2ch勢いランキングまとめ
メニュー

Postfix(8)

この話題の盛り上がりグラフ
2018-08-24 09:51:09 最終更新
1 名無しさん@お腹いっぱい。

Postfixスレッド その7です。

●リンク

本家

hhttp://www.postfix.org/

Postfix のぺーじ (ドキュメントの日本語訳、MLなど)

hhttp://www.kobitosan.net/postfix/

過去スレ、関連スレなどは>>2-4あたり

10 名無しさん@お腹いっぱい。

amavisd-new だと spamd は使えないっぽいので…

ユーたち、どうやってるの?

11 名無しさん@お腹いっぱい。

spamassassinってDKIMのチェックもするけど、それなのにあえてdkim-filter

入れている人って、その効果出ている? 無駄なような気がしてならないんだけど。

>>10

spamass-milterつかえば?

17 名無しさん@お腹いっぱい。

>>10

amavisdがスキャナーとして働いてclamdやspamdを通すんだったと記憶してる。

>>11

自分が署名付ける時用に入れてる

13 名無しさん@お腹いっぱい。

sid-milterとenmaではどっちがいい?

14 名無しさん@お腹いっぱい。

>>13

enma で特定ネットブロックからのアクセスは検査させないようにってできる?

15 名無しさん@お腹いっぱい。

>>14

hhttp://enma.wiki.sourceforge.net/FAQ

18 名無しさん@お腹いっぱい。

>>17

amavisd-new は clamav は見つけて使ってくれるが

spamd は無視してるっぽい。

perl の spamassassin モジュールを使っているようなのだが、

それってspamd (のクライアントであるspamc)を使うようになっているのだろうか?

23 名無しさん@お腹いっぱい。

Postfix+Mailmanでメーリングリストを運用していて、main.cfで

smtpd_recipient_restrictions =

permit_mynetworks

permit_sasl_authenticated

reject_unauth_destination

こんなかんじの設定を行っています。

この設定だと、メーリングリストのメンバーに別ドメインのメールアドレスが

含まれている場合に relay_domains にそのドメインを含める必要があるのですが、

・localhost からの転送ついては、 reject_unauth_destination を無視する

・それ以外のホストからの転送については、reject_unauth_destination を有効にする

ということは可能でしょうか?

27 名無しさん@お腹いっぱい。

>>23

mynetworks に 127.0.0.0/8 が含まれているから、permit_mynetworks が効くので、

今のままの設定でも問題ないはず。

74 名無しさん@お腹いっぱい。

レジストラ提供の動的DNSサーバにPTRレコードを設定とか思いつく時点でアホ認定

75 名無しさん@お腹いっぱい。

>>74

すいませんすいません。

ふつーは、IP配ってるところの配下のDNSで設定する門ですよね

76 名無しさん@お腹いっぱい。

>>75

なので、今はDDNSなサイトでメールの送受信は出来ないとものと考えたほうがいい。

やりたきゃ金がかかろうが固定IP取得。それが嫌ならGoogle Apps等を利用。

80 名無しさん@お腹いっぱい。

>>76

なにが「なので、」なのかわからない。

なんでDDNSなサイトで送受信はできない、という話になるのか。

94 名無しさん@お腹いっぱい。

拒否する意味あるの?

95 名無しさん@お腹いっぱい。

¥$ でええんちゃう?

96 名無しさん@お腹いっぱい。

>>94

「ヘッダに生JISはまずい」ってのはみたけど、拒否すべきかどうかは不明。

一部のspamが送ってきてるし、普通はエンコードしてあるから拒否してみようかと。

>>95

それは引っかからなかった。

man grepしても言及されてないし、今のところ$という文字を引っ掛ける方法は不明。

ちなみに、$Bだけで引っ掛けるとQuotedPrintableなJISが拒否されるみたい。

Outlookの初期設定で、サイズみてBかQか判定してるとか。

なので0x1B2442の3バイトは最低必要

97 名無しさん@お腹いっぱい。

>>96

> man grepしても言及されてないし、今のところ$という文字を引っ掛ける方法は不明。

(゜Д゜)ハァ?

98 名無しさん@お腹いっぱい。

> 拒否すべきかどうかは不明。

を拒否しようって言う人なんだから

レスでコミュニケーションをとる努力をするのも無駄だね

100 名無しさん@お腹いっぱい。

>>97

煽るくらいなら教えてw

¥$で拒否できなかったし、grepでも引っかからなかった。

>>98

不明って言うか、根拠がわかってない状態。

「まずい」って話は見たんだけど、具体的にどうまずいかって言うと

「アドレスがきちんと処理できない場合がある」くらいだった。

個人的に一番まずいのは、某メールサーバのログを見たときに化けて困るあたり。

102 名無しさん@お腹いっぱい。

>>100

pcre使ってへんの?

103 名無しさん@お腹いっぱい。

>>102

regexpしかやってなかったです。

Debianなので、postfix-pcreをインストール。

regexpのところをpcreにしたら引っかかるようになりました。

header_checksに追加したのはこれです。

/.*¥x1B¥x24¥x42.*¥x1B¥x28¥x42.*/ REJECT

今のところ、spamらしきのが数通かかってます。

正当なメールが引っかかるならそのときに考えます。

さんくす。

116 名無しさん@お腹いっぱい。

content_filter って複数回起動出来ないのか…

ローカルの別portにプロセス立ててそこでやりとりすればいいのはわかるけどマンドクセ。

smtpd のみで起爆するのが問題なのはわかったけど他はどれが安全なんだろ。

smtp で起爆させたって事例みつからないし。

152 名無しさん@お腹いっぱい。

targreyを導入してみようと調整中です。

postgreyのdelayを幾つにしようか迷っています。

ググってみるとdelay=3600という方や、delay=1800って方もいらっしゃるようです。

今は3600にしていますが、このdelayを短くすると排除率が下がるのでしょうか?

排除率を高めるよりは、必要なメールを救いたいので、少し短くしようかと思うのですが、加減が分かりません。

ちなみにtarpit=125、retry-count=2で設定しています。

tarpit=125にしたのは、

hhttp://d.hatena.ne.jp/stealthinu/20070703/p1

を参考にしました。

delayの数値について、色々なご意見をいただけたら幸いです。

スレ違いでしたら、ご容赦を。

153 名無しさん@お腹いっぱい。

>>152

一般のMTAがどれくらいの再送間隔なのかっていう話は理解できるか?

154 名無しさん@お腹いっぱい。

>>153

ありがとうございます。

そこを失念していました。

RFC2821に30分以上間隔を置くことってありました。

hhttp://www.puni.net/‾mimori/rfc/rfc2821b.txt

それでは1800未満には意味がなさそうですね。

目安にします。

ありがとうございました。

155 名無しさん@お腹いっぱい。

>>154

それが意外に30分以内に再送するやつも多いんだよね。

greylist導入した後のログ解析してみると判るけど。

実際の所、10分くらい後とかが実用的かも。

159 名無しさん@お腹いっぱい。

確かにリアルタイム性を要求されることも増えてきました。

>>155さんのアドバイスを参考に、とりあえずdelay=600にしました。

後はログを見ながら微調整します。

spam判定は後段でフィルターを入れて通過したメールに対応することにします。

周りに相談出来る人が居ないので、ここで話を伺えたことがとても嬉しかったです。

皆様、貴重なご意見をありがとうございました。

これから後段の設定に移ります。

189 名無しさん@お腹いっぱい。

>たとえば名前解決で127.0.0.2のように設定してある外部ホストから

>接続を試みられるとpostfixがローカルネットワークと誤認して

ねーよ。

正引きで127.0.0.2に解決されるとしても、

接続を受ける側は正引きじゃなくて逆引きするんだから関係ない。

207 名無しさん@お腹いっぱい。

postmapでdb更新したら、postfix reloadしたほうがいいのだろうか?

mainやmaster更新時は必要だと思いますが・・。

208 名無しさん@お腹いっぱい。

>>207

hhttp://www.postfix.org/DATABASE_README.html#detect

209 207

>>208

hhttp://www.postfix-jp.info/trans-2.3/jhtml/DATABASE_README.html#safe_db

ありがとうございました。

気にすることに越したことはないですね。

212 名無しさん@お腹いっぱい。

>>209

引用している部分はreloadとは関係ないんだが…

221 名無しさん@お腹いっぱい。

maximal_queue_lifetime デフォルトの5dにしてんだけど

active queueに古いメールが溜まってます。

何が考えられる?

224 名無しさん@お腹いっぱい。

>>221

おまえが馬鹿だということ。

304 名無しさん@お腹いっぱい。

iptablesのlimitとかconnlimitでいいんじゃね。Linuxしか知らないけど。

309 名無しさん@お腹いっぱい。

>>304-305

DDoSのなにが大変なのかお勉強して出直してくること。

316 名無しさん@お腹いっぱい。

>>312

>>309はちゃんと「DDoS」と書いてくれてるのに、それを勝手にDOSと

書き換えるような不注意さ、調べる気の無さが問題かな。

322 307

まったりしている所を掘り返してごめん

>>316

ごめんなさい。携帯からだったので打つのが面倒でDOSと略しちゃった。

この文意の中だったら意味伝わるかなと。。申し訳ない。

んじゃぁ、結局私が提示した

・必要な通信とあらかた不要な通信を分離してサービスレベルを分ける

・全部取得する必要があるならサーバー台数を増やす

という対処法に間違いは無いで宜しいでしょうか?

必要な通信の定義がサービスによって違うと思いますが、うちではとりあえず

hhttp://www.nic.ad.jp/ja/dns/ap-addr-block.html

ここのIPアドレスとhotmailやgmail等の海外メジャーメールサービスをプライマリMXに。他をセカンダリ以下のMXで受けてます。

335 名無しさん@お腹いっぱい。

>>322

国内とかメジャーなフリーメールのところはプライマリで受けて

それ以外からはセカンダリから受けるってなんか良いことあるの?

プライマリにばっかり負荷増やしたくないってことなのかな?

324 名無しさん@お腹いっぱい。

SPAMmerやbotnetがまじめにMX見ると思ってるのか

325 名無しさん@お腹いっぱい。

なんで粘着してまで無知な自分が正しいんだと言い張るんだろう?

そんな時間があるのなら、お勉強すればいいのに。

327 307

>>324

OpenRelay期待のボットが秒間1000接続来てるんですか?

そら困るなぁ

突破して欲しい海外サーバーの為の仕込みなので、botがMXを見る事は期待していません。

>>325

ごめんよー。

何故煽られているのか判らないので不安なのよ。

つーても、そろそろスパマーに手の内明かされそうなのでやめよかなと。

330 名無しさん@お腹いっぱい。

>>327

>>322

>hhttp://www.nic.ad.jp/ja/dns/ap-addr-block.html

>ここのIPアドレスとhotmailやgmail等の海外メジャーメールサービスをプライマリMXに。他をセカンダリ以下のMXで受けてます。

>>327

>突破して欲しい海外サーバーの為の仕込みなので、botがMXを見る事は期待していません。

意味が判らん。

341 307

spammerもメールを送れないと意味が無いから、件の現象はbotの暴走だと思うんだけどねぇ

結局一次情報元出て来ないし。。

>>335

おえらい 332や333が利点もしくは、意味の無い点を解説してくれるよ!くれるよ!ww

348 名無しさん@お腹いっぱい。

mynetworksをhashで指定したいと思うのですが

キーはIPアドレスとして

値は何でもいいのでしょうか?

意味がないなら値を書かなくてもいいんじゃないかと思うのですが

それだと問題あるのでしょうか?

437 名無しさん@お腹いっぱい。

>435

プリンタに放置された上司のメールを

見ちゃったってのと同じようなかんじかな…

453 名無しさん@お腹いっぱい。

TLS対応している(設定している)SMTPサーバーってどのくらいあるんだろ。

うちはやってないけど、貴兄らはやっておりますか?

454 名無しさん@お腹いっぱい。

>>453

証明書なんか携帯に対応しなければ格安で手に入るんだからやっとけ。

俺はやってるよ。個人だけど。

525 507

>>523

スレ違いですか?

>>524

まあそういわずに、気がむいたらアドバイスお願いします

548 名無しさん@お腹いっぱい。

DNSのMXで

example.co.jp. IN 10 MX mx.example.co.jp.

mx.example.co.jp. IN 10 MX mx.example.co.jp.

mx2.example.co.jp. IN 20 MX mx2.example.co.jp.

となってると、aaa@example.co.jp宛のメールは必ずmx.example.co.jpのpostfixの方に届きますか?

それともmydestinationの記述次第でどうとでもなりますか?

549 名無しさん@お腹いっぱい。

>>548

MX が複数あったらどれに届くかは相手次第。

550 名無しさん@お腹いっぱい。

>>549

どおりで納得しました。ありがとうございます。

578 名無しさん@お腹いっぱい。

自分の設定ミスでローカルに smtp 接続してるのか、

他人がおかしな MX を設定してるのか、

どっちか判断つかないようなアホがメルマガ配信なんてやるんじゃねぇよ。マジで。

579 名無しさん@お腹いっぱい。

>>578

自分の設定ミスでローカルに smtp 接続しておりません。

おかしなMXをどうやったらブロックできるのか、という方法を

教えていただけたらと思っております。

581 名無しさん@お腹いっぱい。

>>579

到達性のあるアドレスでおかしなMXなのかよ

DNS廻り疑えば?

592 名無しさん@お腹いっぱい。

smtpd_XXX は受信する側の設定。

おまえが言ってるのは送信する側の設定。

まったく関係ないのでどうにもなるもんじゃない。

593 名無しさん@お腹いっぱい。

>>592 ありゃ、そうですか?

hhttp://backslash.ddo.jp/wordpress/index.php/archives/481

を見たところ、送信の制限のように思いますが。

599 名無しさん@お腹いっぱい。

>>593のリンクの先にあるのはリレーを許可する相手毎の受付数であって、

>>592の言ってることはあってる。それすらも理解できないレベルだと

この先はどうせ難しいと思う

600 名無しさん@お腹いっぱい。

>>599

君には君の得意分野がある。俺には俺の得意分野がある。

君が俺の得意分野の領域に来て、俺のような質問をしても、俺は君のような対応はしない。

技術の幅は広いぞ?一人だけではとてもカバーしきれない。

それすらも理解できないレベルだと、この先はどうせ難しいと思う

625 名無しさん@お腹いっぱい。

メェルは〜 自分とこの設定すればいいってもんじゃ ないんやで〜♪

626 名無しさん@お腹いっぱい。

>>625

これって 591 へのアンサー?

741 名無しさん@お腹いっぱい。

reject_unknown_client で意図しないrejectが発生しない自信があるのであれば

好きにすればよろし。

運用してみれば判るけれどもS25R+αの方が良いけどね。

744 名無しさん@お腹いっぱい。

>>741

> reject_unknown_client で意図しないrejectが発生しない自信があるのであれば

> 好きにすればよろし。

自身はないのですが、

意図しないrejectとはどの様な事が予想されますか?

少なくとも今の日本のISPで逆引き設定してないのを最近は見かけていないのですが。

> 運用してみれば判るけれどもS25R+αの方が良いけどね。

これは確かに良さそうなのですが、これも逆引きしてますよね?

つまり S25R+α は reject_unknown_client よりさらにハードルが高い制限ですよね?

これがOKでreject_unknown_clientを否定は論理が矛盾してるような気がするのですが?

743 名無しさん@お腹いっぱい。

> 理由が必要か?

マナーとして逆引き設定すべきでは無いでしょうか?

以前とある回線を使用していたとき、逆引き設定されていなかったので接続の認証に待たされる事がありました、

正常な利用環境を提供しようと思うなら逆引きも正しく設定されるべきだと思います。

> ないってことはないでしょう。

具体的な経験は有りますか?

今のネットは5年10年前の性善説に基づいた運用は無理があるように思います、

鍵を持ってない人が居るから誰でも入りやすくするよ、ってのは昔や田舎ではあったと思いますが、

現在の高速で広帯域からガンガン飛び込んでくる得体の知れない物を排除するなら最低限の敷居は必要かなって思うのですが。

取り合えず、ここ数年のメールのヘッダをチェックしてunknownで送ってきたメールが無いか確認してみようと思います。

747 名無しさん@お腹いっぱい。

>>743

> マナーとして逆引き設定すべきでは無いでしょうか?

つまり設定すべきルールはないってことだよね。

マナーなんて守らない人がいて当然。

751 名無しさん@お腹いっぱい。

>>744

> 少なくとも今の日本のISPで逆引き設定してないのを最近は見かけていないのですが。

とのことですが、 739 で挙げているプロバイダは逆引き設定していないのではありませんか。

SPAMを発信しているのは、そのプロバイダの中の人ではなく、利用者の一人なのだろうと思います。

753 名無しさん@お腹いっぱい。

>>751

> とのことですが、 739 で挙げているプロバイダは逆引き設定していないのではありませんか。

whoisや割り当て情報などを見ればわかるのですが、レンタルサーバーだと思います。

同じブロックの近隣の複数のIPから同じような接続が来ていますのでいわゆるSPAM配信業者だと思われます。

まっとうなISPで逆引きを設定していない所がありましたら教えてください。

ある意味現在では、低レベルSPAMer=サーバー設定が出鱈目 で逆引きまで考えてない。

継続的にサービスしているサーバー=きちんとホスト設定されている、

と、考えて良いように思います。

ちなみに、

strict_rfc821_envelopes = yes

は、携帯ドメインなどで弾かれる可能性が有るとの記述を見かけたので取り合えずはずしました。

752 名無しさん@お腹いっぱい。

逆引きを設定させたい理由って何なんだろ。

「それがマナーだろ」とか「設定しないとメールはじくぞ」とか言っても

「知らんよそんなん」って言われて終わりじゃね。

756 名無しさん@お腹いっぱい。

>>752

> 逆引きを設定させたい理由って何なんだろ。

逆引きはネットワークの管理権限が必要で、IPブロックを自分で取得申請しなければ設定できません、

もしくは借りてるサービスにお願いするか。

つまり偽名で数日契約してSPAM送ってばっくれる、みたいな事は難しいのです。

住民票が無くても借りられるレンタルハウスときちんと契約した家に済んでる人と、信用度が違うのと同じでしょう。

762 751

>>753

レンタルサーバーなのだろうというのは、私も同意見です。

レンタルサーバーを借りているユーザーがSPAM業者なのでしょう?

それとも、プロバイダーがSPAM業者だという見解なのですか?

757 名無しさん@お腹いっぱい。

>>756

ちょっと何を言いたいのかわからない。

761 名無しさん@お腹いっぱい。

>>757

> ちょっと何を言いたいのかわからない。

JPNICか回線業者へのIP取得申請して逆引き設定した事があればわかると思いますが。

764 名無しさん@お腹いっぱい。

>>762

> それとも、プロバイダーがSPAM業者だという見解なのですか?

それはどちらでも良いことだと思います。

たとえ顧客であっても放置しているなら同罪です。

※経験的に大手ISP以外はSPAMer=良顧客的の様なので、クレーム言って改善されたためしはありません。

でもアクセス状況を見てると複数IP使っているし、単なる1顧客ではないと思います。

ほかにもメール配信サービスといいつつ、実質的には同意の無い無差別メールを送信しているサーバーサービスは結構あります。

元スレ

Postfix(8)
http://echo.2ch.net/test/read.cgi/unix/1227953898

削除依頼

削除などのご連絡事項については「メニュー」の「本サイトについて/お問い合わせ」よりご連絡をお願いします。