X
Postfix(8)
0731名無しさん@お腹いっぱい。
垢版 |
2013/12/04(水) 17:10:02.24
CentOs6.2にPostfixをインストールしてリレーチェックとかして一応安全な環境で使っているのですが、
デフォのキュー残存タイムが5dと長いので2日位にしようと
main.cfに以下の2行を追加しました。

bounce_queue_lifetime = 2d
maximal_queue_lifetime = 2d

postfix reload して postconf -d | grep lifetime で見ても以下のとおり適応されていません。
bounce_queue_lifetime = 5d
maximal_queue_lifetime = 5d

ちなみに編集ミスかと思い、webmin 経由でも変更してみましたが同じでした。

何か別の項目とのあわせ技が必要なのでしょうか?
0733名無しさん@お腹いっぱい。
垢版 |
2013/12/04(水) 19:19:45.39
>>728
smtpd_client_restrictions = permit_mynetworks, reject
smtpd_recipient_restrictions = permit_sasl_authenticated, reject

でいいんじゃね?
こう書けば permit_mynetworks にマッチしなかったものは
permit_sasl_authenticated の判定前に reject されるので、AND になる。
0735名無しさん@お腹いっぱい。
垢版 |
2013/12/05(木) 19:59:08.15
SPAM対策として

mtpd_helo_required = yes
strict_rfc821_envelopes = yes

reject_unknown_client
reject_non_fqdn_recipient

を追加してみたのですが、これって通常利用による弊害って考えられますか?

しばらくログ覗いてると reject_unknown_client で引っかかるのは結構ありすね。
0737名無しさん@お腹いっぱい。
垢版 |
2013/12/05(木) 23:42:52.42
>>736
参考文献有難うございます、じっくり読んでみます。

それで、まず1つ。
reject_unknown_client なんですが。
そのURL説明では「逆引きがないからといって spammer と断定はできない」と書かれています。

ただメールの場合はPCから直接送られるわけでなく、基本的にはきちんとしたSMTPサーバー経由で送信されると思います、
特に最近は25ポートを遮断してる場合が多いですし、

現実問題として一般の利用者以外が逆引きできないSMTPから送ることって有るのでしょうか?

ログ見てるとこれに引っかかってるのは中国や発展途上の国からの接続が多いようです、
拒否は、かなり効果的に思うのですが・・
0738名無しさん@お腹いっぱい。
垢版 |
2013/12/05(木) 23:49:28.74
あと参考までに逆引きを設定しない理由ってあるのでしょうか?

10年くらい前は結構見かけたような気がするのですが、
最近の商用ISPであるのかな?
小さなネット/27とかの固定回線利用者とかでは有るようですが。
0739名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 00:00:56.13
ログ見てたらちょうど今SPAMアタックがありました。

red-speed.net
inetnum: 119.82.152.0 - 119.82.159.255
netname: REDSPEED-CIDR-BLK-JP

日本の業者みたいなのですが、このブロックの複数のIPから
ランダム@ドメイン でガンガンSMTP接続が来てます。

で、逆引き無しなのでリジェクトされてます。

あと、もうひとつ
inetnum: 103.250.174.0 - 103.250.174.255
netname: ACCESSNETLLC-JP

103.250.174.117 等から着てるのですが、
これは逆引きが出来るのですが、それからもう一度引くと名前が一致しません。
これもリジェクトされてます。

逆引きを整合させない理由って何が有るのでしょうか?
SPAMでの詐称とかの目的なのでしょうか?
0740名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 00:33:16.77
>>736
もう少し調べてみました。

ちなみに、そのページですが2006年の作成の様です。
現状では各種フィルタや認証SMTPなどかなり運用環境が変わってきているので
現状と乖離してる部分もあるように思いました。

ググッタ感じでは
reject_unknown_client を勧めない情報は2008年以前が殆どのようです。
0741名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 00:58:20.30
reject_unknown_client で意図しないrejectが発生しない自信があるのであれば
好きにすればよろし。

運用してみれば判るけれどもS25R+αの方が良いけどね。
0742名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 07:53:28.57
>>737
> 現実問題として一般の利用者以外が逆引きできないSMTPから送ることって有るのでしょうか?
ないってことはないでしょう。

>>738
理由が必要か?
0743名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 09:39:45.79
> 理由が必要か?
マナーとして逆引き設定すべきでは無いでしょうか?

以前とある回線を使用していたとき、逆引き設定されていなかったので接続の認証に待たされる事がありました、
正常な利用環境を提供しようと思うなら逆引きも正しく設定されるべきだと思います。

> ないってことはないでしょう。
具体的な経験は有りますか?

今のネットは5年10年前の性善説に基づいた運用は無理があるように思います、
鍵を持ってない人が居るから誰でも入りやすくするよ、ってのは昔や田舎ではあったと思いますが、
現在の高速で広帯域からガンガン飛び込んでくる得体の知れない物を排除するなら最低限の敷居は必要かなって思うのですが。

取り合えず、ここ数年のメールのヘッダをチェックしてunknownで送ってきたメールが無いか確認してみようと思います。
0744名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 09:47:45.78
>>741
> reject_unknown_client で意図しないrejectが発生しない自信があるのであれば
> 好きにすればよろし。
自身はないのですが、
意図しないrejectとはどの様な事が予想されますか?

少なくとも今の日本のISPで逆引き設定してないのを最近は見かけていないのですが。

> 運用してみれば判るけれどもS25R+αの方が良いけどね。
これは確かに良さそうなのですが、これも逆引きしてますよね?

つまり S25R+α は reject_unknown_client よりさらにハードルが高い制限ですよね?

これがOKでreject_unknown_clientを否定は論理が矛盾してるような気がするのですが?
0747名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 10:37:53.96
>>743
> マナーとして逆引き設定すべきでは無いでしょうか?
つまり設定すべきルールはないってことだよね。
マナーなんて守らない人がいて当然。
0750名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 11:40:38.91
>>739
> これは逆引きが出来るのですが、それからもう一度引くと名前が一致しません。
> これもリジェクトされてます。
>
> 逆引きを整合させない理由って何が有るのでしょうか?
> SPAMでの詐称とかの目的なのでしょうか?

詐称目的よりも、ただ間違っているのではないでしょうか。
0751名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 11:44:43.15
>>744
> 少なくとも今の日本のISPで逆引き設定してないのを最近は見かけていないのですが。
とのことですが、 739 で挙げているプロバイダは逆引き設定していないのではありませんか。
SPAMを発信しているのは、そのプロバイダの中の人ではなく、利用者の一人なのだろうと思います。
0752名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 12:01:28.88
逆引きを設定させたい理由って何なんだろ。
「それがマナーだろ」とか「設定しないとメールはじくぞ」とか言っても
「知らんよそんなん」って言われて終わりじゃね。
0753名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 12:02:43.02
>>751
> とのことですが、 739 で挙げているプロバイダは逆引き設定していないのではありませんか。
whoisや割り当て情報などを見ればわかるのですが、レンタルサーバーだと思います。

同じブロックの近隣の複数のIPから同じような接続が来ていますのでいわゆるSPAM配信業者だと思われます。

まっとうなISPで逆引きを設定していない所がありましたら教えてください。

ある意味現在では、低レベルSPAMer=サーバー設定が出鱈目 で逆引きまで考えてない。
継続的にサービスしているサーバー=きちんとホスト設定されている、
と、考えて良いように思います。

ちなみに、
strict_rfc821_envelopes = yes
は、携帯ドメインなどで弾かれる可能性が有るとの記述を見かけたので取り合えずはずしました。
0756名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 12:08:27.56
>>752
> 逆引きを設定させたい理由って何なんだろ。
逆引きはネットワークの管理権限が必要で、IPブロックを自分で取得申請しなければ設定できません、
もしくは借りてるサービスにお願いするか。

つまり偽名で数日契約してSPAM送ってばっくれる、みたいな事は難しいのです。

住民票が無くても借りられるレンタルハウスときちんと契約した家に済んでる人と、信用度が違うのと同じでしょう。
0759名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 12:10:56.93
>>755
> そう考えたいならそれでいいんじゃね。

つまり明確な具体例も出さずに、リジェクトされるのは受け入れる方が良いよね、って事ですか?

むしろ明確な理由も無く受け入れ設定されてるサーバーのほうがSPAMerサポーターとして有害だと思うのですが。
0760名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 12:13:12.78
>>758
> 「おれに信用されたいなら逆引きを設定しろ」ってこと?

考え方が逆です。

現状では信用有るサービスではもれなく逆引き設定されている、
こういう事実があって、
あえて逆引きしない人を信用できないでしょ? って事です。

まずは、信用有るサービスで逆引き設定されて無い例をあげるべきですね。
0761名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 12:14:39.42
>>757
> ちょっと何を言いたいのかわからない。

JPNICか回線業者へのIP取得申請して逆引き設定した事があればわかると思いますが。
0762751
垢版 |
2013/12/06(金) 12:39:46.07
>>753
レンタルサーバーなのだろうというのは、私も同意見です。
レンタルサーバーを借りているユーザーがSPAM業者なのでしょう?
それとも、プロバイダーがSPAM業者だという見解なのですか?
0763名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 12:43:32.51
まずは spf で送信元アドレスのバリデーションをしろや。
逆引きが書いてあっても、spf で宣言してないところからの送信なら信用できない。
あんなものには何の信頼性もない。
0764名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 14:39:05.05
>>762
> それとも、プロバイダーがSPAM業者だという見解なのですか?
それはどちらでも良いことだと思います。
たとえ顧客であっても放置しているなら同罪です。
※経験的に大手ISP以外はSPAMer=良顧客的の様なので、クレーム言って改善されたためしはありません。

でもアクセス状況を見てると複数IP使っているし、単なる1顧客ではないと思います。

ほかにもメール配信サービスといいつつ、実質的には同意の無い無差別メールを送信しているサーバーサービスは結構あります。
0765名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 14:41:23.89
>>763
> 逆引きが書いてあっても、spf で宣言してないところからの送信なら信用できない。
話の論点がずれてます。

逆引き有り=信用出来る
逆引きなし=信用できない  では有りません。

最低限、逆引きやホスト名設定されていないと信用する以前の問題ということです。
0770名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 19:54:09.02
管理者=ユーザなネットワークの自宅警備員なので、逆引きなしをはじいて
困ることについての想像力が働かないということ。
0771名無しさん@お腹いっぱい。
垢版 |
2013/12/06(金) 20:01:03.88
メール受けて欲しいなら逆引き設定しろよ、
が通じる相手からしかメール来ないならやればいいんじゃね。
客からのメールだとそうはいかない。
0775名無しさん@お腹いっぱい。
垢版 |
2013/12/07(土) 08:12:07.00
>>768
> 逆引きなしの拒否は百害あって一利なしってどこかで見た。
> spfだけでいいじゃん。
は?

逆引きしてなくてspfしてるところが有るとでも?
0776名無しさん@お腹いっぱい。
垢版 |
2013/12/07(土) 08:17:08.45
まあ、言い訳としてgoogleや大手ISPに準じます ってのは十分理解に値するだろうね。

しかし、逆引きも出来ないような怪しい所のメールを何でそんなに尊重するんだろうね、
以前に自宅サバ族ならいざ知らず、いまや自宅サバでもISPの認証サーバー経由で送信してるだろうし、

けきょく具体例も経験も根拠も無く古いネットの情報で恐れてるだけのような気がする。
0778名無しさん@お腹いっぱい。
垢版 |
2013/12/07(土) 15:28:27.83
IPv6のアクセスも少しあるけど、今は無視して良いんじゃないかな、
下手にV6対応でサバ運用するよりV6 offの方が問題が少ない気がする。

実験目的目的以外では、V4オフ、V6オンリーで利用してる人って居ないでしょ?
0779名無しさん@お腹いっぱい。
垢版 |
2013/12/07(土) 22:22:43.20
ボリボリ書くのが手間ならprefixlen 64のとき
prefix:ffff:ffff:ffff:ff53あたりに立ってるDNSサーバへ
丸投げしてしまうみたいなルールでも作ってしまえばいいのにw
0786名無しさん@お腹いっぱい。
垢版 |
2013/12/09(月) 09:58:14.78
> 今時解決策に「IPv6を無効にすれば良い」なんて言い出す奴は
ニートの妄想乙、
現実社会ではv4オンリーのサーバーがどれほど稼動しているか、
そしてJPNIC等でも今後10年はv4オンリーで問題が生じることは無いと断言されてる。
0789名無しさん@お腹いっぱい。
垢版 |
2013/12/15(日) 22:01:12.17
外部からどこにでもメール送れるようにしたいんですがどうすれば良いでしょうか?
relay_domainsを大量に指定するのか、mynetworksにグローバルIPを指定するのかどっちが安全かご教授ください
0792名無しさん@お腹いっぱい。
垢版 |
2014/01/15(水) 09:04:20.36
postfixからezweb宛へのメールの送信なのですが、
これまでは若干遅れることはあっても、
それほど問題なかったのですが、
最近メールが届かないという事象が発生し困っております。

PCメールアドレス宛てのメールに関しては遅延もなく
全く問題ありません。

またmaillogも確認してみましたが、該当ドメイン宛のメールに関しても
以前と変らず問題なくみられます。どのようなことが原因か、
対処方法等あるようでしたら教えていただけますでしょうか?

maillogは下記のとおりです。
 status=sent (250 Ok: queued as F0B001941CD)

お手数ですが宜しくお願い致します。
0794名無しさん@お腹いっぱい。
垢版 |
2014/04/20(日) 21:29:12.50
>status=sent (250 Ok: queued as F0B001941CD)

SMTP的に送信に成功しているならば、その先で遅延しようが不達になろうが
もう Postfix は関係ない
0797名無しさん@お腹いっぱい。
垢版 |
2014/05/01(木) 11:46:19.62
アドレス詐称によるバウンスがウザいんだけどこれを防ぐためにどういう対策するのが一般的?
調べててBATVという仕組みがあるというのを知って、対策内容も納得できる様な内容だったけど
ググった感じあまり一般的な手法でもないのかなーと思ったけどどうなんだろう?
0798名無しさん@お腹いっぱい。
垢版 |
2014/05/01(木) 15:19:22.70
>>797
BATV知らなかったから見てみたけど、内容的には確かに納得できるけど
ポートを変更しないといけない?のが、ユーザがたくさんいるとこだと難しいね
0802名無しさん@お腹いっぱい。
垢版 |
2014/05/13(火) 10:20:34.00
2.8.x から 2.11.x に上げたら今まで必ず IPv6 で配送していたメールが IPv6 で配送されたり
IPv4 で配送されたり「揺らぐ」ようになった。環境はデュアルスタックのまま何も変えてない。

調べたら 2.8 から導入された smtp_address_preference のデフォルト値が

=2.8 smtp_address_preference = ipv6
>2.8 smtp_address_preference = any

に変更されていた。
0803名無しさん@お腹いっぱい。
垢版 |
2014/05/13(火) 10:33:13.64
で、
smtp_address_preference = ipv6 を main.cf に追加すれば元に戻るのかと思ったら

The setting "smtp_address_preference = ipv6" is unsafe. It can fail to deliver mail when there is an outage that affects IPv6, while the destination is still reachable over IPv4.

とか書いてある。

「IPv4が reachable なのに IPv6 が障害起こしてるときにメールが配送されないことがあるから unsafe だ」と。

でも smtp_address_preference は IPv6/IPv4 の2択状態の時にどちらを先に試すか ( try first )という設定で
あって IPv6 接続に固定する設定じゃないはず。

もし IPv6 で接続エラーになれば IPv4 にフォールバックすると思っていたのだが
わざわざ注意書きしてデフォルト値を any に変更したということはこの辺何か地雷があるのだろうか。
0804名無しさん@お腹いっぱい。
垢版 |
2014/05/13(火) 11:14:27.98
May 13 11:07:14 xxx postfix/smtp[30191]: connect to mx2.example.com[IPv6アドレス]:25: Connection timed out
May 13 11:07:14 xxx postfix/smtp[30191]: 5A6642D62: to=<foo@example.com>, relay=mx2.example.com[IPv4アドレス]:25, 〜 dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 〜

IPv6経路いじって追試したらちゃんと IPv4 にフォールバックした。
なぜ unsafe なのか誰か知ってる人教えてくれ
0805名無しさん@お腹いっぱい。
垢版 |
2014/05/13(火) 11:26:44.18
サーバが応答しないだとか4xxなエラーを返すとかなら次を試すけど、
5xxなエラーを返しちゃうとfallbackしないよ。
たとえばv4には逆引きが設定してあるけどv6にはないなんてときに、
宛先サーバが逆引き制限してたりするとひっかかる。

outageだとかreachableだとかというのはそのへんのことも含んでるんじゃないかな?
0807名無しさん@お腹いっぱい。
垢版 |
2014/05/13(火) 11:56:47.08
いや、5xx で bounced は一発アウトだから any でも救えるとは限らんか
4xx で defered してリトライを繰り返す場合に try first v6 で行ったり try first v4 で行ったり
することに意味があるんだろう。
スレ汚し失礼した。もちっと様子を見てみるわ。
0811名無しさん@お腹いっぱい。
垢版 |
2014/11/10(月) 14:21:47.70
MLのようなものを作りたいと考えています。
送り主(a)が、私のサーバ宛(b)にメールを送ると転送先(c)(d)にメールを転送できればと思っています。
このとき、MLと少し違うのは送信元情報はそのままで、toなどが(b)になっているのを、それぞれ(c)(d)に書きかえたいと思っています。
つまり、(c)(d)からみると(b)宛にきたメールではなく(c),(d)宛にきたメールのようにしたいです。

これを、web上から追加設定するようにしたいので、途中でmysqlを参照できればと思っています。
どのようにすればいいでしょうか。
http://tohokuaiki.hateblo.jp/entry/20130616/1371404601
こちらが近いかなと思うのですが、toなどの情報が(b)になるかなと思っています。


送り主
(a)sender@mail1.com

私のサーバ
(b)myserver@mail2.com

転送先
(c)target1@mail3.com
(d)target2@mail4.com

---
(a) -> (b) -> (c)
      -> (d)
0814名無しさん@お腹いっぱい。
垢版 |
2015/01/24(土) 00:01:08.44
SPAMフィルターとかは milter / proxy でいいけど

SPF/ DKIM / DKIM-ADSP / DKIM-ATSP / DMARC あたりは RFCも出揃ってきたし
そろそろ本体に取り込んで欲しいなぁ

postfix の rpm をポンと入れたらあんまり他のパッケージ入れたり main.cf や master.cf を
ごちゃごちゃいじらないでサクっと導入したいわ
0815名無しさん@お腹いっぱい。
垢版 |
2015/02/02(月) 19:57:13.00
Postfix Admin 2.92 で転送先を指定すると[おそらく配送不可能]のオレンジマークが出ます。
送受信は普通に問題なく行える状態です。
転送もlogを見るとsentとなっているが届かないしspamフィルタにもかかっていない。
原因を突き止めるにはまず何からすれば良いでしょうかね?
0819名無しさん@お腹いっぱい。
垢版 |
2015/02/12(木) 02:06:07.06
国際化ドメイン対応のために SMTPUTF8 に対応したぜ!
(人からもらったコードを取り込んだだけだけどテヘ)

でもまだ未完成で対応作業中なんだ
次のバージョン 3.1 で完成したらいいなぁ…

でもとりあえず3.0 をリリースしたから 2.8系列はもうこれでおさらばだぜ! HA!HA!HA!
0825名無しさん@お腹いっぱい。
垢版 |
2015/08/02(日) 01:21:56.43
今回のリリースは悩ましいところだよねぇ

最近のSSL/TLS周りの脆弱性ってプロトコル自体に欠陥があるから
もう SSLv3 使うなとか export grade の chiper suite 使うなとかそーいうアドバイザリが多発してるんだけど

それをそのまま MTA に適用すると、今まで弱い、あるいは脆弱性があるにしても一応暗号通信をしていた
相手が暗号なしの丸裸通信するようになって本末転倒なんだよねぇ
0826名無しさん@お腹いっぱい。
垢版 |
2015/08/10(月) 22:31:28.18
postfix + MySQL + postfixAdmin という構成なのですが、エイリアストリガーでスクリプトに渡したいんですが、方法がわかりません。
virtual domainで、それ用のaliasはMySQLのaliasテーブルに定義されてるみたいなのですが、
そのgotoカラムに"| /hoge/hoge.PHP" 等と入れても宛先がないとエラーになってしまいます。

この場合どうしたら良いのでしょうか?色々自分で調べてみたのですが探せませんでした><;
0828名無しさん@お腹いっぱい。
垢版 |
2015/08/15(土) 23:15:57.22
virtual エイリアステーブルにコマンドスクリプトをキックする機能はありませんです。
マニュアルくらい読んでから質問しろやボケカスなのです。
0830名無しさん@お腹いっぱい。
垢版 |
2015/10/27(火) 19:23:23.44
fooというユーザー作って、SMTPサーバーにはfooでログインさせてるのですが
なぜか送ったメールがrootに届いてしまうのはどうしてでしようか
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況