると、最初に付加されたヘッダは2番目などのヘ
ッダの前に現れます。

注意: このアクションは複数行のメッセージヘッダをサポートしていま
せん。

この機能は Postfix 2.1 以降で使えます。
0266名無しさん@お腹いっぱい。
垢版 |
2009/08/17(月) 12:26:54
postfix2.3.3+postfixadminを使用しています。
メールの転送について聞きたいのですが、

Aから、Bに届いたメールをCに転送すると、Cには差出人が
Aであると表示されます。これをBと表示するにはどんな設定が必要でしょうか。
Bのアドレスがpostfixで提供しているアドレスです。
0268名無しさん@お腹いっぱい。
垢版 |
2009/08/17(月) 13:10:45
>>265
PostfixのRBLの機能使って、PREPENDでヘッダにメッセージ付加は出来ないんじゃない?
やっぱSAとか使わん限りむりじゃないかなあ。
0269266
垢版 |
2009/08/17(月) 15:53:38
ここ参考にmain.cfに「expand_owner_alias = yes/owner_request_special = yes」を追加
MySQLのaliasテーブルにowner-***を追加してみたけど、ダメだった。
http://mtlab.ecn.fpu.ac.jp/WSM_2005/051007121618.html

Try & Errorでやるようなスキルじゃpostfix扱うべきじゃないんですかねorz
0270名無しさん@お腹いっぱい。
垢版 |
2009/08/17(月) 16:23:13
>269
悪いことはいわん

明らかに envelope と header の区別もついていなさそうだし
forward が何をさすのかも分かっていないようなので
氏ねとか逝ってしまえとまでは言わないが
基本をきちんと勉強してからにしてくれ

設定とかじゃなくて「メールとは何か」ってことを、ね

そして上記のキーワードの意味が分かってからにしなさい
0271266
垢版 |
2009/08/17(月) 16:31:33
PHPから送信するときenvelope -fを指定するとheaderのFromが埋まるため
勘違いしてました。全然分かってなかったですね。ちょっと勉強しなおしてきます(汗;
0272名無しさん@お腹いっぱい。
垢版 |
2009/09/01(火) 16:22:41
どなたか教えてください。log に「postfix/smtpd[5089]: too many errors after」
が出力される時の条件って、smtpd_hard_error_limit に依存するのですか?

出力条件が良く判らないので、ご存じの方お教えください。
0275名無しさん@お腹いっぱい。
垢版 |
2009/09/10(木) 14:37:02
スパムを送信しようとする接続がやたら多くてsmtpdの起動数がすぐに限界(100)に
達しちゃうんです。limitを多くしても根本的な解決にならないような気がして、この
不要なsmtpdをすぐに停止するようなオプションってあるのでしょうか。
0277275
垢版 |
2009/09/10(木) 14:48:13
一定時間待っててもなんもデータが送られてこない接続。ですかね?
あーでも拒否っても無視してデータ送ってくる類もいますか。
0278名無しさん@お腹いっぱい。
垢版 |
2009/09/10(木) 15:17:26
>>277
> 一定時間待っててもなんもデータが送られてこない接続。ですかね?
どの段階でかよくわからんが
smtp_なんちゃら_timeout でいいんじゃね。
0280275
垢版 |
2009/09/10(木) 17:29:39
>>279
どもです。タイムアウトの設定があったのですね。
とりあえずこんな感じで短めにしてみたところ前より処理が早くなりました。
もうちょい様子を見てまたご報告します。
anvil_rate_time_unit = 5
default_process_limit = 500
smtp_connect_timeout = 10s
smtp_helo_timeout = 60s
smtp_mail_timeout = 60s
smtp_rcpt_timeout = 60s
smtp_data_init_timeout = 45s
smtp_data_xfer_timeout = 60s
smtp_data_done_timeout = 60s
smtp_quit_timeout = 60s
smtp_mx_session_limit = 0
0282280
垢版 |
2009/09/10(木) 17:48:26
あぁごめんなさい。
anvil_rate_time_unit ですよね?マニュアル読みました・・・orz
0283名無しさん@お腹いっぱい。
垢版 |
2009/09/10(木) 21:49:21
>>275
プロセス使い切ってしまう問題は、postfix の設定変更だけじゃ無理だよ。
OS書いてないから、具体的な事は言わないけど・・・
0284280
垢版 |
2009/09/10(木) 22:54:00
>>283
そうなんですか。とりあえずタイムアウトの設定いじったらずいぶんマシに
なりましたが、結局量が増えたら同じですかね。
CentOSなんですが何かいい方法ありますでしょうか。
別のOSの場合でもいいのですが。
0286280
垢版 |
2009/09/10(木) 23:13:16
smtp_mx_session_limit=0(無制限)ですかね?
他のサイトを参考にしたんですが、やはり明示的に上限を決めておいた方がいいのでしょうか。
0287名無しさん@お腹いっぱい。
垢版 |
2009/09/10(木) 23:16:54
そりゃそうでしょ
無制限に接続を受け付けてメモリ不足スワップ発生
スラッシング発生になったほうがよっぽど処理速度が落ちる
よっぽどでかいサイトでもない限り10や20も受け付けときゃ十分だ
SMTPには再送の機構が最初からあるんだから
0288280
垢版 |
2009/09/10(木) 23:34:10
ですね。突っ込みどうもでした。
0289名無しさん@お腹いっぱい。
垢版 |
2009/09/10(木) 23:43:19
プロセス使い切るというと、SPAM対策でtarpittingなんてしていると、あっという間に
プロセス使い切っちゃうねい。まあ、ttp://k2net.hakuba.jp/targrey/ のパッチ
当てればいいんだけど、最近のSPAMってtarpittingしていてもいなくても、
あまり差が出てこないような気もするし、もうtarpittingはやめちゃっていいのかも。
0290名無しさん@お腹いっぱい。
垢版 |
2009/09/11(金) 11:19:27
>>289
tarpitしてもプロセス数の増加はせいぜい3倍くらいだったよ。
もちろんパッチ当てたほうがいいと思うけどね。
あとtarpit掛ける時間が現状にマッチしてるかも大事。
大手botnetが時々待ち時間変更してくるからそれが抜けない時間を設定。
今なら90秒くらいか。
0291名無しさん@お腹いっぱい。
垢版 |
2009/09/11(金) 14:47:33
素直に台数増やせば?
んな大量のリクエストてアドレス数も多いと思うけど
担当がこんなのだと、そうでも無いんかな
0293名無しさん@お腹いっぱい。
垢版 |
2009/09/11(金) 21:43:31
ばかにされてしまった
postfixを5年ほど10台くらいで運用してるけど、spam受信が100埋まる事無いです
tarpitは90秒ですよねぇ
よっぽどあれなサービスか?とか勘ぐってるんだけど
もしくはその接続はspamじゃないとか
0295名無しさん@お腹いっぱい。
垢版 |
2009/09/12(土) 01:32:25
>>293
いや、最近Brute force attackみたいに1秒間に1000セッションとか張ってくる
いやーんな感じのがはやっているの。

以前だったら、全然問題無かったけど最近他のスレでも話題になったよ。
0296名無しさん@お腹いっぱい。
垢版 |
2009/09/12(土) 03:11:41
んな接続に耐えられるサービスって少ない様な・・
メールを送るのでは無くて、純粋に攻撃なのでわww
受け取る必要無いだろうから、ファイアーウォールで弾くのがはやそう
0297名無しさん@お腹いっぱい。
垢版 |
2009/09/12(土) 08:02:33
知りもしないのに291みたいなこと言うから馬鹿扱いされるっていうのが
まだ理解できていないのか、こいつ。
0298名無しさん@お腹いっぱい。
垢版 |
2009/09/12(土) 08:28:41
>>295
>いや、最近Brute force attackみたいに1秒間に1000セッションとか張ってくる
>いやーんな感じのがはやっているの。

IP晒してくれ
0307名無しさん@お腹いっぱい。
垢版 |
2009/09/12(土) 13:33:52
ボットネットは判るし、最近のスパムは主にcnやroから来るのも判る
jp以外からの接続は次のMXに任せればいーがね
つか、そうやってるぞ

あ、291,293,296 ね
他は別の人です
0308名無しさん@お腹いっぱい。
垢版 |
2009/09/12(土) 14:55:32
>>307
書けば書くほど自分の知識と経験の無さを宣伝している
事に何故気がつかない?

もう少し色々と経験して自分の頭で考えた方が良いよ。
0312307
垢版 |
2009/09/12(土) 20:02:12
>>308 >>310
心配なので具体的に何が違うのか指摘して欲しいです
もしくは最近流行りとやらのDOS的事例を参照するためのヒント
0314名無しさん@お腹いっぱい。
垢版 |
2009/09/12(土) 20:43:56
>>313
突然auth関連のログが1.5MBとかになっていて、何事かと思ったら
sshだったりするものねい。かつてに比べて、1回のアタックあたりの
試行回数が増えていて、本当にうざい。一昨日は15000回ぐらいやられてた。
0321名無しさん@お腹いっぱい。
垢版 |
2009/09/13(日) 05:17:56
     ま っ た り
      ∧,,∧ ∧,,∧
   ∧,,(´-ω-)(-ω-`)∧,,∧
  ( ´-ω)旦o) (o旦o(ω-` )
  (_  o[(  ´-) (-`  )]o _)
  └'ー-(_   )][(   _)ー'┘
      'ー'^ー'   'ー'^ー'
0322307
垢版 |
2009/09/14(月) 00:36:34
まったりしている所を掘り返してごめん
>>316
ごめんなさい。携帯からだったので打つのが面倒でDOSと略しちゃった。
この文意の中だったら意味伝わるかなと。。申し訳ない。
んじゃぁ、結局私が提示した

・必要な通信とあらかた不要な通信を分離してサービスレベルを分ける
・全部取得する必要があるならサーバー台数を増やす

という対処法に間違いは無いで宜しいでしょうか?
必要な通信の定義がサービスによって違うと思いますが、うちではとりあえず
http://www.nic.ad.jp/ja/dns/ap-addr-block.html
ここのIPアドレスとhotmailやgmail等の海外メジャーメールサービスをプライマリMXに。他をセカンダリ以下のMXで受けてます。
0323名無しさん@お腹いっぱい。
垢版 |
2009/09/14(月) 00:45:42
     ま っ た り
      ∧,,∧ ∧,,∧
   ∧,,(´-ω-)(-ω-`)∧,,∧
  ( ´-ω)旦o) (o旦o(ω-` )
  (_  o[(  ´-) (-`  )]o _)
  └'ー-(_   )][(   _)ー'┘
      'ー'^ー'   'ー'^ー'
0325名無しさん@お腹いっぱい。
垢版 |
2009/09/14(月) 01:07:39
なんで粘着してまで無知な自分が正しいんだと言い張るんだろう?
そんな時間があるのなら、お勉強すればいいのに。
0326名無しさん@お腹いっぱい。
垢版 |
2009/09/14(月) 01:18:17
            ____
         __,,/  _, ----`ヽ  :.
     :.  / _     ___   、\
       / /   i      \   \\ :.
     :. ,'./       i  ヽ:.   ヽ:.:.. ヽ.ヽ
      ,'/    / .ハ ヽ ヽ:.:.:.:. ヽ::.. ヽヽ :.
     :. |i .i i  .i /  ヽ ト 、 \、:.:.:. ',:.',:.:.lヽ}
       |i .i l  :N_, -弋 \弌弋ナ:}:.:}
    :. |i∧ ', :{ ,ィjモト \  イjミトイイV :.  な…
       .|  :メヽ.', `ozZ}      izN。ハ::{     なんなんですか?
      :. |  :ヾ_! ゝ "゙゙    '  `゙ ハ.:', :.   ここ、どこですか?
      |  :.:_イ .:.ヽ.   (二フ , イ :.:.:!:.ヽ     どうして私
   :.  / rィイ | :.:.ヽ: >r/`<ノ .:.::.}ヽ、\:.   よばれたんですか?…
      / ∧l;l ! :.:.:.://{二 ̄ .} ..:..::リ//ハ.:\
 :.  / .{. ',ヾ、ヽi .:.:.{ /(^`  |.:.:.:.//: : :.}: . ヽ.:.
   / /  ) ヽ ヾ、ヽ:.ハ ヤ{   ∧/.-‐'": : |:.:. i ',
  ./ .,イ .:..} : :\ヾレ'ハ ∧__ノノハヾ、  : : : l:.:.: .ハ ',
  { /| .:.:ハ : : :i Y {ヾ`Yヽニン'ノ}: : } : : : :/:.:.:/ }:.}
  V | .:.:/:.:|_,ィ' ̄  ヽ三{ `ー-ノ : イ : : :/:.:i.:{  リ
    ヽ:.:{、.:.V     : : ヘ     : : {: : :/:.::∧|
     ヽ! )人    : : :人      : : : / \! :.
      "  ヽ : : : : :/イ{     :.ノ: : : :.\ :.
       :.  \__///: :\______/: : : : : : : ヽ
           / //: : :|;|: : : : : : i: : : __: : : : ',
       :.     / 、 {;{   |;|   . : i/. : : : : : :|
0327307
垢版 |
2009/09/14(月) 01:30:57
>>324
OpenRelay期待のボットが秒間1000接続来てるんですか?
そら困るなぁ
突破して欲しい海外サーバーの為の仕込みなので、botがMXを見る事は期待していません。

>>325
ごめんよー。
何故煽られているのか判らないので不安なのよ。
つーても、そろそろスパマーに手の内明かされそうなのでやめよかなと。
0334名無しさん@お腹いっぱい。
垢版 |
2009/09/14(月) 11:54:01
うちにも例のたくさんセッション張ってくるスパムが来てるんだけど
同一IPからの同時接続数制限にひっかかってそれほど問題にはなってない。
なんでそんなに問題になってるの?
0335名無しさん@お腹いっぱい。
垢版 |
2009/09/14(月) 11:55:25
>>322
国内とかメジャーなフリーメールのところはプライマリで受けて
それ以外からはセカンダリから受けるってなんか良いことあるの?
プライマリにばっかり負荷増やしたくないってことなのかな?
0336名無しさん@お腹いっぱい。
垢版 |
2009/09/14(月) 12:35:31
>>334
botnet使ってDDoS的にやってくるものも出てきたから。

最近はbotnetからのspamでも再送してきてgreylistingが無意味になるものも
増えてきているし、対策が本当に面倒。
0337名無しさん@お腹いっぱい。
垢版 |
2009/09/14(月) 13:01:23
     ま っ た り
      ∧,,∧ ∧,,∧
   ∧,,(´-ω-)(-ω-`)∧,,∧
  ( ´-ω)旦o) (o旦o(ω-` )
  (_  o[(  ´-) (-`  )]o _)
  └'ー-(_   )][(   _)ー'┘
      'ー'^ー'   'ー'^ー'
0338名無しさん@お腹いっぱい。
垢版 |
2009/09/14(月) 15:40:23
>>336
あー、一般的な話じゃなくって>>275の問題に関して。
例のたくさんセッション張ってくるやつって同一IPからどばどば張ってこない?
それについてはsmtpd_client_connection_count_limitの制限きつくすりゃいいだけでは
と思ったんだけども、それじゃうまくいかない問題なのかなあと。
0339名無しさん@お腹いっぱい。
垢版 |
2009/09/14(月) 19:28:35
>>338
smtpd_client_connection_count_limit でも受け取らないだけで
プロセスは立ち上がってしまうから、DoS 攻撃じみたものだと
上限まで使われてしまうわけだが。

私の環境では iptables の 何とか limit のレベル(L3)で、
落とさないと駄目でした。
0340名無しさん@お腹いっぱい。
垢版 |
2009/09/14(月) 22:08:28
え、ほんと!?
速攻で接続切れるんだから大丈夫じゃない??
実際、うちとこでは問題出てないんだが。
ちょっと他の人の状況も聞きたいところ。
0341307
垢版 |
2009/09/15(火) 00:24:51
spammerもメールを送れないと意味が無いから、件の現象はbotの暴走だと思うんだけどねぇ
結局一次情報元出て来ないし。。

>>335
おえらい 332や333が利点もしくは、意味の無い点を解説してくれるよ!くれるよ!ww
0346307
垢版 |
2009/09/15(火) 00:43:35
ですねぇ
どう見ても一人でした。。
0348名無しさん@お腹いっぱい。
垢版 |
2009/09/15(火) 03:33:35
mynetworksをhashで指定したいと思うのですが
キーはIPアドレスとして
値は何でもいいのでしょうか?
意味がないなら値を書かなくてもいいんじゃないかと思うのですが
それだと問題あるのでしょうか?
0349名無しさん@お腹いっぱい。
垢版 |
2009/09/15(火) 07:19:48
問題あるというか、動かないんじゃない?
マニュアルにあるとおり、type:table パターンで書くこと
http://www.postfix-jp.info/trans-2.3/jhtml/DATABASE_README.html

左辺だけしか評価しないから右辺は何かいてもいいよ。
192.168.0.1 OK
とか書くのがわかりやすくていいんじゃないの。
NGとか書いて他の人を混乱させてもいいけどw
0352名無しさん@お腹いっぱい。
垢版 |
2009/09/15(火) 13:59:59
smtpdのゾンビが大量に発生してしまうんですが、こういう場合
どうやって対処したらいいんでしょう?
徐々に増えていっちゃうんですが・・・
CentOS5.3+2.3.3-2.el5です。
0354名無しさん@お腹いっぱい。
垢版 |
2009/09/15(火) 16:11:06
qmailはもう古いらしいからpostfix+dovecot+mysql入れてみたけど
バーチャルドメイン関係の足回りぜんぜん整ってないね
procmail使えないからspamassasin噛ますのも一苦労したよ
qmail+vpopmailに慣れちゃってるからかもしれないけど、いろいろと情報量少ないね
0355名無しさん@お腹いっぱい。
垢版 |
2009/09/15(火) 16:14:59
流儀の違いもあるかもよ。
例えばspamassassinの噛まし方は、今ならspamass-milter使うとか。
qmailじゃこういうこと出来ないでしょ。
0357名無しさん@お腹いっぱい。
垢版 |
2009/09/15(火) 17:36:58
ふむふむふむ
spamass-milterとmilter-manager入れて
smtpd_milters = unix:/var/run/milter-manager/milter-manager.sock で渡せばいいんですな
明日ちっとやってみます
0359名無しさん@お腹いっぱい。
垢版 |
2009/09/15(火) 18:14:19
>>354
>procmail使えないからspamassasin噛ますのも一苦労したよ

milter に対応する前のバージョンの postfix でも
amavisd + spamd(spamassassin) でいけるはずだが?
0360名無しさん@お腹いっぱい。
垢版 |
2009/09/15(火) 19:57:36
AMaViSのクソっぷりは異常
自分自身では大したことも出来ない癖に、どんだけ?って程にメモリ食い
どうしてもっとClamSMTPのようにシンプルに、spamassassinとclamavを通すだけの
プロキシとして実装しなかったのか? しかも何故Perl? 未だに理解出来ん

つか、Milter使う位ならProxSMTP使ってやった方が100倍マシ
Milterなんてsendmail使う時に嫌々使う物であって、自発的に使う物じゃないよ
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況