Postfix(8)
Postfixスレッド その7です。 ●リンク 本家 http://www.postfix.org/ Postfix のぺーじ (ドキュメントの日本語訳、MLなど) http://www.kobitosan.net/postfix/ 過去スレ、関連スレなどは>>2-4 あたり >>677 > DovecotもPostfixもパッケージからインストールしており、 > ただ、諸事情によりメールデータの置いてあるディレクトリは変更しています。 とすると、変更してあるメールボックスの場所が問題になっている可能性は考えるべきでしょう。 10.04 ということはこれまでずっと運用してきたサーバーなのでしょうか。それとも現在構築中? dovecotの設定で mail_location はどうなってますか? >> 678 現在構築中のサーバーです。 データの場所は mail_location = maildir:/data/mail/data/%d/%n です。 あ、/dataは別パーティションなんですが、それが原因なんですかね? ちなみにpostfixのソケットが集まっているprivateディレクトリも/data下にあります。 とりあえず、 chown vmail:mail /usr/lib/dovecot/dovecot-lda でエラーはなくなり、LDAが動くようになりましたが、 振り分けフィルターが動かない状態です。 15-lda.conf: protocol lda { syslog_facility = mail mail_plugins = $mail_plugins sieve sieve=/enc/mail/data/%d/%n/.dovecot.sieve sieve_dir=/enc/mail/data/%d/%n/sieve } ログ: postfix/cleanup[32394]: 18B148403A2: message-id=<50D40B78.3090008@domain> postfix/qmgr[32082]: 18B148403A2: from=<from@domain>, size=285, nrcpt=1 (queue active) dovecot: lda(to@domain): msgid=<50D40B78.3090008@domain>: saved mail to INBOX postfix/pipe[32424]: 18B148403A2: to=<to@domain>, relay=dovecot, delay=0.1, delays=0.08/0/0/0.01, dsn=2.0.0, status=sent (delivered via dovecot service) postfix/qmgr[32082]: 18B148403A2: removed よろしくお願いします。 15-lda.conf: あ、間違えました。 protocol lda { syslog_facility = mail mail_plugins = $mail_plugins sieve sieve=/data/mail/data/%d/%n/.dovecot.sieve sieve_dir=/data/mail/data/%d/%n/sieve } です。 /data/mail/data/%d/%n/.dovecot.sievec /data/mail/data/%d/%n/.dovecot.sieve.log は? >> 682 両方とも存在しないです。 設定が足りてないのでしょうか? plugin { sieve=.... sieve_dir=... } では >> 684 今は以下のようになっています。 plugin { sieve = /data/mail/data/%d/%n/.dovecot.sieve sieve_dir = /data/mail/data/%d/%n/sieve } protocol lda {}と全く同じです。 >>685 そこにファイルが存在しなかったら振り分けできないと思う dovecotのスレも見たけどroundcubeの設定が悪いんじゃないの >>685 > protocol lda {}と全く同じです。 だとしたら protocol lda には mail_plugins = sieve が足りないことになりますが… 書いてあるんでしょうね。 mail_debug=yes を設定してlogを見てみましょう。sieveプラグインはロードされているでしょうか? Module loaded: /usr/lib/dovecot/modules/lda/lib90_sieve_plugin.so sieveファイルがないならないで、 sieve: user has no valid personal script こういうログが出るはずです。 お返事が遅くなりました。すいません。 >> 686 一応見なおしてみたのですが、特に設定項目はありませんでした。 >> 687 mail_debug=yesを設定したのですが、全くログが増えませんでした。 このあたりの設定が悪いのでしょうか? 10-logging.conf: plugin { mail_log_events = delete undelete expunge copy mailbox_delete mailbox_rename sieve mail_log_fields = uid box msgid size } よろしくおねがいします。 >> 689 dovecot.confに以下のように記述しています。 protocols = imap pop3 sieve postfixで、送信元のドメインを複数つかうことはできますか? 送信元をtest@a.example.comやtest@b.example.comのように使いたいです。 iosでプッシュで受け取りたいのですが、自前のサーバでそのようなことはできませんか? 自前のサーバーから転送すればいいのではないですか? そういう意味ではなくて、iOS上でpostfixを動作させてメールを受信したいという意味ですか? VDAパッチってまだインクルードされていないのね、なぜなんだろう。 もう 2.10 かよ マルチインスタンスとかロードバランサーとか全然要らん機能のせいで stable release のバージョン上がってまだ使ってるバージョンが サポートから外れるの勘弁してくれ もう、もクソもなく、毎年1月か2月にバージョンが上がるのは定例行事だから覚えとけ。 そうなんだけど 最近は欲しい機能もパラメータも無いのにサポートが切れるので仕方なく上げる感じでさ 他力本願の分際で何をほざくかなw イヤならそのまま使ってりゃいいじゃねーか 他力本願を貫くのなら、security fixはOSベンダー任せっていう手もあるしねい。 CentOS5.5でPostfix入れたんですが25番ポートが開きません。 どこを直せばいいか教えていただけませんか? レンタルVPSなのでOP25Bは無いと思います 長らく古臭い2.1を使ってたんだが(汗) 2.8にアップしたら、送信が5〜6倍速くなった >>703 iptablesで開ければいいだけでは? って、もうみてないか。 >>706 iptablesを止めてみても開きませんでした 自分側のOP25Bだったりして。 定石としてはnetstat -apして、あとはtelnet 127.0.0.1 25かな。 このごろはデフォルトだと inet_interfaces = loopback-only になってたりするのかも。 >>708 のtelnetでいけました。ありがとうございました 正引き出来てれば逆引き出来なくても通すという設定はどのように書けば良いでしょうか? 環境:FreeBSD 9.1R-p3 + Postfix 2.10.0 + dovecot 2.2.2 main.cf: local_recipient_maps = unix:passwd.byname $alias_maps btree:/usr/local/etc/postfix/case-sensitive_recipients local_transport = dovecot-cs master.cf: dovecot-cs unix - n n - - pipe flags=DR user=dovecot:dovecot argv=/usr/local/libexec/dovecot/dovecot-lda -d ${user} case-sensitive_recipients: Hoge OK という設定で、システムユーザーHoge, mokeについて moke→moke, Hoge→mokeは問題なくメールが配送されるが、 Hoge→Hoge, moke→Hogeは以下のエラーで配送されない。 postfix/pickup[394]: 9305D431: uid=1001 from=<Hoge> postfix/cleanup[400]: 9305D431: message-id=<20130610162824.9305D431@example.com> postfix/qmgr[395]: 9305D431: from=<moke@example.com>, size=325, nrcpt=1 (queue active) postfix/pipe[402]: 9305D431: to=<Hoge@example.com>, orig_to=<Hoge>, relay=dovecot-cs, delay=0.26, delays=0/0/0/0.25, dsn=5.1.1, status=bounced (user unknown) postmap btree:/usr/local/etc/postfix/case-sensitive_recipients もしたし、local_recipient_maps を空にしても症状変わらず。 最早自分の力では原因が分からないので、皆様のご意見を頂戴したく… postfix はローカルユーザの大文字を内部的に小文字に変換しますので。 Hoge ではなく、hoge ユーザのメールを /home/Hoge/Maildir なり /var/mail/Hoge とか そのへんに配送するように設定するのがよさげ。 >>716 その小文字問題を回避しようと http://www.postfix-jp.info/origdocs/QandA.html#2.16 を参考にlocal_recipient_mapsとlocal_transportを設定してみたんだが、 上手く行かんのよねー。-fを忘れてpostmapしていたので、-f付きでdbを 作ったり、regexpで指定してみたりもしたが変化なし。 もしかして上記サイトの解説がおかしい?(古い?) 仰る通りhogeをでっち上げるしかないのかな… >>717 その小文字問題ってpostfixのlocalデーモンで発生することなんでひょ。 dovecotも使っているのならdovecotのdeliverでもだめかニャー できたーーーー!! dovecotがユーザー名を小文字化してくれやがってたのが原因だった。 2.1.0のリリースノートに「auth_username_format default changed to %Lu.」と書いてあった。 10-auth.confのauth_username_formatを空にすると、2.0以前の動作(大文字小文字を変換しない) に戻り、無事、大文字を含むローカルユーザーに配信出来た。 まさかdovecot側とはなぁ……罠過ぎるorz 色々試してみた所、結局Postfixのlocal_recipient_mapsは弄らなくても大丈夫っぽい。 unix:passwd.byname $alias_mapsだけで届いちゃってるわ。 これはこれで謎だが、まぁ目的は達したので気にしない。 有り難うございました。 iptablesを設定してるんだけど、ポート25のUDPって必要かな? 内部でメールをリレーするのに使うなら、TCPだけでいい気がするんだけど、他になにか使うの? ありがとう、見てみたら使ってなかった。 そうやって調べるのね。 postfixのsendmail(1)をシェルで直接叩いて送る方法の 送信数制限ってできますか?(汗) postfixで何とかするなら anvil にローカル発信数管理機能を追加して pickup が anvil と連携して送信数制限するってのはどうよ って、せっかくオープンソースなのに、改造すれば?っていうとみんな逃げちゃうんだよなぁ なら non_smtpd_milters か content_filter で送信数制限するフィルター通すとか? (汗) smtpd_client_restrictionsの設定で permit_mynetworksとpermit_sasl_authenticatedをAND条件にしたいんだけど どう書けばいい? smtpd_client_restrictions = permit_x, permit_y の書き方だと、結局orと同じようになっちゃうので mynetworks を 192.168.0.0/24 と仮定して smtpd_client_restrictions = check_recipient_access hash:/etc/postfix/mynetwork-and-saslauthenticated, reject mynetworks を 192.168.0.0/24 と仮定して /etc/postfix/mynetwork-and-saslauthenticated 192.168.0 permit_sasl_authenticated, reject こんな感じでは出来ないかなあ。やってないので、うそかもしれん。 あとは、iptables 等で mynetworks以外をDROPするとか。 CentOs6.2にPostfixをインストールしてリレーチェックとかして一応安全な環境で使っているのですが、 デフォのキュー残存タイムが5dと長いので2日位にしようと main.cfに以下の2行を追加しました。 bounce_queue_lifetime = 2d maximal_queue_lifetime = 2d postfix reload して postconf -d | grep lifetime で見ても以下のとおり適応されていません。 bounce_queue_lifetime = 5d maximal_queue_lifetime = 5d ちなみに編集ミスかと思い、webmin 経由でも変更してみましたが同じでした。 何か別の項目とのあわせ技が必要なのでしょうか? -d は現在の設定値じゃなくてデフォルト値の表示じゃボケが。 >>728 smtpd_client_restrictions = permit_mynetworks, reject smtpd_recipient_restrictions = permit_sasl_authenticated, reject でいいんじゃね? こう書けば permit_mynetworks にマッチしなかったものは permit_sasl_authenticated の判定前に reject されるので、AND になる。 >>732 > -d は現在の設定値じゃなくてデフォルト値の表示じゃボケが。 うぎゃー マジ勘違いしてました。 SPAM対策として mtpd_helo_required = yes strict_rfc821_envelopes = yes reject_unknown_client reject_non_fqdn_recipient を追加してみたのですが、これって通常利用による弊害って考えられますか? しばらくログ覗いてると reject_unknown_client で引っかかるのは結構ありすね。 >>736 参考文献有難うございます、じっくり読んでみます。 それで、まず1つ。 reject_unknown_client なんですが。 そのURL説明では「逆引きがないからといって spammer と断定はできない」と書かれています。 ただメールの場合はPCから直接送られるわけでなく、基本的にはきちんとしたSMTPサーバー経由で送信されると思います、 特に最近は25ポートを遮断してる場合が多いですし、 現実問題として一般の利用者以外が逆引きできないSMTPから送ることって有るのでしょうか? ログ見てるとこれに引っかかってるのは中国や発展途上の国からの接続が多いようです、 拒否は、かなり効果的に思うのですが・・ あと参考までに逆引きを設定しない理由ってあるのでしょうか? 10年くらい前は結構見かけたような気がするのですが、 最近の商用ISPであるのかな? 小さなネット/27とかの固定回線利用者とかでは有るようですが。 ログ見てたらちょうど今SPAMアタックがありました。 red-speed.net inetnum: 119.82.152.0 - 119.82.159.255 netname: REDSPEED-CIDR-BLK-JP 日本の業者みたいなのですが、このブロックの複数のIPから ランダム@ドメイン でガンガンSMTP接続が来てます。 で、逆引き無しなのでリジェクトされてます。 あと、もうひとつ inetnum: 103.250.174.0 - 103.250.174.255 netname: ACCESSNETLLC-JP 103.250.174.117 等から着てるのですが、 これは逆引きが出来るのですが、それからもう一度引くと名前が一致しません。 これもリジェクトされてます。 逆引きを整合させない理由って何が有るのでしょうか? SPAMでの詐称とかの目的なのでしょうか? >>736 もう少し調べてみました。 ちなみに、そのページですが2006年の作成の様です。 現状では各種フィルタや認証SMTPなどかなり運用環境が変わってきているので 現状と乖離してる部分もあるように思いました。 ググッタ感じでは reject_unknown_client を勧めない情報は2008年以前が殆どのようです。 reject_unknown_client で意図しないrejectが発生しない自信があるのであれば 好きにすればよろし。 運用してみれば判るけれどもS25R+αの方が良いけどね。 >>737 > 現実問題として一般の利用者以外が逆引きできないSMTPから送ることって有るのでしょうか? ないってことはないでしょう。 >>738 理由が必要か? > 理由が必要か? マナーとして逆引き設定すべきでは無いでしょうか? 以前とある回線を使用していたとき、逆引き設定されていなかったので接続の認証に待たされる事がありました、 正常な利用環境を提供しようと思うなら逆引きも正しく設定されるべきだと思います。 > ないってことはないでしょう。 具体的な経験は有りますか? 今のネットは5年10年前の性善説に基づいた運用は無理があるように思います、 鍵を持ってない人が居るから誰でも入りやすくするよ、ってのは昔や田舎ではあったと思いますが、 現在の高速で広帯域からガンガン飛び込んでくる得体の知れない物を排除するなら最低限の敷居は必要かなって思うのですが。 取り合えず、ここ数年のメールのヘッダをチェックしてunknownで送ってきたメールが無いか確認してみようと思います。 >>741 > reject_unknown_client で意図しないrejectが発生しない自信があるのであれば > 好きにすればよろし。 自身はないのですが、 意図しないrejectとはどの様な事が予想されますか? 少なくとも今の日本のISPで逆引き設定してないのを最近は見かけていないのですが。 > 運用してみれば判るけれどもS25R+αの方が良いけどね。 これは確かに良さそうなのですが、これも逆引きしてますよね? つまり S25R+α は reject_unknown_client よりさらにハードルが高い制限ですよね? これがOKでreject_unknown_clientを否定は論理が矛盾してるような気がするのですが? 書き込んでるのは複数人だし 偽の情報もあるんですよ どうしてもやりたいようだから、やればいいじゃん、としか >>743 > マナーとして逆引き設定すべきでは無いでしょうか? つまり設定すべきルールはないってことだよね。 マナーなんて守らない人がいて当然。 >>746 そうね。 それで受け取れないメールがあっても文句言うなよ、と。 ここでみんなを説得してもしょうがない。 逆引きを設定しない理由っていうか、 逆引きを設定する理由がなかったんじゃないんだろうか。 >>739 > これは逆引きが出来るのですが、それからもう一度引くと名前が一致しません。 > これもリジェクトされてます。 > > 逆引きを整合させない理由って何が有るのでしょうか? > SPAMでの詐称とかの目的なのでしょうか? 詐称目的よりも、ただ間違っているのではないでしょうか。 >>744 > 少なくとも今の日本のISPで逆引き設定してないのを最近は見かけていないのですが。 とのことですが、 739 で挙げているプロバイダは逆引き設定していないのではありませんか。 SPAMを発信しているのは、そのプロバイダの中の人ではなく、利用者の一人なのだろうと思います。 逆引きを設定させたい理由って何なんだろ。 「それがマナーだろ」とか「設定しないとメールはじくぞ」とか言っても 「知らんよそんなん」って言われて終わりじゃね。 >>751 > とのことですが、 739 で挙げているプロバイダは逆引き設定していないのではありませんか。 whoisや割り当て情報などを見ればわかるのですが、レンタルサーバーだと思います。 同じブロックの近隣の複数のIPから同じような接続が来ていますのでいわゆるSPAM配信業者だと思われます。 まっとうなISPで逆引きを設定していない所がありましたら教えてください。 ある意味現在では、低レベルSPAMer=サーバー設定が出鱈目 で逆引きまで考えてない。 継続的にサービスしているサーバー=きちんとホスト設定されている、 と、考えて良いように思います。 ちなみに、 strict_rfc821_envelopes = yes は、携帯ドメインなどで弾かれる可能性が有るとの記述を見かけたので取り合えずはずしました。 >>752 > 逆引きを設定させたい理由って何なんだろ。 逆引きはネットワークの管理権限が必要で、IPブロックを自分で取得申請しなければ設定できません、 もしくは借りてるサービスにお願いするか。 つまり偽名で数日契約してSPAM送ってばっくれる、みたいな事は難しいのです。 住民票が無くても借りられるレンタルハウスときちんと契約した家に済んでる人と、信用度が違うのと同じでしょう。 >>756 「おれに信用されたいなら逆引きを設定しろ」ってこと? >>755 > そう考えたいならそれでいいんじゃね。 つまり明確な具体例も出さずに、リジェクトされるのは受け入れる方が良いよね、って事ですか? むしろ明確な理由も無く受け入れ設定されてるサーバーのほうがSPAMerサポーターとして有害だと思うのですが。 >>758 > 「おれに信用されたいなら逆引きを設定しろ」ってこと? 考え方が逆です。 現状では信用有るサービスではもれなく逆引き設定されている、 こういう事実があって、 あえて逆引きしない人を信用できないでしょ? って事です。 まずは、信用有るサービスで逆引き設定されて無い例をあげるべきですね。 >>757 > ちょっと何を言いたいのかわからない。 JPNICか回線業者へのIP取得申請して逆引き設定した事があればわかると思いますが。 >>753 レンタルサーバーなのだろうというのは、私も同意見です。 レンタルサーバーを借りているユーザーがSPAM業者なのでしょう? それとも、プロバイダーがSPAM業者だという見解なのですか? まずは spf で送信元アドレスのバリデーションをしろや。 逆引きが書いてあっても、spf で宣言してないところからの送信なら信用できない。 あんなものには何の信頼性もない。 >>762 > それとも、プロバイダーがSPAM業者だという見解なのですか? それはどちらでも良いことだと思います。 たとえ顧客であっても放置しているなら同罪です。 ※経験的に大手ISP以外はSPAMer=良顧客的の様なので、クレーム言って改善されたためしはありません。 でもアクセス状況を見てると複数IP使っているし、単なる1顧客ではないと思います。 ほかにもメール配信サービスといいつつ、実質的には同意の無い無差別メールを送信しているサーバーサービスは結構あります。 >>763 > 逆引きが書いてあっても、spf で宣言してないところからの送信なら信用できない。 話の論点がずれてます。 逆引き有り=信用出来る 逆引きなし=信用できない では有りません。 最低限、逆引きやホスト名設定されていないと信用する以前の問題ということです。 postfixの reject_unknown_client の話なのですが・・・ 逆引きなしの拒否は百害あって一利なしってどこかで見た。 spfだけでいいじゃん。 >>767 設定したいならすればいいじゃん、で終わりだよ。 管理者=ユーザなネットワークの自宅警備員なので、逆引きなしをはじいて 困ることについての想像力が働かないということ。 メール受けて欲しいなら逆引き設定しろよ、 が通じる相手からしかメール来ないならやればいいんじゃね。 客からのメールだとそうはいかない。 想像力が働いてない?w ttps://support.google.com/mail/answer/81126?hl=ja googleくらいになれば俺ルールに従えと言えるんでしょうね^^ >>768 > 逆引きなしの拒否は百害あって一利なしってどこかで見た。 > spfだけでいいじゃん。 は? 逆引きしてなくてspfしてるところが有るとでも? まあ、言い訳としてgoogleや大手ISPに準じます ってのは十分理解に値するだろうね。 しかし、逆引きも出来ないような怪しい所のメールを何でそんなに尊重するんだろうね、 以前に自宅サバ族ならいざ知らず、いまや自宅サバでもISPの認証サーバー経由で送信してるだろうし、 けきょく具体例も経験も根拠も無く古いネットの情報で恐れてるだけのような気がする。 IPv6の逆引き設定が厄介w ボリボリ書くだけなんだけど、まだボリボリ書かれてないことがほとんどw IPv6のアクセスも少しあるけど、今は無視して良いんじゃないかな、 下手にV6対応でサバ運用するよりV6 offの方が問題が少ない気がする。 実験目的目的以外では、V4オフ、V6オンリーで利用してる人って居ないでしょ? read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる