X

Postfix(8)

0661659
垢版 |
2012/09/04(火) 16:39:17.21
>>660

ポインタありがとうです
ちょっくら調べてみます
0662名無しさん@お腹いっぱい。
垢版 |
2012/10/28(日) 04:48:24.81
Postfix+Dovecotでバーチャルアカウント対応のメール鯖を構築しました。
クライアントからメールをチェックする時に、
hoge とアカウントだけで認証すると普通に通るんですが
hoge@xxx.jp とドメインを付けると認証をはねられます。
そのためmail_locationで%dが使えないんですが、後者でも認証を通す方法はありますか?
%dを使わなければいいだけなんですが、ちょっと気になるので…
0663名無しさん@お腹いっぱい。
垢版 |
2012/10/28(日) 16:56:43.54
>>662
お前さんが求めているエスパーはこのスレにはいないぞ・・・
質問に答えて欲しいなら、もう少し情報を書いて方がいい
0665名無しさん@お腹いっぱい。
垢版 |
2012/11/22(木) 22:01:49.65
最近、管理しているメールサーバーでヤフーメールが非常に流れが悪い。。
今って厳しくなっているんですかね。

Nov 21 20:49:15 mxmax postfix/qmgr[23092]: 61515226CEE: to=<****@yahoo
.co.jp>, relay=none, delay=1405, delays=1325/80/0/0, dsn=4.7.1, status=deferred
(delivery temporarily suspended: host mx3.mail.yahoo.co.jp[183.79.57.237] refuse
d to talk to me: 421 4.7.1 [TS03] All messages from XXX.XXX.XXX.XXX will be tempor
arily deferred; If retrying does not succeed, see http://help.yahoo.co.jp/help/j
p/mail/in_trouble/in_trouble-29.html)
0666名無しさん@お腹いっぱい。
垢版 |
2012/12/12(水) 13:03:15.49
自宅サーバーでpostfix動かしてるのだけど
自宅サーバー止めてるのにPOPできました
name serverが乗っ取られているということでしょうか?
0668名無しさん@お腹いっぱい。
垢版 |
2012/12/12(水) 13:54:35.91
まず666という番号が不吉だ。
postfixなどを動かしている自宅サーバーの電源を切ってあるにもかかわらずPOPで接続できてしまう、
という現象?
0673名無しさん@お腹いっぱい。
垢版 |
2012/12/20(木) 16:05:20.53
先日からdovecotスレでお世話になっている者なのですが、transportをdovecotにした際、pipeのエラーが出てしまい、メールが受信できません。

fatal: pipe_command: execvp /usr/lib/dovecot/dovecot-lda: Permission denied
3FE2D840CEA: to=<to@domain>, relay=dovecot, delay=0.43, delays=0.43/0/0/0, dsn=4.3.0, status=deferred (temporary failure. Command output: pipe: fatal: pipe_command: execvp /usr/lib/dovecot/dovecot-lda: Permission denied )

master.confは以下のように設定しています。
dovecot unix - n n - - pipe
flags=DRhu user=vmail:mail argv=/usr/lib/dovecot/dovecot-lda -f ${sender} -d ${user}@${nexthop} -m ${extension}

「Permission denied」となっていますが、ディレクトリは全てvmail:mailになっており、どの部分に権限がないのかが分かりません。
何か不備があるようでしたらご指摘下さい。
よろしくお願い致します。
0675673
垢版 |
2012/12/20(木) 19:35:17.57
>> 674
ありがとうございます。
確認してみましたが、似たような策は既に行なっていました…。
0676名無しさん@お腹いっぱい。
垢版 |
2012/12/21(金) 11:09:38.64
OS環境は何ですか?postfixとdovecotはどうやってインストールしたのか気になります。
/usr/lib/dovecot/dovecot-lda になるのは Debian/Ubuntu かとも思いますが。
0677673
垢版 |
2012/12/21(金) 12:01:18.94
>> 676
Ubuntu 10.04 Serverです。
DovecotもPostfixもパッケージからインストールしており、MySQLを利用したバーチャルホスト環境です。
またドメインやユーザーの管理はPostfixAdminを利用しており、domainテーブルのtransportは"dovecot"にしてあります。

ただ、諸事情によりメールデータの置いてあるディレクトリは変更しています。
これが原因かと思い、最初にAppArmorを疑ったのですが、特に制限はされてませんでした。
0678名無しさん@お腹いっぱい。
垢版 |
2012/12/21(金) 14:25:38.56
>>677
> DovecotもPostfixもパッケージからインストールしており、
> ただ、諸事情によりメールデータの置いてあるディレクトリは変更しています。

とすると、変更してあるメールボックスの場所が問題になっている可能性は考えるべきでしょう。
10.04 ということはこれまでずっと運用してきたサーバーなのでしょうか。それとも現在構築中?
dovecotの設定で mail_location はどうなってますか?
0679673
垢版 |
2012/12/21(金) 14:31:40.09
>> 678
現在構築中のサーバーです。
データの場所は
mail_location = maildir:/data/mail/data/%d/%n
です。

あ、/dataは別パーティションなんですが、それが原因なんですかね?
ちなみにpostfixのソケットが集まっているprivateディレクトリも/data下にあります。
0680673
垢版 |
2012/12/21(金) 16:23:12.25
とりあえず、
chown vmail:mail /usr/lib/dovecot/dovecot-lda
でエラーはなくなり、LDAが動くようになりましたが、
振り分けフィルターが動かない状態です。

15-lda.conf:
protocol lda {
syslog_facility = mail
mail_plugins = $mail_plugins sieve
sieve=/enc/mail/data/%d/%n/.dovecot.sieve
sieve_dir=/enc/mail/data/%d/%n/sieve
}

ログ:
postfix/cleanup[32394]: 18B148403A2: message-id=<50D40B78.3090008@domain>
postfix/qmgr[32082]: 18B148403A2: from=<from@domain>, size=285, nrcpt=1 (queue active)
dovecot: lda(to@domain): msgid=<50D40B78.3090008@domain>: saved mail to INBOX
postfix/pipe[32424]: 18B148403A2: to=<to@domain>, relay=dovecot, delay=0.1, delays=0.08/0/0/0.01, dsn=2.0.0, status=sent (delivered via dovecot service)
postfix/qmgr[32082]: 18B148403A2: removed

よろしくお願いします。
0681673
垢版 |
2012/12/21(金) 16:24:30.98
15-lda.conf:
あ、間違えました。
protocol lda {
syslog_facility = mail
mail_plugins = $mail_plugins sieve
sieve=/data/mail/data/%d/%n/.dovecot.sieve
sieve_dir=/data/mail/data/%d/%n/sieve
}
です。
0683673
垢版 |
2012/12/21(金) 16:58:57.31
>> 682
両方とも存在しないです。
設定が足りてないのでしょうか?
0685673
垢版 |
2012/12/21(金) 18:41:13.87
>> 684
今は以下のようになっています。

plugin {
sieve = /data/mail/data/%d/%n/.dovecot.sieve
sieve_dir = /data/mail/data/%d/%n/sieve
}

protocol lda {}と全く同じです。
0686名無しさん@お腹いっぱい。
垢版 |
2012/12/21(金) 22:01:03.65
>>685
そこにファイルが存在しなかったら振り分けできないと思う
dovecotのスレも見たけどroundcubeの設定が悪いんじゃないの
0687名無しさん@お腹いっぱい。
垢版 |
2012/12/22(土) 00:30:18.72
>>685
> protocol lda {}と全く同じです。
だとしたら protocol lda には mail_plugins = sieve が足りないことになりますが…
書いてあるんでしょうね。

mail_debug=yes
を設定してlogを見てみましょう。sieveプラグインはロードされているでしょうか?
Module loaded: /usr/lib/dovecot/modules/lda/lib90_sieve_plugin.so
sieveファイルがないならないで、
sieve: user has no valid personal script
こういうログが出るはずです。
0688673
垢版 |
2012/12/25(火) 11:16:14.54
お返事が遅くなりました。すいません。

>> 686
一応見なおしてみたのですが、特に設定項目はありませんでした。

>> 687
mail_debug=yesを設定したのですが、全くログが増えませんでした。
このあたりの設定が悪いのでしょうか?

10-logging.conf:
plugin {
mail_log_events = delete undelete expunge copy mailbox_delete mailbox_rename sieve
mail_log_fields = uid box msgid size
}

よろしくおねがいします。
0690673
垢版 |
2013/01/05(土) 09:17:58.12
>> 689
dovecot.confに以下のように記述しています。

protocols = imap pop3 sieve
0691名無しさん@お腹いっぱい。
垢版 |
2013/01/06(日) 04:20:57.29
postfixで、送信元のドメインを複数つかうことはできますか?
送信元をtest@a.example.comやtest@b.example.comのように使いたいです。
0695名無しさん@お腹いっぱい。
垢版 |
2013/01/14(月) 20:30:04.01
自前のサーバーから転送すればいいのではないですか?
そういう意味ではなくて、iOS上でpostfixを動作させてメールを受信したいという意味ですか?
0698名無しさん@お腹いっぱい。
垢版 |
2013/02/21(木) 17:08:04.65
もう 2.10 かよ
マルチインスタンスとかロードバランサーとか全然要らん機能のせいで
stable release のバージョン上がってまだ使ってるバージョンが
サポートから外れるの勘弁してくれ
0700名無しさん@お腹いっぱい。
垢版 |
2013/02/21(木) 18:54:32.71
そうなんだけど
最近は欲しい機能もパラメータも無いのにサポートが切れるので仕方なく上げる感じでさ
0703名無しさん@お腹いっぱい。
垢版 |
2013/04/03(水) 12:54:02.90
CentOS5.5でPostfix入れたんですが25番ポートが開きません。
どこを直せばいいか教えていただけませんか?

レンタルVPSなのでOP25Bは無いと思います
0715名無しさん@お腹いっぱい。
垢版 |
2013/06/11(火) 01:50:22.66
環境:FreeBSD 9.1R-p3 + Postfix 2.10.0 + dovecot 2.2.2
main.cf:
 local_recipient_maps = unix:passwd.byname $alias_maps btree:/usr/local/etc/postfix/case-sensitive_recipients
 local_transport = dovecot-cs

master.cf:
 dovecot-cs unix - n n - - pipe flags=DR user=dovecot:dovecot argv=/usr/local/libexec/dovecot/dovecot-lda -d ${user}

case-sensitive_recipients:
 Hoge OK

という設定で、システムユーザーHoge, mokeについて
moke→moke, Hoge→mokeは問題なくメールが配送されるが、
Hoge→Hoge, moke→Hogeは以下のエラーで配送されない。

postfix/pickup[394]: 9305D431: uid=1001 from=<Hoge>
postfix/cleanup[400]: 9305D431: message-id=<20130610162824.9305D431@example.com>
postfix/qmgr[395]: 9305D431: from=<moke@example.com>, size=325, nrcpt=1 (queue active)
postfix/pipe[402]: 9305D431: to=<Hoge@example.com>, orig_to=<Hoge>, relay=dovecot-cs, delay=0.26, delays=0/0/0/0.25, dsn=5.1.1, status=bounced (user unknown)

postmap btree:/usr/local/etc/postfix/case-sensitive_recipients
もしたし、local_recipient_maps を空にしても症状変わらず。
最早自分の力では原因が分からないので、皆様のご意見を頂戴したく…
0716名無しさん@お腹いっぱい。
垢版 |
2013/06/11(火) 09:24:57.10
postfix はローカルユーザの大文字を内部的に小文字に変換しますので。
Hoge ではなく、hoge ユーザのメールを /home/Hoge/Maildir なり /var/mail/Hoge とか
そのへんに配送するように設定するのがよさげ。
0717名無しさん@お腹いっぱい。
垢版 |
2013/06/12(水) 01:36:45.42
>>716
その小文字問題を回避しようと
http://www.postfix-jp.info/origdocs/QandA.html#2.16
を参考にlocal_recipient_mapsとlocal_transportを設定してみたんだが、
上手く行かんのよねー。-fを忘れてpostmapしていたので、-f付きでdbを
作ったり、regexpで指定してみたりもしたが変化なし。
もしかして上記サイトの解説がおかしい?(古い?)
仰る通りhogeをでっち上げるしかないのかな…
0718名無しさん@お腹いっぱい。
垢版 |
2013/06/12(水) 01:51:39.08
>>717
その小文字問題ってpostfixのlocalデーモンで発生することなんでひょ。
dovecotも使っているのならdovecotのdeliverでもだめかニャー
0720715
垢版 |
2013/06/13(木) 01:42:10.88
できたーーーー!!

dovecotがユーザー名を小文字化してくれやがってたのが原因だった。
2.1.0のリリースノートに「auth_username_format default changed to %Lu.」と書いてあった。
10-auth.confのauth_username_formatを空にすると、2.0以前の動作(大文字小文字を変換しない)
に戻り、無事、大文字を含むローカルユーザーに配信出来た。
まさかdovecot側とはなぁ……罠過ぎるorz

色々試してみた所、結局Postfixのlocal_recipient_mapsは弄らなくても大丈夫っぽい。
unix:passwd.byname $alias_mapsだけで届いちゃってるわ。
これはこれで謎だが、まぁ目的は達したので気にしない。

有り難うございました。
0721名無しさん@お腹いっぱい。
垢版 |
2013/10/31(木) 17:41:43.79
iptablesを設定してるんだけど、ポート25のUDPって必要かな?
内部でメールをリレーするのに使うなら、TCPだけでいい気がするんだけど、他になにか使うの?
0724名無しさん@お腹いっぱい。
垢版 |
2013/11/09(土) 18:36:27.22
postfixのsendmail(1)をシェルで直接叩いて送る方法の
送信数制限ってできますか?(汗)
0727名無しさん@お腹いっぱい。
垢版 |
2013/11/22(金) 22:21:02.56
postfixで何とかするなら anvil にローカル発信数管理機能を追加して
pickup が anvil と連携して送信数制限するってのはどうよ

って、せっかくオープンソースなのに、改造すれば?っていうとみんな逃げちゃうんだよなぁ

なら non_smtpd_milters か content_filter で送信数制限するフィルター通すとか?

(汗)
0728名無しさん@お腹いっぱい。
垢版 |
2013/12/03(火) 12:24:06.87
smtpd_client_restrictionsの設定で
permit_mynetworksとpermit_sasl_authenticatedをAND条件にしたいんだけど
どう書けばいい?
0729名無しさん@お腹いっぱい。
垢版 |
2013/12/03(火) 14:16:01.16
smtpd_client_restrictions = permit_x, permit_y
の書き方だと、結局orと同じようになっちゃうので
mynetworks を 192.168.0.0/24 と仮定して

smtpd_client_restrictions = check_recipient_access hash:/etc/postfix/mynetwork-and-saslauthenticated, reject

mynetworks を 192.168.0.0/24 と仮定して

/etc/postfix/mynetwork-and-saslauthenticated
 192.168.0 permit_sasl_authenticated, reject

こんな感じでは出来ないかなあ。やってないので、うそかもしれん。

あとは、iptables 等で mynetworks以外をDROPするとか。
0731名無しさん@お腹いっぱい。
垢版 |
2013/12/04(水) 17:10:02.24
CentOs6.2にPostfixをインストールしてリレーチェックとかして一応安全な環境で使っているのですが、
デフォのキュー残存タイムが5dと長いので2日位にしようと
main.cfに以下の2行を追加しました。

bounce_queue_lifetime = 2d
maximal_queue_lifetime = 2d

postfix reload して postconf -d | grep lifetime で見ても以下のとおり適応されていません。
bounce_queue_lifetime = 5d
maximal_queue_lifetime = 5d

ちなみに編集ミスかと思い、webmin 経由でも変更してみましたが同じでした。

何か別の項目とのあわせ技が必要なのでしょうか?
0733名無しさん@お腹いっぱい。
垢版 |
2013/12/04(水) 19:19:45.39
>>728
smtpd_client_restrictions = permit_mynetworks, reject
smtpd_recipient_restrictions = permit_sasl_authenticated, reject

でいいんじゃね?
こう書けば permit_mynetworks にマッチしなかったものは
permit_sasl_authenticated の判定前に reject されるので、AND になる。
0735名無しさん@お腹いっぱい。
垢版 |
2013/12/05(木) 19:59:08.15
SPAM対策として

mtpd_helo_required = yes
strict_rfc821_envelopes = yes

reject_unknown_client
reject_non_fqdn_recipient

を追加してみたのですが、これって通常利用による弊害って考えられますか?

しばらくログ覗いてると reject_unknown_client で引っかかるのは結構ありすね。
0737名無しさん@お腹いっぱい。
垢版 |
2013/12/05(木) 23:42:52.42
>>736
参考文献有難うございます、じっくり読んでみます。

それで、まず1つ。
reject_unknown_client なんですが。
そのURL説明では「逆引きがないからといって spammer と断定はできない」と書かれています。

ただメールの場合はPCから直接送られるわけでなく、基本的にはきちんとしたSMTPサーバー経由で送信されると思います、
特に最近は25ポートを遮断してる場合が多いですし、

現実問題として一般の利用者以外が逆引きできないSMTPから送ることって有るのでしょうか?

ログ見てるとこれに引っかかってるのは中国や発展途上の国からの接続が多いようです、
拒否は、かなり効果的に思うのですが・・
0738名無しさん@お腹いっぱい。
垢版 |
2013/12/05(木) 23:49:28.74
あと参考までに逆引きを設定しない理由ってあるのでしょうか?

10年くらい前は結構見かけたような気がするのですが、
最近の商用ISPであるのかな?
小さなネット/27とかの固定回線利用者とかでは有るようですが。
0739名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 00:00:56.13
ログ見てたらちょうど今SPAMアタックがありました。

red-speed.net
inetnum: 119.82.152.0 - 119.82.159.255
netname: REDSPEED-CIDR-BLK-JP

日本の業者みたいなのですが、このブロックの複数のIPから
ランダム@ドメイン でガンガンSMTP接続が来てます。

で、逆引き無しなのでリジェクトされてます。

あと、もうひとつ
inetnum: 103.250.174.0 - 103.250.174.255
netname: ACCESSNETLLC-JP

103.250.174.117 等から着てるのですが、
これは逆引きが出来るのですが、それからもう一度引くと名前が一致しません。
これもリジェクトされてます。

逆引きを整合させない理由って何が有るのでしょうか?
SPAMでの詐称とかの目的なのでしょうか?
0740名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 00:33:16.77
>>736
もう少し調べてみました。

ちなみに、そのページですが2006年の作成の様です。
現状では各種フィルタや認証SMTPなどかなり運用環境が変わってきているので
現状と乖離してる部分もあるように思いました。

ググッタ感じでは
reject_unknown_client を勧めない情報は2008年以前が殆どのようです。
0741名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 00:58:20.30
reject_unknown_client で意図しないrejectが発生しない自信があるのであれば
好きにすればよろし。

運用してみれば判るけれどもS25R+αの方が良いけどね。
0742名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 07:53:28.57
>>737
> 現実問題として一般の利用者以外が逆引きできないSMTPから送ることって有るのでしょうか?
ないってことはないでしょう。

>>738
理由が必要か?
0743名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 09:39:45.79
> 理由が必要か?
マナーとして逆引き設定すべきでは無いでしょうか?

以前とある回線を使用していたとき、逆引き設定されていなかったので接続の認証に待たされる事がありました、
正常な利用環境を提供しようと思うなら逆引きも正しく設定されるべきだと思います。

> ないってことはないでしょう。
具体的な経験は有りますか?

今のネットは5年10年前の性善説に基づいた運用は無理があるように思います、
鍵を持ってない人が居るから誰でも入りやすくするよ、ってのは昔や田舎ではあったと思いますが、
現在の高速で広帯域からガンガン飛び込んでくる得体の知れない物を排除するなら最低限の敷居は必要かなって思うのですが。

取り合えず、ここ数年のメールのヘッダをチェックしてunknownで送ってきたメールが無いか確認してみようと思います。
0744名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 09:47:45.78
>>741
> reject_unknown_client で意図しないrejectが発生しない自信があるのであれば
> 好きにすればよろし。
自身はないのですが、
意図しないrejectとはどの様な事が予想されますか?

少なくとも今の日本のISPで逆引き設定してないのを最近は見かけていないのですが。

> 運用してみれば判るけれどもS25R+αの方が良いけどね。
これは確かに良さそうなのですが、これも逆引きしてますよね?

つまり S25R+α は reject_unknown_client よりさらにハードルが高い制限ですよね?

これがOKでreject_unknown_clientを否定は論理が矛盾してるような気がするのですが?
0747名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 10:37:53.96
>>743
> マナーとして逆引き設定すべきでは無いでしょうか?
つまり設定すべきルールはないってことだよね。
マナーなんて守らない人がいて当然。
0750名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 11:40:38.91
>>739
> これは逆引きが出来るのですが、それからもう一度引くと名前が一致しません。
> これもリジェクトされてます。
>
> 逆引きを整合させない理由って何が有るのでしょうか?
> SPAMでの詐称とかの目的なのでしょうか?

詐称目的よりも、ただ間違っているのではないでしょうか。
0751名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 11:44:43.15
>>744
> 少なくとも今の日本のISPで逆引き設定してないのを最近は見かけていないのですが。
とのことですが、 739 で挙げているプロバイダは逆引き設定していないのではありませんか。
SPAMを発信しているのは、そのプロバイダの中の人ではなく、利用者の一人なのだろうと思います。
0752名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 12:01:28.88
逆引きを設定させたい理由って何なんだろ。
「それがマナーだろ」とか「設定しないとメールはじくぞ」とか言っても
「知らんよそんなん」って言われて終わりじゃね。
0753名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 12:02:43.02
>>751
> とのことですが、 739 で挙げているプロバイダは逆引き設定していないのではありませんか。
whoisや割り当て情報などを見ればわかるのですが、レンタルサーバーだと思います。

同じブロックの近隣の複数のIPから同じような接続が来ていますのでいわゆるSPAM配信業者だと思われます。

まっとうなISPで逆引きを設定していない所がありましたら教えてください。

ある意味現在では、低レベルSPAMer=サーバー設定が出鱈目 で逆引きまで考えてない。
継続的にサービスしているサーバー=きちんとホスト設定されている、
と、考えて良いように思います。

ちなみに、
strict_rfc821_envelopes = yes
は、携帯ドメインなどで弾かれる可能性が有るとの記述を見かけたので取り合えずはずしました。
0756名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 12:08:27.56
>>752
> 逆引きを設定させたい理由って何なんだろ。
逆引きはネットワークの管理権限が必要で、IPブロックを自分で取得申請しなければ設定できません、
もしくは借りてるサービスにお願いするか。

つまり偽名で数日契約してSPAM送ってばっくれる、みたいな事は難しいのです。

住民票が無くても借りられるレンタルハウスときちんと契約した家に済んでる人と、信用度が違うのと同じでしょう。
0759名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 12:10:56.93
>>755
> そう考えたいならそれでいいんじゃね。

つまり明確な具体例も出さずに、リジェクトされるのは受け入れる方が良いよね、って事ですか?

むしろ明確な理由も無く受け入れ設定されてるサーバーのほうがSPAMerサポーターとして有害だと思うのですが。
0760名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 12:13:12.78
>>758
> 「おれに信用されたいなら逆引きを設定しろ」ってこと?

考え方が逆です。

現状では信用有るサービスではもれなく逆引き設定されている、
こういう事実があって、
あえて逆引きしない人を信用できないでしょ? って事です。

まずは、信用有るサービスで逆引き設定されて無い例をあげるべきですね。
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況