Dovecot(2)

**名無しさん＠お腹いっぱい。** · 2010/01/28(木) 09:54:42

Dovecotスレッドその2です。

●リンク
　本家
　http://www.dovecot.org/

●前スレ
　Dovecot(1)
　http://pc12.2ch.net/test/read.cgi/unix/1133750653/

#過去スレ、即dat落ちした模様。
関連スレなどは>>2-4あたり

44 · 2010/05/12(水) 21:24:59

xinetd起動にしちゃった。

**名無しさん＠お腹いっぱい。** · 2010/05/13(木) 01:17:04

iptables だよな
*BSD なら

**名無しさん＠お腹いっぱい。** · 2010/05/13(木) 14:13:43

iptablesってドメインで指定できるの？

**名無しさん＠お腹いっぱい。** · 2010/05/13(木) 17:46:42

ttp://ruffnex.oc.to/kenji/text/fire_a/

**名無しさん＠お腹いっぱい。** · 2010/05/14(金) 00:14:48

>>50
引数として指定は出来るが、フィルタ動作は名前解決された後のIPアドレスが対象になる。

**名無しさん＠お腹いっぱい。** · 2010/05/14(金) 00:40:03

-A で実行したあと
-L で見るといい

**名無しさん＠お腹いっぱい。** · 2010/05/22(土) 16:16:07

そりゃ、何だってIPでしょお

**名無しさん＠お腹いっぱい。** · 2010/05/23(日) 03:22:21

IPゆうな

**名無しさん＠お腹いっぱい。** · 2010/05/26(水) 07:19:40

いｐ

**名無しさん＠お腹いっぱい。** · 2010/05/26(水) 21:37:33

すみません、皆さんパスワードデータベースの認証方法てどうしてますか？
触り始めたばかりでよくわからないんですが、pamとかsqlとかldapとかあるんですよね？

**名無しさん＠お腹いっぱい。** · 2010/05/26(水) 23:58:26

>>57
うちは、LDAPで認証しているよ。

つーか何が知りたいの？

57 · 2010/05/27(木) 11:38:21

>>58
レスありがとうございます
>つーか何が知りたいの？

・dovecot.confの認証部分の設定をどうしたらいいのかわからないんです。
　とりあえず一番簡単そうなPamでやろうかと思ったんですが説明してるサイト見つからないし
　どこか知らないですか？
　Pamでの認証は問題があるんでしょうか？

・LDAPについて知りたいです
　まずLDAPサーバってのをインストールしなきゃいけないんですよね？
　>>58さんはなぜLDAP認証を選んだんですか？
　調べた限りだといろんな端末（サーバ）で使うパスワードを一元管理出来るものらしいですが
　ということは、サーバマシンが物理的に独立していないとありがたみがイマイチなものなんでしょうか？
　自分は一つのマシンにpostfix,dovecot,httpd,など全部入れているのでLDAPの利点はあまり
　感じられないのかなぁと悩んでいます

**名無しさん＠お腹いっぱい。** · 2010/05/27(木) 12:20:57

>　とりあえず一番簡単そうなPamでやろうかと思ったんですが説明してるサイト見つからないし

別にどっかのサイトを探しにいかなくても、
詳細なドキュメントはすでにおまえのホストにインストールされてるはずだが。
それを読んでまだわからないことがあれば、どこがわからないのか聞けばいい。

**名無しさん＠お腹いっぱい。** · 2010/05/27(木) 12:45:31

>>59
PAM 認証の方法
http://wiki.dovecot.org/PasswordDatabase/PAM
これくらい探そうよ・・・

ちなみに、おいらがLDAPを使っているのは、ユーザ数が1000人くらいおり
他のSystemとの連携で認証を一元管理しているからです。
ユーザ数が少ないのであればPAM認証でも十分だと思います。

なお、Dovecot はuserdbとpassdbを別管理出来ますので

・userdb　LDAP
・passdb　SQL

てな感じな事も出来ます。
なぜ、こいう事が必要かは、ご自分で考えてみてください。

**名無しさん＠お腹いっぱい。** · 2010/05/27(木) 18:50:58

sasl

57 · 2010/05/28(金) 01:50:10

>>60-61
どうもです。結局のところpasswd-file形式で対応しました
たかがメールの受信でこんなに苦労と感動するとは…　アドバイスありがとうございました

62 · 2010/05/28(金) 09:15:29

私は無視ですかそうですか

**名無しさん＠お腹いっぱい。** · 2010/05/28(金) 11:28:04

>>64
たぶん、意味が判ってないと思われるw

**名無しさん＠お腹いっぱい。** · 2010/06/03(木) 19:16:50

察するに理解できなった

**名無しさん＠お腹いっぱい。** · 2010/06/08(火) 21:29:19

なんか、バージョンアップとまったね。
MLでもTimoのメール減ったし。

**名無しさん＠お腹いっぱい。** · 2010/06/12(土) 20:53:02

久々に 2.0 beta6。

**名無しさん＠お腹いっぱい。** · 2010/06/19(土) 22:26:10

1.2.12がでた。

**名無しさん＠お腹いっぱい。** · 2010/06/26(土) 01:37:35

2.0はまだかのぅ

**名無しさん＠お腹いっぱい。** · 2010/07/03(土) 07:28:55

2.0 rc1が来た。

**名無しさん＠お腹いっぱい。** · 2010/07/15(木) 10:00:28

pop3の認証失敗を繰り返すIPは数分間拒否する機能はありますか。
iptablesでは失敗、成功の区別無くカウントするので出来れば使いたくないのですが。

**名無しさん＠お腹いっぱい。** · 2010/07/21(水) 21:26:54

2.0 rc3が出た。

＞Maybe v2.0.0 will be out next week.
かつての勢いが懐かしい…

**名無しさん＠お腹いっぱい。** · 2010/08/05(木) 08:19:01

2.0 rc4か。

**名無しさん＠お腹いっぱい。** · 2010/08/11(水) 00:14:14

2.0 rc5。

**名無しさん＠お腹いっぱい。** · 2010/08/15(日) 17:30:32

2.0 rc6
そろそろ2.0になるようだ。

**名無しさん＠お腹いっぱい。** · 2010/08/17(火) 13:46:58

2.0 来た。rc6から変更無し
http://www.dovecot.org/list/dovecot-news/2010-August/000167.html

**名無しさん＠お腹いっぱい。** · 2010/08/27(金) 20:00:28

2.0でdracプラグインが動かない問題に四苦八苦、結局本体側のソースを弄るハメに

**名無しさん＠お腹いっぱい。** · 2010/09/14(火) 21:59:53

てｓｔ

**名無しさん＠お腹いっぱい。** · 2010/09/18(土) 17:05:19

2.0.3出た。

**名無しさん＠お腹いっぱい。** · 2010/09/18(土) 17:48:31

2.0でもxinetdと組み合わせて動きますか？

**名無しさん＠お腹いっぱい。** · 2010/09/19(日) 20:09:02

ドキュメント見てわかんないんだったら、やめときな
穴になるし

**名無しさん＠お腹いっぱい。** · 2010/09/28(火) 01:06:35

2.0.4。

＞Maildir users: I hope v2.0 is now finally stable.
おいｗ

**名無しさん＠お腹いっぱい。** · 2010/09/28(火) 10:02:58

はい？

**名無しさん＠お腹いっぱい。** · 2010/10/15(金) 07:17:33

あげ

**名無しさん＠お腹いっぱい。** · 2010/10/26(火) 00:36:03

2.0.6デタ

**名無しさん＠お腹いっぱい。** · 2010/11/05(金) 17:19:48

ほしゅ

**名無しさん＠お腹いっぱい。** · 2010/11/19(金) 12:57:29

他人のメールを読めちゃうというとんでもない穴が……
と思ったら MacOSX Server 限定らしい。
OSX が独自改造した部分の穴？

http://support.apple.com/kb/HT4452
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-4011

**名無しさん＠お腹いっぱい。** · 2010/11/19(金) 21:35:32

他人のメールなんて簡単に読めるお

**名無しさん＠お腹いっぱい。** · 2010/12/12(日) 10:00:49

あげ

【小吉】 · 2011/01/01(土) 08:17:12

あけました！

【凶】株価【19】【564円】 · 2011/01/01(土) 09:33:43

さげ

**名無しさん＠お腹いっぱい。** · 2011/01/11(火) 11:53:29

dovecotの設定でインデックスを無効にするパラメータってどれですかね

**名無しさん＠お腹いっぱい。** · 2011/01/12(水) 17:01:46

>>93
mbox_min_index_size に大きな値を入れてみるとか？

**名無しさん＠お腹いっぱい。** · 2011/02/03(木) 00:48:18

そろそろ2.0.10の出る頃だな

**名無しさん＠お腹いっぱい。** · 2011/02/03(木) 11:18:34

postfix-2.3.3 + dovecot-1.0で運用開始したけど、１回目の認証に失敗する
maillogには何も残らず

ようわからん

**名無しさん＠お腹いっぱい。** · 2011/02/05(土) 01:50:09

２回目は成功するの？
ログレベルあげてみれば、わかると思うよ

**名無しさん＠お腹いっぱい。** · 2011/02/17(木) 20:59:59

dovecotってMaildirを複数管理できる？

**名無しさん＠お腹いっぱい。** · 2011/02/18(金) 08:24:51

当たり前にできるだろ

98 · 2011/02/18(金) 09:48:10

>>99
すみません聞き方がまずかったです。
1ユーザに対して複数のプライベートなメールボックスをdovecotは許容してますかね？

**名無しさん＠お腹いっぱい。** · 2011/02/18(金) 10:28:40

１ユーザーに限定する理由がわからない
素直に３ユーザーじゃダメなの？
osのユーザー≠メールのユーザーは可能

**名無しさん＠お腹いっぱい。** · 2011/02/18(金) 10:30:27

「プライベートなメールボックス」って何だろ。
普通プライベートなもんじゃないのかな。

**名無しさん＠お腹いっぱい。** · 2011/02/18(金) 10:48:47

>>102
IMAPに共有って概念もあるよ。
掲示板みたいな使い方も出来て意外に便利

**名無しさん＠お腹いっぱい。** · 2011/02/18(金) 10:53:03

>>103
あるのは知ってるよ。
だから「普通」って書いたんだが。

**名無しさん＠お腹いっぱい。** · 2011/02/18(金) 12:44:54

>>101
外部からアクセスする際にユーザIDを対変えたくないのです。
1つのユーザ名で複数メールボックスにアクセスしたいのですが、dovecotとして1ユーザに複数メールボックスは機能的に設定が可能かどうか知りたいのです。

>>102
>>103の通りです。

98 · 2011/02/18(金) 12:47:52

>>101
外部からアクセスする際にユーザIDを対変えたくないのです。
1つのユーザ名で複数メールボックスにアクセスしたいのですが、dovecotとして1ユーザに複数メールボックスは機能的に設定が可能かどうか知りたいのです。

>>102
>>103の通りです。

**名無しさん＠お腹いっぱい。** · 2011/02/18(金) 12:54:20

ID変えないというなら
何でメールボックスを切り替えたいんだろ。

**名無しさん＠お腹いっぱい。** · 2011/02/18(金) 14:22:33

105は多分、フォルダという概念がない

98 · 2011/02/18(金) 15:43:03

>>107
完全なメールが入っているメールボックスと、
メールの中身を少しいじって保存するメールボックスの2つを管理するためです。

>>108
理解はしているつもりです。
デフォルト、メールボックスはMaildirで、メールボックスの下にそれぞれディレクトリが存在していますよね。

1つのインスタンスで複数のメールボックスを管理は難しそうなので、
結局、dovecotのポート番号を変えたインスタンスをもう1つ起動することにしました。長々と失礼しました。

**名無しさん＠お腹いっぱい。** · 2011/02/18(金) 15:44:29

>>109
いや、目的じゃなく手段を聞いてる。
2つのメールボックスのどちらを見に行くかを
どうやって切り替えたいのか。

**名無しさん＠お腹いっぱい。** · 2011/02/18(金) 15:47:19

>>109
理解してないね。

98 · 2011/02/18(金) 16:11:03

>>110
手段は基本的にIMAPです。
IMAP接続の際に、複数のメールボックスがあった場合、接続するメールボックスを選びたいなあと思ってました。

>>111
もうちょっとｋｗｓｋ説明頂いてもよろしいですか？

**名無しさん＠お腹いっぱい。** · 2011/02/18(金) 16:22:14

普通にフォルダでいいじゃん。
IMAPクライアントからフォルダ作ればいい。
フォルダの実体はMailDirとは別の場所になるだろうけど、
そんなことはクライアントから見たらどうでもいい。

**名無しさん＠お腹いっぱい。** · 2011/02/21(月) 03:34:07.18

> 結局、dovecotのポート番号を変えたインスタンスをもう1つ起動することにしました。長々と失礼しました。

同じパスワードの別アカウント作ったほうが、ずっと簡単なんじゃない？
同一ID・パスワードに拘る理由がよくわからん。

**名無しさん＠お腹いっぱい。** · 2011/02/21(月) 07:52:49.28

webでアクセスさせているとか

**名無しさん＠お腹いっぱい。** · 2011/03/05(土) 18:36:24.92

v2.0.10きたね

**名無しさん＠お腹いっぱい。** · 2011/03/05(土) 20:10:35.92

darcは対応しそうもないな

**名無しさん＠お腹いっぱい。** · 2011/03/07(月) 10:42:09.44

dracのこと？
pop before smtpってsmtp authが使えるMUAが普及するまでの
つなぎでやむなくやってたことだよ。
とっとと捨てろ。

**名無しさん＠お腹いっぱい。** · 2011/03/07(月) 11:05:56.16

v2.0.11だ
v2.0.10に問題あったみたいね

**名無しさん＠お腹いっぱい。** · 2011/03/10(木) 20:03:31.84

>>117
むかーし弄ったときにこんなんで行けたよ
http://pastebin.com/rHYa7eqd

**名無しさん＠お腹いっぱい。** · 2011/03/22(火) 19:13:56.56

んだよ、計画停電ってよ
メンドクサ

**名無しさん＠お腹いっぱい。** · 2011/04/01(金) 00:54:51.01

ここでエイプリルフールネタ↓

**名無しさん＠お腹いっぱい。** · 2011/04/03(日) 23:00:38.82

Dovecot に対して、総当たりの不正アクセス（適当なユーザ名／パスワード）攻撃が
頻繁にあります。
ある基準でこれを「不正アクセス」と判断して、その IP からの接続を叩き切るとい
うような仕掛けを作りたいんだけど、何か手がかりはありますか？

**名無しさん＠お腹いっぱい。** · 2011/04/03(日) 23:02:43.15

なんでフルオープンにしてんの。

**名無しさん＠お腹いっぱい。** · 2011/04/03(日) 23:03:20.58

フルオープンとは？

**名無しさん＠お腹いっぱい。** · 2011/04/06(水) 11:17:58.65

つ ttp://ap.atmarkit.co.jp/bbs/core/flinux/14956

**名無しさん＠お腹いっぱい。** · 2011/04/07(木) 07:56:15.61

あのさ、sshd アタックを防御する次のような二行 iptabels コマンドがあるだろ？

# iptables -A INPUT -ieth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
# iptables -A INPUT -ieth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP

これを pop や imap のポートにすることでオッケー？

**名無しさん＠お腹いっぱい。** · 2011/04/08(金) 01:08:25.24

まず日本語（と、一部英語）を勉強してから、書き込め

**名無しさん＠お腹いっぱい。** · 2011/04/08(金) 07:15:26.09

>>128

sshd アタックを防御する二行 iptabels コマンドの中のポート番号に該当する箇所
を pop あるいは imap のポート番号に変更することで、sshd アタックの防御に相当
する効果を得ることができますか？

**名無しさん＠お腹いっぱい。** · 2011/04/08(金) 23:29:40.35

「一部英語」が「iptabels」なのを理解しろよ

**名無しさん＠お腹いっぱい。** · 2011/04/09(土) 00:09:20.27

IP食べる

**名無しさん＠お腹いっぱい。** · 2011/04/09(土) 15:18:38.25

sshdは何回かパスワードが一致しなかったら接続を切るので、総当り攻撃するには何度も新しく接続し直すことになる。
そのiptablesの設定は、新しい接続(--state NEW)が60秒間で8回になったらDROPするわけだけど、
Dovecotは何回かパスワードが一致しなかった場合に接続を切るのだろうか。そこが問題だ。

**名無しさん＠お腹いっぱい。** · 2011/04/09(土) 19:27:24.81

dovectoとなんら関係ない話だな、セキュリティ板でやるべき

**名無しさん＠お腹いっぱい。** · 2011/04/10(日) 14:13:26.67

>>132
なるほどな。
Dovecot には、N回、接続に失敗したらアカウントロック（？）するような設定って、
ないのか？

**名無しさん＠お腹いっぱい。** · 2011/04/11(月) 19:18:47.47

fail2ban使えば？

**名無しさん＠お腹いっぱい。** · 2011/04/12(火) 10:32:33.93

dovecot2 だと標準でそういう機能があるっぽいんだけど、
ドキュメントのどこにも使い方が書いてない。
とりあえず doveadm penalty というコマンドを叩くとそのへんの状況が見えるんだけど、
それを実際の運用に生かすにはどうしたらいいのかさっぱり。

**名無しさん＠お腹いっぱい。** · 2011/04/29(金) 18:20:45.93

ようやくwww.dovecot.orgに繋がるようになったな

**名無しさん＠お腹いっぱい。** · 2011/04/29(金) 21:25:56.74

Postfixの仮想アカウントで使ってるんだが、認証関連のファイルを統合出来ないかな？
ファイルがいくつもあって管理が面倒臭い

**名無しさん＠お腹いっぱい。** · 2011/04/30(土) 16:21:39.39

できるよ
好きにやレバー？

**名無しさん＠お腹いっぱい。** · 2011/04/30(土) 18:54:47.37

教えろ

**名無しさん＠お腹いっぱい。** · 2011/05/08(日) 04:34:04.86

パスワードが通らなかった場合waitを入れることって可能なのかな

**名無しさん＠お腹いっぱい。** · 2011/05/09(月) 20:52:08.31

叶

**名無しさん＠お腹いっぱい。** · 2011/05/12(木) 09:29:35.38

2.0.13と1.2.17が出た。

**名無しさん＠お腹いっぱい。** · 2011/05/14(土) 13:13:04.82

ちもが
I recently created Dovecot Solutions Oy (Ltd) company with two other guys.
なんて言ってるぞ

**名無しさん＠お腹いっぱい。** · 2011/05/28(土) 19:57:38.12

あげ

**名無しさん＠お腹いっぱい。** · 2011/06/08(水) 10:59:10.53

>>138
できるよ。smtpd_sasl_type = dovecot でググってみて。

ところで質問なんだけど、2.0系をconfigureするときに、
UNIXアカウント認証を組み込まない場合ってどうするんだろ。
--without-shadow --without-pam を入れたんだけど、これで良い？
↓を見る限りでは組み込まれてる？　shadowは抜けてるけど。

passdbs ........ : static passwd passwd-file checkpassword
　　　　　　　　: -shadow -pam -bsdauth -sia -ldap -sql -vpopmail
userdbs ........ : static prefetch passwd passwd-file checkpassword
　　　　　　　　: -ldap -sql -vpopmail -nss

**名無しさん＠お腹いっぱい。** · 2011/06/08(水) 11:41:52.67

>>146
自己レス。UNIXアカウントで認証したらエラーになったので大丈夫ぽい。