5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Postfix(6)

1 :名無しさん@お腹いっぱい。:2006/09/20(水) 02:04:10
Postfixスレッド その6です。

●リンク
 本家
 http://www.postfix.org/

 Postfix のぺーじ (ドキュメントの日本語訳、MLなど)
 http://www.kobitosan.net/postfix/

過去スレ、関連スレなどは>>2-4あたり

2 :名無しさん@お腹いっぱい。:2006/09/20(水) 02:05:00
●前スレ
 Postfix(5)
 http://pc8.2ch.net/test/read.cgi/unix/1133344907/

●関連スレ
 sendmail
 http://pc5.2ch.net/test/read.cgi/unix/1094702772/

 qmailいろいろ(7)
 http://pc8.2ch.net/test/read.cgi/unix/1114157851/

 Exim
 http://pc8.2ch.net/test/read.cgi/unix/986398141/

 Courier-MTA
 http://pc8.2ch.net/test/read.cgi/unix/1119770156/

 Internet Mail System 総合スレ 3
 http://pc8.2ch.net/test/read.cgi/unix/1128256415/


3 :名無しさん@お腹いっぱい。:2006/09/20(水) 03:06:43
1乙

4 :名無しさん@お腹いっぱい。:2006/09/20(水) 07:14:03
>1 乙

5 :名無しさん@お腹いっぱい。:2006/09/20(水) 16:09:54
フィーナ姫は俺の嫁だ

6 :名無しさん@お腹いっぱい。:2006/09/20(水) 16:31:28
カレンは俺の嫁

7 :名無しさん@お腹いっぱい。:2006/09/20(水) 16:51:01
dict_openで正規表現が正しいかチェックしようとしたんだがうごかね。これどうやんの?


8 :名無しさん@お腹いっぱい。:2006/09/20(水) 17:01:24
>>7
どうやったの?

9 :名無しさん@お腹いっぱい。:2006/09/20(水) 17:11:48
./dict_open regexp:check_client_access read
127.0.0.1
usage: del key|get key|put key=value|first|next



10 :名無しさん@お腹いっぱい。:2006/09/20(水) 17:59:12
postmap -q を使うべきではないかと。

それはともかく麻衣は俺の嫁な。

11 :名無しさん@お腹いっぱい。:2006/09/20(水) 20:26:33
じゃぁミアは貰いますね

12 :名無しさん@お腹いっぱい。:2006/09/21(木) 07:13:56
なにこのスレ















リースは養女にもらいます

13 :名無しさん@お腹いっぱい。:2006/09/21(木) 11:35:07
これか・・・・・
http://august-soft.com/yoake/character.htm

とりあえずお約束で「きもっ」


14 :名無しさん@お腹いっぱい。:2006/09/21(木) 14:26:45
目が異様に大きくてきめぇ

・・・眼球肥大症?

15 :名無しさん@お腹いっぱい。:2006/09/21(木) 14:33:02
その辺でやめとけ。

16 :名無しさん@お腹いっぱい。:2006/09/23(土) 22:03:37
変な流れになっていますが、質問してもよいでしょうか?

alias_mapsのテーブルにPostgreSQLを使っているのですが、2.2.9から2.3.3へ移行したところ上手く動かなくなりました。
smtpd内のエイリアス処理がPostgreSQLのテーブルを引くところで失敗してしまい、Temporary lookup failureを吐いてメールが一切流れない状態になります。
ログにはwarning: dict_pgsql: cannot set the encoding to LATIN1, skipping localhost"と出ています。
調べてみるとサーバー側のデータベースのエンコーディングがLATIN1へ変更できないもの(この場合EUC_JP)だと動かないようです。

ソースとかpostfix-users MLとかを見ると、どうも問題を起こしている場所のコードはPostgreSQL側のSQLインジェクション対策を勘違いして入れた感じがしています。
http://archives.neohapsis.com/archives/postfix/2006-07/1530.html 参照)
ソースの該当箇所を削るとか、PostgreSQLのデータベースのエンコーディングをSQL_ASCIIに変えるとかの対策は思いつくのですが、どれも面倒な感じで途方に暮れています。
何か良い対策はないでしょうか?

設定ファイル
main.cf:
...
alias_maps = hash:/etc/mail/aliases pgsql:/usr/local/etc/postfix/pgsql-aliases.cf
...

pgsql-aliases.cf:
hosts = localhost
user = dbuser
password = passwd
dbname = database
query = SELECT mailaddress FROM userdb WHERE username = '%s' AND username IS NOT NULL AND mailaddress <> ''

PostgreSQLのテーブル(エンコーディングはEUC_JPを指定)
CREATE TABLE userdb (
 username TEXT,
 mailaddress TEXT
);

17 :名無しさん@お腹いっぱい。:2006/09/24(日) 10:05:45
dict_pgsql.c(postfix-2.4-20060903)

638 /*
639 * XXX Postfix does not send multi-byte characters. The following
640 * piece of code is an explicit statement of this fact, and the
641 * database server should not accept multi-byte information after
642 * this point.
643 */
644 if (PQsetClientEncoding(host->db, "LATIN1") != 0) {
645 msg_warn("dict_pgsql: cannot set the encoding to LATIN1, skipping %s",
646 host->hostname);
647 plpgsql_down_host(host);
648 return;
649 }

現状ではソース変更ぐらいしかPostfix側でできることはないと思われ。

18 :名無しさん@お腹いっぱい。:2006/09/24(日) 13:07:14
LATIN1とEUC_JPって
文字数同じだからバイナリ書き換えたら?

19 :名無しさん@お腹いっぱい。:2006/09/24(日) 14:20:37
>>16 でもバックエンドがEUC-JPでフロントエンドがLATIN1という設定も
可能なんじゃなかったっけ? なんで PQsetClientEncoding()そのものが
失敗するんだろう。
ttp://osb.sra.co.jp/PostgreSQL/Manual/PostgreSQL-7.1-ja/multibyte.html#AEN13623


20 :名無しさん@お腹いっぱい。:2006/09/24(日) 15:53:22
> 2.2.9から2.3.3へ移行したところ上手く動かなくなりました。
そもそも、何が理由で移行しようとしたの?
これってRHEL4を使っていて、RHの勝手なversion upに巻き込まれたわけ?
もしそうなら、RHに修正依頼を出せばいいんじゃないの。
そうすれば、そのテスト機で動くようになるだろうし、それから本番機を
version upすれば何も問題ないわけで。

21 :名無しさん@お腹いっぱい。:2006/09/24(日) 17:48:22
書き忘れていましたが、動かしているOSはFreeBSD 5.4, PostgreSQLは7.4.13を使っていて、Postfix, PostgreSQLともにportsを用いてインストールしています。

>>17
やっぱりそのくらいしか手がなさそうですね。

>>19
7.4のマニュアルを見ると同じような文面があるのですが、EUC_JPの場合でAutomatic Character Set Conversionが効くのはEUC_JP, SJIS, UNICODE, MULE_INTERNALのみとなっているので、LATIN1にできないのも仕方がないのかもしれません。
http://www.postgresql.org/docs/7.4/interactive/multibyte.html#AEN18389
自力でCREATE CONVERSIONすればちゃんと動くような気もしますが、さすがにそれだけの気力がありません。

>>20
本番機上でportsをコンパイルするのはまずいと思い、新たにpackage作成用のマシンを用意してそちらでコンパイルしたものを持ち込むことにしました。
が、最新のportsでコンパイルしたためPostfixのバージョンが上がってしまいました。
テスト機でpgsqlまわりでテストをするのを忘れたままPostfixをバージョンアップしてしまったために、今頃になって苦労する羽目に陥っています。

皆さんの意見を参考にがんばって修正してみます。

22 :名無しさん@お腹いっぱい。:2006/09/24(日) 18:33:12
アカウント入れてるデータベースを alter database で latin1 と上位互換な
文字セットに変えれば?

23 :名無しさん@お腹いっぱい。:2006/09/24(日) 20:26:03
爺-Worksに害虫汁

24 :名無しさん@お腹いっぱい。:2006/09/26(火) 09:34:50
遅まきながらテンプレ

初代 Postfix スレ ttp://makimo.to/2ch/pc_unix/994/994289303.html
Postfix(2) ttp://makimo.to/2ch/pc3_unix/1053/1053097579.html
Postfix(3) ttp://makimo.to/2ch/pc5_unix/1086/1086462636.html
Postfix(4) ttp://makimo.to/2ch/pc8_unix/1110/1110850215.html
Postfix(5) ttp://makimo.to/2ch/pc8_unix/1133/1133344907.html

25 :名無しさん@お腹いっぱい。:2006/09/27(水) 18:34:07
vmailbox内に

foo@example.com    example.com/foo/
hoge@example.com   example.com/foo/

と書けばhoge@example.comという宛先のメールもfooのメールボックス内にはいるのでしょうか?

26 :名無しさん@お腹いっぱい。:2006/09/27(水) 22:36:40
何をやろうとしてるのか書かずに、いったい何のことなんだか。

% postconf | fgrep vmailbox
%

27 :名無しさん@お腹いっぱい。:2006/09/27(水) 22:46:42
やりたいことはhoge@example.comをfoo@example.comのエイリアスにしたいのですが


28 :名無しさん@お腹いっぱい。:2006/09/27(水) 23:50:41
/etc/aliases に
hoge: foo
と書くか、virtual_alias_mapsのテーブルに
hoge@example.com foo@example.com
と書く。

29 :名無しさん@お腹いっぱい。:2006/09/29(金) 14:16:21
/etc/sasldb2って暗号化されないのですか?

30 :名無しさん@お腹いっぱい。:2006/09/29(金) 17:37:54
dbに依存するのかもしれないけど、
おいらの環境(BerkeleyDB4)ではされないお
だからパーミッションだけが、パスワードを守る術


そんなことより、久々に爺がmlで吠えてるね
まあ、あれは質問者に問題ありありだけど

31 :名無しさん@お腹いっぱい。:2006/09/29(金) 20:26:35
>>30
アーカイブ追ってるけどここんとこQA共に見苦しいのが続いてるね。
しかし爺氏はどうしてあんなに偉そうなんだろう、
ML参加しようかなと思う気持ちがああいうのを読む度に萎える

32 :名無しさん@お腹いっぱい。:2006/09/29(金) 20:41:11
ふだんの爺はうっとうしいだけだが、
今回に関していえばもっと叩いてもいいと思った。

33 :名無しさん@お腹いっぱい。:2006/09/29(金) 21:19:40
>>29
されません。
暗号化してもいいけど、そうすると復号するための鍵はどうするの?


34 :名無しさん@お腹いっぱい。:2006/09/30(土) 01:10:06
さらに弱いものを叩く〜

35 :名無しさん@お腹いっぱい。:2006/09/30(土) 10:27:15
そして誰もいなくなった…

36 :名無しさん@お腹いっぱい。:2006/10/02(月) 19:13:42
質問よろしいでしょうか。

コンテンツフィルタを使ってSpamAssassinでスパム判定を行い、
その後Postfixに差し戻して、Subjectに[SPAM]と付いたメールをスパム収集用のアドレスに
転送したいのですが、master.cfの該当箇所に

-o header_checks = regexp:/usr/local/etc/postfix/header_checks

のように付けるだけじゃだめなんでしょうか。
main.cfでheader_checksを有効にして、同じファイルを指定した場合には、
ちゃんと期待した動作になります。

37 :名無しさん@お腹いっぱい。:2006/10/02(月) 19:53:37
>>36
設定内容はおいといて、 master.cfでは '=' 両側の空白は不可

38 :名無しさん@お腹いっぱい。:2006/10/02(月) 20:11:03
>>37
あ、すみません。
書き込むときについクセで空白を入れてしまいましたが、
master.cfには空白は入れてないです。

39 :名無しさん@お腹いっぱい。:2006/10/02(月) 20:16:36
>master.cfの該当箇所に

該当箇所というのがどこなのかわからんが、たぶんそこが間違ってる。
smtpd は header_checks を見ないので、smtpd -o header_checks=... とやっても無意味。


40 :名無しさん@お腹いっぱい。:2006/10/02(月) 20:19:44
master.cfの該当箇所がどこかわからんが、
-o header_checksはcleanupのオプションだから、
コンテンツフィルタ通したあとのsmtpd(だよな?)には効かない。

って書こうと思ったらすでに回答が…

41 :36:2006/10/02(月) 21:09:21
>>39-40
該当箇所などというあいまいな書き方ですみません。
まさにその、コンテンツフィルタ通した後のsmtpdです。
smtpdにheader_checksは無意味なんですね。

特にheader_checksにこだわってるわけではないので別の方法でもいいんですが、
コンテンツフィルタを通した後だけ、Subjectを見てそのまま配送するか、
収集アドレスにリダイレクトするかを振り分ける良い方法はありませんでしょうか。

42 :名無しさん@お腹いっぱい。:2006/10/02(月) 23:01:51
該当箇所 inet n - n - 10 smtpd
-o content_filter=
-o receive_override_options=no_unknown_recipient_checks
-o cleanup_service_name=cleanup2←これがミソ
-o smtpd_helo_restrictions=
-o smtpd_client_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8
-o smtpd_authorized_xforward_hosts=127.0.0.0/8
cleanup2 unix n - n - 0 cleanup
-o header_checks=regexp:/usr/local/etc/postfix/header_checks
-o body_checks=

ちなみに、postfix 2.0 の時代の FILTER_README に似たような例が載ってたはず。
2.0 には receive_override_options がなかったから、フィルタの前後で
header/body_checks の値を変えるにはこうするしか方法がなかった。


43 :36:2006/10/02(月) 23:18:00
>>42
ありがとうございます!
それでいってみようと思います。
Postfixってつくづく柔軟に出来てるんですね。

44 :36:2006/10/03(火) 02:41:17
蛇足ながら、事後報告です。
>>42の方法で、目下期待通りに動作中です。
重ね重ねありがとうございました。

45 :名無しさん@お腹いっぱい。:2006/10/08(日) 05:30:25
バウンスメールの From が MAILER-DAEMON@localhost.localdomain
なのですがこれの設定はどこですればよいのでしょうか?

また Return-Path が空になっているのでこれも設定したいです。
わかる方おりましたら、よろしくお願いします。

46 :名無しさん@お腹いっぱい。:2006/10/08(日) 10:22:00
Return-Pathが空白なのには理由があると考えないのかねえ

47 :名無しさん@お腹いっぱい。:2006/10/08(日) 11:53:46
>>45
残念だが設定する方法はない

48 :名無しさん@お腹いっぱい。:2006/10/08(日) 12:09:04
ヘッダ from の localhost.localdomain については
まず自分のホスト名を正しく設定しろ。
Postfix 以前の基本中の基本。
MAILER-DAEMON をいじるなら bounce.cf を書く。

Return-Path はすでに出ているが、設定することはできないし、
現状が正しいので設定する必要もない。

49 :名無しさん@お腹いっぱい。:2006/10/08(日) 13:18:48
>>48
ホスト名の設定とはどこを指しますか?

hostnameコマンドで返されるホスト名と
$myhostname は設定してあります。


50 :名無しさん@お腹いっぱい。:2006/10/08(日) 13:51:49
>>49
postfix以前の問題だから

51 :名無しさん@お腹いっぱい。:2006/10/08(日) 13:57:21
>>50
そういうことですか。
困らないので気にしないことにしました。

52 :名無しさん@お腹いっぱい。:2006/10/08(日) 14:07:33
>47
いや... 残念か?

53 :名無しさん@お腹いっぱい。:2006/10/08(日) 15:08:47
postfixの仕様が微妙なのでしかたない

54 :名無しさん@お腹いっぱい。:2006/10/08(日) 15:30:57
>51
正解!

55 :名無しさん@お腹いっぱい。:2006/10/10(火) 09:23:27
>>53
微妙……? どのへんが?

56 :名無しさん@お腹いっぱい。:2006/10/10(火) 21:36:46
おかしなこと言ってる >>48 とか >>49 がいるけど、
設定は $myorigin だよ。

57 :名無しさん@お腹いっぱい。:2006/10/10(火) 21:37:38
>>56
間違えた
× >>49
>>50

58 :名無しさん@お腹いっぱい。:2006/10/10(火) 21:48:14
とくに設定しなければ myorigin = $myhostname で、
とくに設定しなければ myhostname は自分のホスト名ですから。
postfix 以前の問題ですから。

もちろん、わざわざ postconf -e myorigin=localhost.localdomain をやるような
奇特な人もいるかもしれないけどさ。

59 :名無しさん@お腹いっぱい。:2006/10/10(火) 22:19:11
どこがpostfix以前の話なんだか

60 :名無しさん@お腹いっぱい。:2006/10/10(火) 22:44:37
>>59
ケチつける暇があったらとっととホスト名の設定変更の方法でも調べなさいね.

61 :名無しさん@お腹いっぱい。:2006/10/10(火) 23:48:43
部屋のマシンで、NTT-Wの光につないでるから、FQDNありませ〜ん。

嘘のアドレス騙るのもなあと、取り敢えずホスト名.localdomainのまま放置中。

62 :名無しさん@お腹いっぱい。:2006/10/11(水) 00:23:06
キモいスレだな・・・

63 :名無しさん@お腹いっぱい。:2006/10/11(水) 00:27:06
まえからこんなもんだよん。

64 :名無しさん@お腹いっぱい。:2006/10/11(水) 13:21:18
.localdomain が許されるのは小学生までだよねー
キャハハハハハハハ
キモーイ


65 :名無しさん@お腹いっぱい。:2006/10/12(木) 17:54:52
CentOS4.4でpostfixのSASL対応rpmを作ってるんですがどうもドキュメント等と挙動が一致しません。
よいヒントがあれば教えて下さい。

UNIXパスワードを用いてPLAIN/LOGIN/CRAM-MD5を受け付けたい。

// postfixソース取得
up2date --get-source postfix
// cyrus関連インスコして
up2date -i cyrus-sasl cyrus-sasl-plain cyrus-sasl-md5 cyrus-sasl-devel
// postfixパッケージリビルド&インスコ
postfix.specを
%define SASL 1
に書き換えてrpmbuild -bb

// テスト
telnet localhost 25
EHLO localhost

>250-AUTH CRAM-MD5 LOGIN PLAIN DIGEST-MD5
>250-AUTH=CRAM-MD5 LOGIN PLAIN DIGEST-MD5
まず、この順番が違う。(疑問1)

気を取り直してここでAUTH PLAIN xxxxxxxxxx(BASE64化されたパラメータ)xxxx
しても
>535 Error: authentication failed
とエラーになる。(疑問2)

ググル先生曰く「cyrus-saslのsmtpd.confを書き換える」とか「デフォルトでおk」とか
色々あって混乱中です。このファイルは関係あるのでしょうか。ちなみに現在は
「pwcheck_method: saslauthd」とだけ書かれています。(saslauthdも起動しています)

66 :名無しさん@お腹いっぱい。:2006/10/12(木) 18:07:20
で、肝心のsasldbは?

67 :65:2006/10/12(木) 18:11:23
>>66
UNIXパスワード認証でもsasldb要るんですか?(((;゚Д゚)))ガクガクブルブル

68 :名無しさん@お腹いっぱい。:2006/10/12(木) 18:34:26
つーか、CentOS 4.4のRPMでもSASL有効じゃんか。

69 :名無しさん@お腹いっぱい。:2006/10/12(木) 21:29:39
疑問1については、順番が何と違うのか、どうなってるべきだと思ってるのかが
分からないので回等不能。

疑問2は、BASE64化したパスがあってるのかどうか分からないので、
これまた回等不能。


saslを使う時は、postfixならsmtpd.confでどの認証メカニズムを使うかを
指定するとマニュアルにも書いてあるのに、何故、「関係あるのでしょうか?」
という質問になるのかが、分からない。マニュアルを読まずにトライ&エラー
してる?

後、saslauthd。オイラが遊んでた時は、sasldbがないと駄目だった覚えがある。
saslauthdがrootで動くので、sasldbのpermission設定が必要なかっただけのような。
ただ、うろ覚えなので、勘違いがあるかもしれない。

70 :名無しさん@お腹いっぱい。:2006/10/12(木) 22:49:52
postfix->sasl->sasldb
ならdb作ってあげないといけないけど、
postfix->sasl->pam->なにか
ならpasswdとかshadowとかでいけるんじゃ。
/usr/lib/sasl2/smtp.confで設定だったかな。

71 :名無しさん@お腹いっぱい。:2006/10/12(木) 23:41:58
UNIXパスワードを使って、CRAM-MD5を受け付けることはできませんから。


72 :名無しさん@お腹いっぱい。:2006/10/12(木) 23:44:45
質問するほうも答えるほうもLinux板のくだ質にも劣るクオリティだな。

73 :名無しさん@お腹いっぱい。:2006/10/12(木) 23:46:46
MLも悲惨だ

74 :名無しさん@お腹いっぱい。:2006/10/13(金) 01:03:56
大量にメール送信を行うと、"server dropped connection without sending the initial SMTP greeting)"
等と出て送信に失敗することがあります。
時間帯によっては飛ぶんですが、これって相手側のMTAに拒否られてるのでしょうか。

75 :名無しさん@お腹いっぱい。:2006/10/13(金) 02:13:09
PIPELINING?

76 :名無しさん@お腹いっぱい。:2006/10/13(金) 09:45:30
>>74
えーと、あなたはスパマーさんではないのですよね?
それはPostfix使って送信しようとして、そういうエラーが出てきてるのでしょうか?


77 :名無しさん@お腹いっぱい。:2006/10/13(金) 11:56:53
スパム業者に決まってるだろ

78 :名無しさん@お腹いっぱい。:2006/10/13(金) 12:40:19
減塩と普通とどっちですか?

79 :74:2006/10/13(金) 14:08:26
スパムというか、会員宛のダイレクトメールなんですが、
postfixのログにそうでますね。

80 :名無しさん@お腹いっぱい。:2006/10/13(金) 14:31:46
入り口の自動ドアが間に合わないほど、凄い勢いで入店しようとしてる訳ですね。
営業妨害では?w

ドアにぶつかる方もイヤでしょう。もっと間隔を開けて入ったらどうですか?

81 :名無しさん@お腹いっぱい。:2006/10/13(金) 16:40:43
同一IPからの同時接続数で拒否されてるのか、ポリシーサーバとかで同一IPからの
一定時間内の接続数制限とかではねられてるのではないかと。
なんにしても、相手の都合を考えずに一気に大量のメールを送ろうとするところからは
受け取る方もなんらかの防御手段をとりたくなるもんです。


82 :74:2006/10/13(金) 23:36:52
postfixの送信間隔が問題の可能性はありますね。
ありがとうございました。

83 :名無しさん@お腹いっぱい。:2006/10/14(土) 03:40:36
docomoのSMTPサーバーは、たくさん繋げると30分ぐらいはじかれるよ
ttp://www.kobitosan.net/postfix/trans-2.3/jhtml/TUNING_README.html#rope

84 :名無しさん@お腹いっぱい。:2006/10/14(土) 21:24:26
>>83

特定接続契約結べば大丈夫


85 :名無しさん@お腹いっぱい。:2006/10/14(土) 22:06:57
SPAM対策の関連で疑問があります。ご存じの方がいらっしゃれば教えてください。

外部からのメールを以下のような経路で配送しています。

MX.hogehoge.com => RELAY.hogehoge.com => POP.hogehoge.om

MXサーバで外部からのメールを受けて、RELAYサーバへ転送
RELAYサーバではウィルスチェックを行い、POPサーバへ転送
ユーザーのmailboxはPOPにあります。

宛先が不正なメールの場合、RELAY => POPのセッションで 550
Recipient address rejected: User unknown
となり、RELAYサーバに差し戻されますが、元々のFROMのアドレスも
不正なため、不要なqueueがたまってしまいます。

RELAY => POP とメールを配送する際、相手(POP)から550を返されたら
そのメールを破棄する、ということはRELAYでは可能でしょうか?

もしくは、POP側でメールを破棄すべきでしょうか?

ちなみに、POPサーバ側ではvirtual_mailbox_domainを作成しています。

86 :名無しさん@お腹いっぱい。:2006/10/14(土) 23:55:58
存在するユーザのリストを書いて入口サーバの relay_recipient_maps に指定しておく。
または reject_unverified_recipient を使う。ADDRESS_VERIFICATION_README を熟読せよ。

87 :名無しさん@お腹いっぱい。:2006/10/15(日) 00:37:56
またhogehoge.comのヒトが来ましたよw

88 :名無しさん@お腹いっぱい。:2006/10/15(日) 00:48:20
hogehoge.comの人は2chに頼りすぎ。

89 :名無しさん@お腹いっぱい。:2006/10/15(日) 02:04:06
hogehoge.comの人は早くちゃんとサイト管理できるようになって欲しいです

90 :名無しさん@お腹いっぱい。:2006/10/21(土) 12:47:28
くだ質から.forwardされますた(´・ω・`)。マルチになってすんません

お願いします。
FC3でpostfix + procmail +spamassassinでメール鯖を建てているのですが
内部・外部からroot宛てのメールが全てnobodyへ飛ばされてしまいます。
またその時postfixからprocmailへは遅延が発生してます。
ローカル配信でmailbox_commandをコメントすれば問題なくrootへ届きます。

procmail経由でrootへ正しく配信される方法はないのでしょうか?
二週間ほど格闘しましたが解決できませんでした。
ヒントでも構いませんのでご教示願います。

91 :名無しさん@お腹いっぱい。:2006/10/21(土) 14:10:55
>>90
板違い。消えろ。

92 :90:2006/10/21(土) 18:33:54
お願いします^^

93 :名無しさん@お腹いっぱい。:2006/10/21(土) 19:34:58
mailbox_command指定のプログラム(procmail)が悪いんじゃ?
簡単なレシピしか使ってないの?

94 :90:2006/10/21(土) 20:48:40
>>91
すみませんです。linux板のくだ質で誘導されたら
誤誘導みたいでした(´・ω・`)

>>93
spamassassinを使いたいが為にprocmailに処理させています。
procmailを通さないと/root/Maildir/newへ届きprocmailを通すと
//Mairdir/newへ届いてしまい、nobody扱いになっています。
default_privsがnobodyなのでpostfixからprocmailへ受け渡しを
した時スーパーユーザの場合nobodyの所有で実行されてしまう
からなのでしょうか?

スレ違いというか完全な板違いで失礼しました。

95 :名無しさん@お腹いっぱい。:2006/10/22(日) 01:29:20
>>92
なぜそこで笑うのか理解できない。

96 :名無しさん@お腹いっぱい。:2006/10/22(日) 04:20:17
procmailなんて窓から投げ捨てろ



MLにも例のネカマが来てるし、最近はひどい質問ばかりだな

97 :名無しさん@お腹いっぱい。:2006/10/22(日) 11:53:23
昔からだろ

98 :名無しさん@お腹いっぱい。:2006/10/22(日) 23:54:17
アドレス書き換えで、データベースと正規表現の両方を使う方法ってありますか?

99 :名無しさん@お腹いっぱい。:2006/10/23(月) 00:45:23
なぜパラメータの名前が hoge_maps と複数形になってるのか考えてみよう。

100 :名無しさん@お腹いっぱい。:2006/10/23(月) 03:32:16
具体的には?

101 :名無しさん@お腹いっぱい。:2006/10/23(月) 08:41:18
ヒントは与えられたんだからドキュメントくらい読んでから来い

102 :名無しさん@お腹いっぱい。:2006/10/23(月) 11:45:45
能力不足のため、ドキュメントからみつけることはできないが、とりあえず動いたよ。

複数ドメインで運用しているのだが、指定したドメインのみ適用ってできるのかな?

103 :名無しさん@お腹いっぱい。:2006/10/24(火) 15:58:08
ハゲアタマ

104 :名無しさん@お腹いっぱい。:2006/10/25(水) 17:43:49
local配送をtransport経由でvpopmailに渡している場合って
Delivered-To:やX-Original-To:は付かないの?
付かないとして、付ける方法ってないだろうか。
環境はFreeBSD 5-stable, postfix 2.3.1, vpopmail 5.4.13。


105 :名無しさん@お腹いっぱい。:2006/10/27(金) 12:18:50
すげえな、この記事はw よくも恥ずかしくなく・・・
ttp://mylab.ike.tottori-u.ac.jp/~mijosxi/2005/04_postfix.html


106 :名無しさん@お腹いっぱい。:2006/10/30(月) 17:41:07
どなたかご教示願います。
ISP(DTI)がop25bを適用するとのことで、これを期に全ての送信メールを
ISPのメールサーバをリレーさせたいと思ってます。

で、main.cfにrelayの設定をしてリレーされる事を確認したのですが、どうも
DTIはPOP before SMTP認証のようで、事前にPOP3受信してないとリレーに失敗
する(認証エラーと言われる)ようなのです。

これはどうやって回避すればよいでしょうか?
postfixとは無関係に、裏でfetchmailを動かすとか?

107 :名無しさん@お腹いっぱい。:2006/10/30(月) 17:57:46
ttp://www.dti.ne.jp/support/manual/mail/msp/

108 :名無しさん@お腹いっぱい。:2006/10/30(月) 18:23:32
>>107
port587を使ってリレーすればSMTP AUTHで認証されると言う事のようで
後ほど確認したいと思います。ありがとうございます。

後学のためにお尋ねしたいのですが、リレー先のサーバがPOP before SMTPに
しか対応していない場合、postfix単体では(現状では)対応出来ないのでし
ょうか?


109 :名無しさん@お腹いっぱい。:2006/10/30(月) 19:04:20
>>108 postfix は smtp の実装であって、pop は関係ないしね。出来ません。


110 :名無しさん@お腹いっぱい。:2006/10/30(月) 19:31:25
>>108
#! /bin/sh
fetchmail pop.example.ne.jp
exec nc smtp.example.ne.jp 25

のようなスクリプトを port 2525 あたりで待ち受けさせておいて
relayhost を [localhost]:2525 にする。

111 :104:2006/10/31(火) 12:51:38
誰かわかりませんか…。
エロイ人おせーてorz

112 :名無しさん@お腹いっぱい。:2006/10/31(火) 21:58:06
Delivered-To: や X-Original-To: は最終配送エージェントが付加するヘッダ。
要するに vpopmail に渡しているのならば、
vpopmail の方でよしなにするべきであって、
postfix でやろうと考えるのは間違い。

postfix の場合は local(8) か virtual(8) を使わないとそのヘッダはつかない。

113 :名無しさん@お腹いっぱい。:2006/10/31(火) 23:14:43
>>112
ありがとう。vpopmailでなんとかならないかやってみる。

114 :名無しさん@お腹いっぱい。:2006/11/03(金) 11:35:47
vpopmail (っていうか MDA)にパイプ渡しした時点で envelope 情報は失われて
いると考える方が普通だし、X-Original-To: に関してはまぁ無理だ罠。
パイプじゃなくって SMTP で渡せば可能かもしれないけど、それは vpopmail で
出来るのかどうかによる。

Delivered-To: の方は最終的な配送先だから、vpopmail でも出来るんじゃない?
# 少なくとも、自前でパッチを書けば実装は出来る部分かと。


115 :名無しさん@お腹いっぱい。:2006/11/07(火) 03:12:08
mailqで表示されるメールを再送するのは、
postfix flush
だと思うのですが、
再送するのではなく、消去するコマンドってあるのでしょうか?
あれば教えてください。



116 :名無しさん@お腹いっぱい。:2006/11/07(火) 03:18:13
man postsuper

117 :名無しさん@お腹いっぱい。:2006/11/12(日) 03:51:48
Postfix 2.3.4

118 :名無しさん@お腹いっぱい。:2006/11/13(月) 19:46:12
日本yahooって確か25番が開いてないIPからのメールは
全部SPAM扱いするんだよなーとMLを見ていて思った秋の夕暮れ。

119 :名無しさん@お腹いっぱい。:2006/11/13(月) 20:24:31
まじすか。
出口専用とかで外から25番を叩けないサーバなんてこの世には腐るほどあるんだけど。

120 :名無しさん@お腹いっぱい。:2006/11/13(月) 20:27:10
腐るほどあるけど、そいつらは全部腐ってるんだからいいんでねーの?

121 :名無しさん@お腹いっぱい。:2006/11/13(月) 22:56:53
>>120
たとえばgmailが外部に配送する出口のホストの25番を叩くと応答がない。
118のいうことを信じるとgmailからyahooにメールを送れないことになる。


122 :名無しさん@お腹いっぱい。:2006/11/13(月) 23:48:50
>>121
もちろんちゃんと話通せば別扱いしてもらえますし
プロバイダ間なら許可してるでしょう
(RBL信じて某ISP発を全部遮断する某ISPの例も有るけど)


123 :名無しさん@お腹いっぱい。:2006/11/14(火) 10:07:40
>>122
どこそれ?
usen?

124 :名無しさん@お腹いっぱい。:2006/11/14(火) 23:58:50
メル鯖を、debian + postfix + mysql + postfixadmin で構築しました。 

が、最近になって特定のプロバイダに送信出来ない為、 
Submission ポートを使おうと考えてます。 

port 25 から port 587 に変更するには、 
master.cf の submission を有効にすればおkですか? 

テスト送信したら smtp-auth のエラーが出て送信できません。 
あとどこ触ればいいのでしょうか? 

125 :名無しさん@お腹いっぱい。:2006/11/15(水) 01:15:42
SubmissionポートはSMTP-AUTHの併用を前提としてた気がするから、
SMTP-AUTHを有効にするためにCyrus SASLをインストールして、
main.cfを適切に設定するといいよ

あとは「Postfix SMTP-AUTH」とかでググれ

126 :名無しさん@お腹いっぱい。:2006/11/15(水) 01:22:29
>が、最近になって特定のプロバイダに送信出来ない為、

つまり、外に送りたいんだな。

>master.cf の submission を有効にすればおkですか?

これは受け取るときの話なのでまったく無関係。


127 :124:2006/11/15(水) 08:30:55
レスありがとうございます。

>>125
SMTP-AUTH は入れてます。

PostfixのSubmission ポートを有効にして、
メーラーの送信ポートを 587に変更。
そしたらsmtp-authのエラーで送信出来なかったとです。

>>126
そうです。急に外に送れなくなりました。
ブラックリストにも載っていないし、
例の規制かと思い、ポートを変えてみたのですが・・・。

なんか勘違いしていたようですね。
もすこし、勉強してきます。





128 :名無しさん@お腹いっぱい。:2006/11/15(水) 10:18:13
>>127
全部に送信できないんじゃなくって、特定のところにだけ送れないんだよね?
自分のサーバの25番に繋げないんじゃなくって、特定のところにだけ送れないんだったら、
OP25Bは無関係だと思われ。
OP25Bより、どっちかというとIP25Bっていう、受信側のネットワークで掛けてる制限のせいかもよ。
送れなかった送信先へのログやエラーメールにはなんて出てるの?


129 :名無しさん@お腹いっぱい。:2006/11/15(水) 12:06:38
>>127

SMTP-AUTHは、自分が認証する側になるときと、認証を受ける側になるときでは
設定がまったく違うよ。

それと、ダイナミックDNSを使っていて特定の相手に送信できないのなら、自分の
プロバイダのメールサーバに中継してもらうのが良いと思う。


130 :名無しさん@お腹いっぱい。:2006/11/15(水) 12:09:45
>>128
うっ、IP25Bってのもあるのですね。
そこのプロバイダを見たらばっちり実施している模様です。

対策方法
1.独自運用の送信メールサーバから、そこのプロバイダーの
メールサーバを中継するよう設定をする。
2.独自運用メールサーバに固定IPアドレスを設定する

とありましたが、うちは固定IPなんですけどね・・・。
違う部分が原因ですかね。もうちと調べてみます。

131 :名無しさん@お腹いっぱい。:2006/11/15(水) 12:15:46
>>129
固定IPなんです。
固定IPでもIP25Bで弾かれる可能性ってあるのでしょうか?





132 :名無しさん@お腹いっぱい。:2006/11/15(水) 12:59:26
>>131
IPアドレス固定割り当てといってもアドレス1個ではプロバイダ名義なので
見掛け上動的割り当てとたいしてかわらんよ



133 :名無しさん@お腹いっぱい。:2006/11/15(水) 14:31:54
>>130
固定だったら、その旨をIP25B掛けてるISPに申請して、通してもらえばいいと思うよ。
それで開けてくれないISPなら、ここで晒せばいい。


134 :名無しさん@お腹いっぱい。:2006/11/15(水) 14:42:32
>>133
開けるとかじゃなくて、ISPのメールサーバ(587/tcp)にスマートリレーするのがスジなんじゃ?

135 :名無しさん@お腹いっぱい。:2006/11/15(水) 15:02:03
自分で外部向けDNS持ってないなら、
ISPに中継してもらうほうがいいね。
おいらはそうしてる。

136 :名無しさん@お腹いっぱい。:2006/11/15(水) 15:18:42
そうかな?
固定IPは固定である理由があって固定のサービスを利用してる訳なんだから、
固定IPアドレスに割り振ってるところは、動的IPじゃないよ、と認識してもらうべきだと思う。

IP25Bって、掛ける側のISPが、掛ける対象のISPに動的IPアドレス帯を教えてもらって掛けてるはず。
つまり、自分の使ってるISPが、ここは動的IPだから、IP25Bしちゃっていいよん、と言ってる。
となると、そう答えてる自分とこのISPに問い合わせて事情を聞くのが筋だと思う。


137 :名無しさん@お腹いっぱい。:2006/11/15(水) 15:43:41
>>135
「外部向けDNS」って
ゾーン情報を持ってる DNS サーバってこと?
なんか関係あるの?

138 :名無しさん@お腹いっぱい。:2006/11/15(水) 16:22:35
IP25Bについて分かってない輩が約一名・・・

139 :名無しさん@お腹いっぱい。:2006/11/15(水) 16:42:22
↑じゃあわかってる人教えてくださ〜い

140 :138:2006/11/15(水) 17:01:22
>>136
>IP25Bって、掛ける側のISPが、掛ける対象のISPに動的IPアドレス帯を教えてもらって掛けてるはず。
ここの意味が分からない

141 :名無しさん@お腹いっぱい。:2006/11/15(水) 17:33:17
>133
そんなこと一々やる筋合いじゃないでそ

そんな(I25Bなんてやってる) DQN プロバイダなんかシラネ
と強がるしかないと...


142 :136:2006/11/15(水) 17:35:02
>>140
例えば、IP25Bを掛ける側をOCNとし、掛けられる側がexample.ne.jpだとする。
OCNがexample.ne.jpの持つIPアドレス帯のうち、どこが動的IPアドレス帯としてフィルタするのかは
OCNが勝手に決めてる訳じゃないだろう。
OCNがexample.ne.jpに、お宅ではどこが動的IPアドレス帯?と聞いて、そこを動的IPとしてるはず。

だから、OCNのIP25BでフィルタされるIPアドレス帯に、固定IPのアドレス帯も含まれてるのなら
それはOCNがダメなんじゃなくって、example.ne.jpがOCNに伝えた情報が間違ってるということ。


143 :名無しさん@お腹いっぱい。:2006/11/15(水) 18:29:42
IP25B は ISP のメールサーバを介さずにエンドユーザの足回り回線から
直接送られるメールをブロックするもの。
IP25B を実施している ISP が、固定アドレスであっても ISP のサーバから送りやがれ、
というポリシーならば、送信側ではどうすることもできない。

144 :名無しさん@お腹いっぱい。:2006/11/15(水) 18:40:12
IP25Bなんて何の解決にもならんだろ。
中国韓国のIPを総蹴りしてくれればそれだけで解決なのに。

145 :140:2006/11/15(水) 19:17:21
>>142
よく分かった。d

146 :名無しさん@お腹いっぱい。:2006/11/15(水) 19:25:21
>>142
そういう問い合わせを世界中のISPに自分でやっていたら日が暮れるので
この手のサービスを利用するが普通。
ttp://www.trendmicro.com/jp/products/nrs/overview.htm

147 :136:2006/11/15(水) 22:26:49
>>146
普通のスパム対策ならそういうの使うのが当たり前。
だが、IP25BはISPがユーザの同意無くしかも任意に解除も出来ないという、相当きついフィルタ。
だから総務省の見解的に、そういうレピュテーションのような根拠が一定でない判断基準は
使えないんじゃないかと思う。
実際、一番最初にIP25Bを始めたOCNは、他事業者と交渉の上、IP25Bの対象を拡大すると言ってる。
http://www.ntt.com/release/2006NEWS/0004/0405.html
(2)「Inbound Port 25 Blocking」について、を参照のこと。

あとレピュテーション使ってるなら、144も言ってるように中韓からのスパムがもっと蹴られてるはず。


148 :名無しさん@お腹いっぱい。:2006/11/18(土) 13:07:13
ふとした疑問なんですけど、Debian(sarge, kernel2.6) postfix-2.1.5で
ps ax | grep smtpd
などとしてプロセスを見ると以下のように表示されるわけですが、

smtpd -n smtp -t inet -u -c -s 2

引数の意味や master.cf との関連が書いてあるドキュメントはありますか?
-n smtp が master.cf のservice name、
-t inet は type だろうくらいは想像つくのですが、他のパラメータがわかりません。

man 5 master, man 8 master, man 8 smtpd してもわかりませんでした。
わかる方がいたらポインタでも良いので教えてください。よろしくです。

149 :名無しさん@お腹いっぱい。:2006/11/18(土) 13:27:46
smtpd.c

150 :名無しさん@お腹いっぱい。:2006/11/18(土) 23:10:38
>>148
Postfix辞典に載ってる

151 :名無しさん@お腹いっぱい。:2006/11/18(土) 23:56:42
>>149
smtpd.c とか master.c とか見たけど難しかったです

>>150
ありがとう。Postfix辞典買ってきます

152 :名無しさん@お腹いっぱい。:2006/11/27(月) 22:26:42
自サーバからの送信用にOP25B対応しました。
てことで、relayhostを指定するようになりました。

こんなこと出来ないでしょうか?
メールによってrelayhostを変更できないでしょうか?
出来ればprocmailでメール転送する際に転送先毎にrelayhostを切り替えたいのです。


153 :名無しさん@お腹いっぱい。:2006/11/28(火) 18:10:23
質問です。
postfix2.3.3を使うために設定をしたんですが、
メール内外から受信、内部への送信はできても外部への送信ができません。
エラーは
Nov 28 17:36:58 hostname postfix/smtp[6987]: 664011EE4AE:
to=<eee@cc.dd.jp>, relay=none, delay=67174, delays=67144/0.03/30/0,
dsn=4.4.1, status=deferred (connect to mx.aaa.bbb.jp[xxx.xxx.xxx.xxx]: Connection timed out)
です。
pingでは正常に返ってきますが、telnetでは相手のメールサーバに接続できません。
ファイアーウォールを一度すべてoffにしてみてもだめでした。
また、ポートチェックでは25番ポートにアクセスできています。
なにが原因か考えられることはありますか?
プロバイダはBIGLOBEで、フレッツ光プレミアムの動的IPで運用しています。

154 :名無しさん@お腹いっぱい。:2006/11/28(火) 18:33:13
>>153
どうせ、OP25BやIP25Bまわりでそ

155 :名無しさん@お腹いっぱい。:2006/11/28(火) 19:43:04
ここで聞くアホ
もっと勉強してくれ

156 :153:2006/11/28(火) 19:47:34
そうっぽいです。
ありがとうございました。

157 :名無しさん@お腹いっぱい。:2006/11/28(火) 20:53:41
>>152
transport


158 :名無しさん@お腹いっぱい。:2006/11/28(火) 22:52:46
>>157
smtp認証がなければ、それで一件落着なんだけど.....
転送先サーバ毎にsmtp認証のユーザID、パスワードを切り替えないといけないんですよ

159 :名無しさん@お腹いっぱい。:2006/11/28(火) 23:02:58
>>158
man smtp

160 :158:2006/11/28(火) 23:29:35
僕のやり方がまずいかもしれないので出来ればチェックして頂けますか?
現状、relayhostにてsmtp認証する為に、
smtp_sasl_auth_enable, smtp_sasl_password_mapsの指定以外に、
myhostnameでrelayhostが要求するドメインを指定しています。
それとreturn-path指定の為にsender_canonical_mapsを指定しています。
このmyhostnameとsender_canonical_mapsが動的に変更できないので
難しいなーと思っているところです。これらをオーバーライドできるmap指定があれば
いいってことなんですけど

161 :名無しさん@お腹いっぱい。:2006/11/29(水) 00:24:48
>>158
> 転送先サーバ毎にsmtp認証のユーザID、パスワードを切り替えないといけないんですよ
これは可能と思うが...。

>>160
> ....relayhost が要求するドメインを指定..
これは必須なのか。名前が違うと蹴られるのかな。

162 :158:2006/11/29(水) 07:32:15
>161
ちょっと間違ってました。
myhostnameは認証に必要ではなくて、Receivedヘッダに実在のドメインを記述
させることが主目的です。smtp認証していますのでこれは必須ではないです。
sender_canonical_mapsは、デフォルトのFrom, Return-Path指定の為に使用していますが、
現状でも明示的に指定すれば必須ではない筈です。またReturn-Pathに関しては固定でも一応許される問題です。

163 :名無しさん@お腹いっぱい。:2006/11/29(水) 08:35:54
>>162
要約すると、
Received ヘッダに記録されるのは、EHLO(HELO) で名乗った名前と、IP アドレスを
逆引きした名前、だと思うが、それを動的に変えたいということか。

164 :158:2006/11/30(木) 00:12:05
sender_canonical_mapsのユーザ名,sender_canonical_mapsのドメイン名,myhostname,smtp_sasl_password_mapsのドメイン名,認証の結果,DomainKeysの結果,FromとReturn-Path
○,指定する,○,指定する,○,○,○
○,指定する,○,指定しない,○,×,○
○,指定する,×,指定する,○,×,○
○,指定する,×,指定しない,○,×,○
○,指定しない,○,指定する,○,×,○
○,指定しない,○,指定しない,○,○,○
○,指定しない,×,指定する,×,-,-
○,指定しない,×,指定しない,×,-,-
×,指定する,○,指定する,○,○,×
×,指定する,○,指定しない,○,○,×
×,指定する,×,指定する,○,×,×
×,指定する,×,指定しない,○,○,×
×,指定しない,○,指定する,○,×,×
×,指定しない,○,指定しない,○,×,×
×,指定しない,×,指定する,×,-,-
×,指定しない,×,指定しない,×,-,-

165 :158:2006/11/30(木) 00:25:56
>>163
>>164のcsvの説明です。
すみません。ちょっと話が戻るかもしれませんが、
1. sender_canonical_mapsのユーザ名
2. sender_canonical_mapsのドメイン名
3. myhostname
4. smtp_sasl_password_mapsのドメイン名
4条件を使った全ての組み合わせ16通りで検証してみました。


接続先プロバイダとrelayhostのあるプロバイダ(=nifty)とは異なります。
テストメールの送信先は全てyahooです。
条件の○はrelayhostにとって正当な値、×はデタラメな値を指定したことを意味します。

結果の項目は
1. 認証の結果
2. DomainKeysの結果
3. FromとReturn-Path(正しくデフォルト値が設定されるか)
です。
3項目全てOKとなったのは2行目と7行目だけです。

166 :158:2006/11/30(木) 00:30:41
>>165の結果3項目を全て満たしたまま、relayhostを動的に切り替えることが
出来るかというのが命題です。
DomainKeysがOKとなる条件がよくわかりません。

167 :名無しさん@お腹いっぱい。:2006/11/30(木) 00:45:56
長いのでぜんぜん読んでないし読む気もないけど、
smtp_sender_dependent_authentication とか
sender_dependent_relayhost_maps で済む話か?


168 :158:2006/11/30(木) 02:44:50
>>167
thanksです。
どうやら最新のpostfixだと対応できる可能性がありそうですね。
こっちはまだ2.2.10です。

DomainKeysについて誰か教えて頂けませんか?

169 :名無しさん@お腹いっぱい。:2006/11/30(木) 08:45:03
はじめてpostfixをSSLにしようと思うんだけど、サーバ側ってオレオレ証明書でもおk?
主要MUAでエラー/警告なしに使えればいーんだけど

170 :名無しさん@お腹いっぱい。:2006/11/30(木) 09:24:51
>>169
オレオレ証明書で「警告なし」だとしたら、それはそれで問題だとは思わないのかね?

脊髄反射で答えてみるテスト。

171 :名無しさん@お腹いっぱい。:2006/11/30(木) 09:40:24
>>170
PKIとしては「問題アリ」と思います
でもみんな一々証明書買ってるのかなぁ・・・

172 :名無しさん@お腹いっぱい。:2006/11/30(木) 09:51:03
信頼できる方法で finger print 渡せるんならいいんじゃないの?
Web と違って SMTP で SSL を使うのって管理下のユーザーだからハードルは
それほと高くないだろうし。

173 :名無しさん@お腹いっぱい。:2006/11/30(木) 09:52:24
finger print じゃなくてオレオレ認証局の証明書の方を渡してやってくれ。

174 :名無しさん@お腹いっぱい。:2006/11/30(木) 18:18:31
秘匿と信用の問題なのだから
個人認証までさせれば、オレオレでもそれなりの用途になるんじゃない?


175 :名無しさん@お腹いっぱい。:2006/12/01(金) 01:30:02
おまえら(173を除く)、ぜんぜんわかってないんじゃね?
なんでレスすんの

176 :名無しさん@お腹いっぱい。:2006/12/01(金) 01:32:48
そりゃいやがらせだろ

177 :名無しさん@お腹いっぱい。:2006/12/01(金) 09:00:21
>>175
そういう使い方してるサーバが多い、って事だろ
インストールすると自己署名の証明書作るサーバもあるし。

178 :名無しさん@お腹いっぱい。:2006/12/01(金) 21:32:31
正直、175の発言が169-177の発言のうちで一番訳が分からなかった。
全然分かってないのは175だと思うんだけど俺の勘違い?

179 :名無しさん@お腹いっぱい。:2006/12/01(金) 22:08:56
>178
173 が理解できなかったんなら自分で調べればいいのに

180 :名無しさん@お腹いっぱい。:2006/12/02(土) 03:24:33
普通は173するでしょ
pk12 でクライアント証明もつけたげれば、さらにぐー
漏れたらやばいけどなー

181 :165,168:2006/12/02(土) 16:52:12
誰もDomainKeysについてレスくれないね。
Yahooが推している規格らしいんだけど、
http://help.yahoo.co.jp/help/jp/mail/whatisymail/whatisymail-56.html
を読んでもスペックはわからない。とにかくsmtpサーバ側の対応が必要らしい。
ここの人達は「どうせ孫の会社が推してる規格なんか無視,無視」ってとこなのかな

182 :名無しさん@お腹いっぱい。:2006/12/02(土) 17:34:08
DK の何について知りたいのかわからんのに何を答えろと。
つーか今さら DK なんか使うな。DKIM にしろ。

183 :名無しさん@お腹いっぱい。:2006/12/02(土) 17:54:19
むしろDPRKにしろ。

184 :名無しさん@お腹いっぱい。:2006/12/02(土) 18:46:30
メールを受信する度に暗号デコードなんぞやってられっか!
スパム来た時も通す必要あるんだよね?

185 :名無しさん@お腹いっぱい。:2006/12/02(土) 20:36:42
既存のspamフィルタに比べれば無視出来るくらい軽い処理

186 :名無しさん@お腹いっぱい。:2006/12/03(日) 09:01:43
>>181
ググレカス

187 :名無しさん@お腹いっぱい。:2006/12/03(日) 12:51:44
>>186
単なる燃料にマジレスする奴

188 :名無しさん@お腹いっぱい。:2006/12/05(火) 20:17:20
前スレで暴れてた基地外管理者がMLにまた変なの投稿してる

189 :名無しさん@お腹いっぱい。:2006/12/06(水) 19:17:47
>>188
見たけど、これなんかまずいの?

190 :名無しさん@お腹いっぱい。:2006/12/07(木) 12:04:42
質問です

最近になってOB25のせいで自宅鯖からメールが送れなくなってしまいました。
ログにはConnectionRefusedと出ています

ISPはiijmioでISPのメール鯖を経由すれば送れるようでリレー先をそっちに指定しているんですが、何やら認証がいるようでうまくいきません。

メールサービスは入っているのでアカウントとパスワードはあるのですが、リレーさせるときどのようにすればいいかググっても解りません

postfix2.3 FreeBSD6.1でsaslやtlsなどは入れてあります

191 :名無しさん@お腹いっぱい。:2006/12/07(木) 15:54:49
>>190
http://www.kobitosan.net/postfix/trans-2.2/jhtml/smtp.8.html
の「SASL 認証の制御」辺りを読むべし。

192 :名無しさん@お腹いっぱい。:2006/12/08(金) 23:42:10
Maildir/ 形式でローカル配送する場合、
maildrop、procmail
以外にも何かありますか。フィルタ機能等は必要なく、
ただ配送だけしてくれればいいのですが。

193 :名無しさん@お腹いっぱい。:2006/12/09(土) 00:09:07
>>192
なにもローカル配送エージェント指定しなけりゃそのまま配送してくれるぞ

194 :名無しさん@お腹いっぱい。:2006/12/09(土) 10:47:44
>192
目がすげー節穴

195 :名無しさん@お腹いっぱい。:2006/12/09(土) 11:09:08
postfix-2.2で迷惑メール対策としてreject_unknown_clientでPARANOIDチェックを
してるんですが、とある中堅企業のMTAを介したスパムに悩まされています。

そのMTA自体は適正ですが、そいつがオープンリレーなのかmynetworks的な設定
がいい加減なのか分かりませんけどスパムメール率90%という状況で閉口してます。
そのMTAにリレーしたMTAをみるとDNS逆引きに失敗する中国の野良サーバの
ようなんですが、「2コ前のMTAについて(ブラックリストやPARANOID検査による)拒否」
ってできないでしょうか。

ちなみにそのMTAのpostmasterとも直接交渉中ですが「なんで俺のメールアドレス
知ってるんだゴルァ」「当社に不正アクセスしたのか?」と逆に脅されてる次第で、
その説明を始めたんですがラチがあきそうにありません。(ノД`)

196 :名無しさん@お腹いっぱい。:2006/12/09(土) 11:51:04
そんなアホな会社は名前と IP アドレス晒してよし。

>「2コ前のMTAについて(ブラックリストやPARANOID検査による)拒否」

ふつーにそのアホ会社の IP アドレスを蹴ったら。業務上難しいのならば
from のアドレスやらメッセージ本文やらでチェックすればいい。
どーしても postfix でやりたいなら header_checks で Received: の行をひっかける。

ついでに、spamhaus とか spamcop とかの RBL に通報しておくと、
いろんなところにメール届かなくなるので事態の深刻さを認識してもらえると思う。


197 :195:2006/12/09(土) 13:47:02
>>196
必要なメールもあるので完全拒否はできないんです。
# でも必要なメール1に対しスパム15とか・・・名の通った国内企業とは思えない管理(涙)
# postmaster@ に送っただけで「なぜ私のアドレス知り得た?!」とか怒るくらいだからなぁ
# その程度ってことなのかorz

header_checksってReceived:の順番までは把握できないですよね。全着信メールについて
^Received: from sono-mta.example.co.jp (.+ [ブラックリストIP])/
これのマッチテストだけでREJECTさせるしかないのか・・・


198 :名無しさん@お腹いっぱい。:2006/12/09(土) 14:07:01
その中堅企業の名前を晒せば
おおむね解決すると思う
困っているのは君だけじゃないのだから
キミがローカルに解決してもあまり意味は無い

199 :名無しさん@お腹いっぱい。:2006/12/09(土) 14:29:11
>>193
> >>192
> なにもローカル配送エージェント指定しなけりゃそのまま配送してくれるぞ
んなことは百も承知しとります。
aliases の中でパイプで外部に渡して、ごにょごにょしてから、ローカル配送したいのです。

200 :名無しさん@お腹いっぱい。:2006/12/09(土) 14:30:31
>>197
http://www.kobitosan.net/postfix/trans-2.2/jhtml/SMTPD_PROXY_README.html
は役に立たんか。

201 :名無しさん@お腹いっぱい。:2006/12/09(土) 15:34:03
>>199
milterって知ってる?

202 :195:2006/12/09(土) 16:03:52
焼け石に水かも知れませんが、ひとまずheader_checksを使ってみようと思います。
postfix(というかMTA)で、Received:を解析してREJECTさせるのはチェックコストの問題もあるし厳しそう。
やはりベイジアンフィルタとかがベストなのかな。。。

>>198
そうしたい(そうすべき)ですけど、ちょっと影響が大きくて判断しかねます。(取引先だし)
すいません。
某外車メーカー、とだけ書いておきます。

>>200
情報ありがとう。じっくり読んでみます。

203 :名無しさん@お腹いっぱい。:2006/12/09(土) 22:25:31
>>202
そんなアホなところってあるんだなあ。
fromでのチェックはだめなの?そのIPからの時だけ、fromが特定のドメインでなかったら
蹴るようにすれば、スパムがそこの会社のドメイン騙ってない限りは防げるから。
smtpd_restriction_classesを使うと、そういう複合的な条件を書けるよ。


204 :名無しさん@お腹いっぱい。:2006/12/11(月) 13:49:43
/etc/postfix/virtualに書く転送先は外部のメールアドレスでも良いのでしょうか?

205 :名無しさん@お腹いっぱい。:2006/12/11(月) 16:39:43
>>204
そのファイルの定義によるw
virtual_alias_maps だとしたら、外のアドレスを書いても問題ない。


206 :名無しさん@お腹いっぱい。:2006/12/13(水) 02:49:49
Postfix adminの為にPHPやMySQL入れるの嫌じゃー

つー事で、あまり環境依存のないwebベースの管理ツール教えてください

207 :名無しさん@お腹いっぱい。:2006/12/14(木) 03:26:58
Postfix 2.3.5

208 :名無しさん@お腹いっぱい。:2006/12/15(金) 01:39:46
>>206 わけわからん。。。
管理者やめちまえ

209 :名無しさん@お腹いっぱい。:2006/12/15(金) 01:42:31
>>202 つうかさ、ベイジアンなんか元から何の役にも立ってねぇよ?
登場してから今に至るまでこのロジックで満足できたという奴を俺は知らんw
とりあえず上手く行きそうな未来を感じるのはSURBL系だろ?

210 :名無しさん@お腹いっぱい。:2006/12/15(金) 03:13:16
スーペリアボーイズラブ系?

211 :名無しさん@お腹いっぱい。:2006/12/15(金) 03:24:17
>>210 楽しいのかスパマ〜?

212 :名無しさん@お腹いっぱい。:2006/12/15(金) 14:12:20
いま208がイイこと言った!!

213 :名無しさん@お腹いっぱい。:2006/12/15(金) 18:43:49
bayesian を否定したがってる >209 は spammer

214 :名無しさん@お腹いっぱい。:2006/12/16(土) 08:56:07
ISPや携帯キャリアの「迷惑メール拒否サービス」ってベイジアンフィルタじゃないの?
NGワードで拒否ってるだけ?

215 :名無しさん@お腹いっぱい。:2006/12/16(土) 09:36:35
フィルタのせいで大事なメールをspam扱いされた経験がある身としては
迂闊に判定して捨てないで欲しいけどな。

MLとか通販伝票とかがヤバい


216 :名無しさん@お腹いっぱい。:2006/12/16(土) 09:45:15
>215
んじゃもっといい方法を作って実装して提供してくれ

217 :名無しさん@お腹いっぱい。:2006/12/16(土) 10:09:01
>>216
>>215はメールフォルダにSPAMすら10通も来ない寂しい人なんだよ。

218 :名無しさん@お腹いっぱい。:2006/12/16(土) 11:03:52
postfixの話じゃねえじゃねえか。

過疎ってるこのあたりでも使ってやれよ。
http://pc8.2ch.net/test/read.cgi/unix/1128256415/

219 :名無しさん@お腹いっぱい。:2006/12/18(月) 09:54:04
>>213
だがベイジアン盲信するのも馬鹿だがな

220 :名無しさん@お腹いっぱい。:2006/12/18(月) 21:02:59
何でも盲信するのは馬鹿。

だか使って考察しようとせずに高みの見物を決め込むのはアホ。

221 :名無しさん@お腹いっぱい。:2006/12/18(月) 23:52:08
そもそも、解決できるなら、spamがこんなに騒ぎになってスレが荒れる事はありえない。

「解決できず、人によって許容できる・できないが分かれる物」を話題にしてしまうから荒れるんだろ。


222 :名無しさん@お腹いっぱい。:2006/12/19(火) 00:33:17
つーか spam 対策には銀の弾丸は存在しなくて、いくつもの技術を組み
合わせてバランスを取ってくひたすら不毛な作業でしかないわけだよね。
ある技術 (たとえばベイジアンフィルタリングとか) が万能ではないから
といって役立たず扱いするってのは、極端杉だろう。

223 :名無しさん@お腹いっぱい。:2006/12/19(火) 02:03:23
ベイジアンでもxBLでも「誤認識」が一番怖くて白・黒追加判定は結局必要
有料でも当然完全ではないので妄信はどのみち不可

結局MUA/MTAで診断結果をヘッダ付加しユーザーが目視チェックする
しかなく、上流で拒絶するタイプは弊害が大きく毒になるってこと

んで、ベイジアンが前者の目視チェックタイプの導入例が多くxBLは後者
の拒絶する導入例が多いという事
(xBLチェックはMTAで行う歴史があり、ベイジアンはSpamAssassinって事)

そう考えるとInternet社会の中では xBL 系の方が実害が多く毒になってる
とは思う

結局、管理者はどちらを使うにしろ最低限の検出率UP対策はするべきであり
RBLならどこを使うかの選定、SpamAssassinなら日本語化対応、白黒学習
の方法の指導など「仕組みが悪い」と居直る前に先手先手に立ち回らなければ
いけない(ログのチェックは当然だしね)

ウイルス対策がいたちごっこな用にSPAM対策も同じように対処しなければ
いけない

だから、このスレでは何でも何回でも同じ議論がされてOK
常に”敵”は進化するんだからこちらも進化しなければいけない

例:reject_ns (今はもう必要ない)

結局、俺たち管理者の仕事は今後も永久に無くならないw
俺は少なくてもISPの有料フィルターやF-Sxxxxxなんかの糞製品には負けない
サービスを会社で構築している自負と自信があるよ
たとへ会社がそれを評価するかどうかは知らんけどさ・・・ _| ̄|○ アウアウ

224 :名無しさん@お腹いっぱい。:2006/12/19(火) 03:43:20
>>223
spamassassinでDNSBLだのURIBLだのをやっていることを知らない人?

225 :名無しさん@お腹いっぱい。:2006/12/19(火) 03:54:57
>>224 論点が違うと思うんだが?

226 :名無しさん@お腹いっぱい。:2006/12/19(火) 09:35:49
論点とかどうでもいい。spammer をぶっ殺せ。殺して焼き尽くせ。話はそれだけだ。

それと、スレ違いです。続けるのなら別のところでどうぞ。

227 :名無しさん@お腹いっぱい。:2006/12/19(火) 09:38:10
>>223
> reject_ns (今はもう必要ない)
qsv系って今もうこれ効かないの?

228 :名無しさん@お腹いっぱい。:2006/12/19(火) 12:02:10
postfixに乗り換えようかと思ってるんですが、今からという事だと
2.3.xでおっ毛(無難)ですかね?

調べてみてもバージョンごとの違いが明確に出てこないもんで

229 :名無しさん@お腹いっぱい。:2006/12/19(火) 12:13:51
これから新規にインストールする時は
開発元が最新の安定版だとしているものを迷わずインストールしろ。
オープンソースソフトの場合
商用ソフトのような「新製品を買わせるための新製品」は無いのだから。

230 :名無しさん@お腹いっぱい。:2006/12/19(火) 13:10:22
ごもっともですね。
どうも失礼しました。

231 :名無しさん@お腹すいた。:2006/12/19(火) 17:20:38
質問させてください。

master.cf にて設定を行い
外部から25番で受けたメールを他サーバに飛ばして、検疫後10025番で受ける
というシステムを動かしています。

ポート毎にログを分ける
もしくはpostfix/smtpdが受けたポート番号をmaillogに出力する
ことは可能でしょうか?

232 :名無しさん@お腹いっぱい。:2006/12/19(火) 18:21:30
>>231
submission ポートで受け付けたことをログに記録したくても、
一筋縄では出来ないってことと同じ問題かな?

たしか smtpd からハードリンクした submitd 等のファイルを
作成して、master.cf で submission ポートの smtpd の代わり
に指定すれば、ログで判別できるようになるのだったっけ。

233 :名無しさん@お腹いっぱい。:2006/12/19(火) 19:26:38
symlinkでもエエけどね。漏れの環境は

cd /usr/libexec/postfix; ln -s smtpd smtpA
master.cfに
587 inet n - n - - smtpA

でオケ。logは

Dec 19 19:22:09 svr postfix/smtpA[24798]: connect from localhost.localdomain[127.0.0.1]
Dec 19 19:22:25 svr postfix/smtpA[24798]: 3245233360: client=localhost.localdomain[127.0.0.1]


234 :名無しさん@お腹いっぱい。:2006/12/19(火) 20:47:08
>>227 どうだろう、効かないとは言わないけど
最近QSV系は皆無だね
DDNS側で対策したんじゃないの?

235 :232:2006/12/19(火) 21:05:46
>>233
symlink でもイケるのですね。テキトーなこと書いちゃってすみません……

236 :名無しさん@お腹いっぱい。:2006/12/19(火) 21:45:35
念のため。
それで実現できるけど、推奨はされない。本家 ML でもときどき話題に出るけど、
かならず「もうひとつ postfix を起動しろ」という回答に落ち着く。

2.3 では smtp と lmtp が統合されてひとつのバイナリになって、
どの名前で起動されたかによって動作を変えるようになった。
今のところ smtpd はそういうことはしないけど、
将来もずっとそうだとは保証はされない。


237 :231:2006/12/20(水) 11:35:33
>>232
>>233
>>236

ありがとうございます。
もうひとつPostfixを起動させるとなると、ちょっと気軽に構成変更はできないですね・・・
maillogの client= とかでgrepして集計するようにしたいと思います。

本家MLでも出る話題なのですね。そちらもチェックしたいと思います。
ありがとうございました!

238 :名無しさん@お腹いっぱい。:2006/12/20(水) 11:39:14
>>234
ほんとだ。
dmfactorysとかbusiassistとか、mel@なやつにしか効いてねえや。

239 :名無しさん@お腹いっぱい。:2006/12/21(木) 03:51:16
postfixadminって2年近くアップデートされていないけど、
他にいいwebフロントエンドないかな?
まあ、ユーザ管理をするだけならpostfix専用のwebフロントエンドは
必要ないのは確かなんだけど。

240 :名無しさん@お腹いっぱい。:2006/12/21(木) 16:40:56
>>239
postfixadminの不満点は?

241 :名無しさん@お腹いっぱい。:2006/12/21(木) 17:30:33
>>240
2年近くアップデートされていないこと自体が不満になる罠。
ttp://forums.high5.net/viewforum.php?f=1を見る限りフォーラムは盛況なので、
開発が停止して死んだプロダクトと化しているわけではないだろうけど。

242 :名無しさん@お腹いっぱい。:2006/12/21(木) 18:38:11
じゃ自分でバージョン表記書き換えりゃいーじゃん
内容に不満は無いんでしょ?

243 :名無しさん@お腹いっぱい。:2006/12/21(木) 18:55:48
242はたぶん包茎

244 :名無しさん@お腹いっぱい。:2006/12/21(木) 19:09:22
>>242
でダメな理由はちょっとしりたい

245 :名無しさん@お腹いっぱい。:2006/12/21(木) 19:14:11
240=242=ただの荒らし

246 :名無しさん@お腹いっぱい。:2006/12/21(木) 19:16:13
239がpostfixadmin以外にどんなwebフロントがあるのか聞いているのに、
大したキチガイ発言だ。

247 :名無しさん@お腹いっぱい。:2006/12/21(木) 20:05:27
良いフロントエンドというからには
良し悪しの基準が239にはあるのだろうし、
それに照らし合わせてpostfixadminのよしあしを
語ってもらえれば良いんじゃないかな?
とりあえず最近アップデートされているやつが欲しいというのは読み取れた。

248 :名無しさん@お腹いっぱい。:2006/12/21(木) 20:21:50
いい加減240うざすぎ。消えろ。

249 :名無しさん@お腹いっぱい。:2006/12/21(木) 20:40:34
めでたしめでたし

250 :名無しさん@お腹いっぱい。:2006/12/21(木) 20:41:11
239さん
postfixadminの不満点を書いてよワンワン

251 :名無しさん@お腹いっぱい。:2006/12/21(木) 20:50:25
>>250
質問をすると240に噛みつかれる点

252 :名無しさん@お腹いっぱい。:2006/12/21(木) 20:52:02
240の発狂っぷりが凄まじいな

253 :名無しさん@お腹いっぱい。:2006/12/21(木) 20:53:55
postfix-jp-listに送ろうとするんだけど、Greylistingに阻まれて
遅れない。にょろーん。なんか独自パッチが当たっているっぽい。
そして独自パッチがバグっていると思う…。

しゃあないので、2chに転載しますが、
------------
少々お知恵を拝借したいのですが、LDAPサーバ障害時の対策について
なにか良い手がないでしょうか?

現在

LDAPサーバ CentOS4.2 /OpenLDAP : 1台
メールサーバ CentOS4.4 /Postfix : 1台

構成で運用しています。

先日、LDAPサーバのldap daemon(プロセス)が落ちてました。

メールサーバでUnknown Userエラーで大量のメールが落ちてしまいました。
とほほ。そこで対策を考えていたのですが、

色々調べた所

(続く)

254 :253:2006/12/21(木) 20:55:27
(1)LDAPサーバのldap daemon(プロセス)が落ちた場合:
即時にUser Unknown エラーになる。つまり、再送は期待できない。
---
% telnet mail.example.ac.jp 25
Trying 192.168.0.1...
Connected to mail.example.ac.jp.
Escape character is '^]'.
220 mail.example.ac.jp ESMTP Postfix
HELO hoge.example.ac.jp
250 mail.example.ac.jp
RCPT TO: hogehoge@mail.example.ac.jp
550 <hogehoge@mail.example.ac.jp>: Recipient address rejected: User unknown in local recipient table
---

(2)LDAPサーバのLANケーブルを抜いた場合:
LDAPサーバに接続しようとして反応しなくなる。
---
% telnet mail.example.ac.jp 25
Trying 192.168.0.1...
Connected to mail.example.ac.jp.
Escape character is '^]'.
(この状態で黙る)
---
しかし 即時にUser Unknown エラーにはならないので、後日、再送が期待できる

送信側の/var/log/maillogより:
-----
Dec 21 19:13:22 hoge postfix/smtp[25039]: [ID 197553 mail.info] 107541DB41: conversation with mail.example.ac.jp[192.168.0.1] timed out while sending MAIL FROM
-----
(続く)

255 :253:2006/12/21(木) 20:56:17
という調査結果になりました。(2)の状態になるなら良いのですが、(1)の状態
が問題です。

何か手はないでしょうか?

例えば、

1. LDAPサーバのヘルスチェックをして、反応が無くなったら

/etc/postfix/main.cf
---
unknown_local_recipient_reject_code = 550
---
から
---
unknown_local_recipient_reject_code = 450
---
に書き換えてくれるようなスクリプトとか、

2. LDAPサーバのldap daemonが落ちた場合でも即時にエラーにならないような
/etc/ldap.confの設定方法とか。

なにかありましたらよろしくお願いします。


256 :名無しさん@お腹いっぱい。:2006/12/22(金) 00:08:38
>>253
独自パッチの当たったGreylistingで送れない気がする、というほうが気になるんだが。
どういうエラーログが出てるのか、どういう環境から送ってるのか知りたいところ。

257 :253:2006/12/22(金) 01:14:55
普通のgreylisyingじゃないんだ。

telnetで叩いてみると、sourceforgeだと

% telnet lists.sourceforge.jp 25
Trying 202.221.179.24...
Connected to lists.sourceforge.jp.
Escape character is '^]'.
220 lists.sourceforge.jp ESMTP Postfix (Debian/GNU)
HELO 私のドメイン
250 lists.sourceforge.jp
MAIL FROM: 私のメアド
250 Ok
RCPT TO: Postfix-jp-list@lists.sourceforge.jp
450 <私のメアド>: Sender address rejected: unverified address: host 私のホスト名[私のIP] said: 451 <私のメアド>: (長いので折り曲げ)
Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/私のドメイン.html (in reply to RCPT TO command)
quit
221 Bye

となるのだが、これは普通のgreylisting(postgrey-1.27)と応答が違う。

(続く)

258 :253:2006/12/22(金) 01:16:04
普通のgreylisting(postgrey-1.27)だと、

$ telnet mail.example.ac.jp 25
Trying 192.168.0.1...
Connect to mail.example.ac.jp (192.168.0.1).
Escape character is '^]'.
220 mail.example.ac.jp ESMTP Postfix
HELO 私のドメイン
250 送り先のドメイン
MAIL FROM: 私のメアド
250 2.1.0 Ok
RCPT TO: 送り先のメアド
451 4.7.1 <送り先のメアド>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/送り先のドメイン.html
quit
221 2.0.0 Bye

になる。応答が違うんだよ。たぶんパッチが当たっている。

一時間過ぎてpostfix flushしても遅れないのでqueueを消した。

259 :名無しさん@お腹いっぱい。:2006/12/22(金) 01:33:19
postgrey以外にもたくさんPostfix用のgreylistingプログラムがあるってこと知らんのか、こいつ

260 :256:2006/12/22(金) 01:37:45
>>257
たぶんパッチとかそういう話じゃないと思います。
Sender address rejected: unverified adress:
って出てるのでreject_unverified_senderでの制限のほうが先に掛かって、それで抜けれないのでは?
Postfix-MLでそんな目に会ったことないんですが、参考まで逆引き設定とかどうなってますか?

261 :256:2006/12/22(金) 01:39:41
>>259
257に書いてあるエラーで、postgrey特有のメッセージが出てるから、postgrey利用してるのは
間違いないと思います。

262 :名無しさん@お腹いっぱい。:2006/12/22(金) 10:15:03
sourceforge.jp は greylisting なんかやっていない。
そのかわり、送信者のアドレスが実在するか確認するために、
from アドレスの MX に逆接続して RCPT TO: の応答を見る。

そこで、「おまえのサーバ」が greylisting をやって sourceforge.jp からの
接続を蹴ってるから、sourceforge の方も from アドレス詐称だな、と判断して
おまえからのメールを拒否する。自分が参加してる ML ぐらいホワイトリストに
入れておけ。ホワイトリストなしで greylisting 使うなボケ。


263 :253:2006/12/22(金) 10:50:27
>>262
あ、なるほど。よくわかりました。

しかし、この仕様は大人数のサーバだと厳しいですね。MLに参加するには
管理者に事前申請して登録してもらわないといけないわけだ。

264 :名無しさん@お腹いっぱい。:2006/12/22(金) 11:08:26
受信側が sender address verification、送信側が greylisting という環境でも
再送してりゃそのうち届くだろ。

265 :253:2006/12/22(金) 12:18:55
whitelist無しでも送れるようになりました(^^;;

今回は他のバグにも当たってたようです。greylistingの
待ち時間が1時間以上になっていました。そのためsender address
の検査にも1時間以上かかるようになっていたようです。

これも原因がよくわからないのですが、設定では300秒になっている
のですが、なぜか1時間以上になっていました。再起動したら300秒
に戻りました。何らかの原因でパラメータが壊れたようです。半年
以上動かしているサーバですので、宇宙線が壊したかもしれませんが(^^;;
そういう時でもECCメモリならコレクトしてくれるのかもしれませんね。

266 :名無しさん@お腹いっぱい。:2006/12/22(金) 12:24:22
ここはよいgdgdスレですね

267 :名無しさん@お腹いっぱい。:2006/12/22(金) 14:06:49
デフォルトの設定だと
recipient_canonical_mapsでアドレスいじってtransport_mapsでリレー先に送る
って動いてるみたいですけど
transport_mapsでリレー先を決定してアドレス変えてから送信するってどうやればいいんでしょうか?

268 :名無しさん@お腹いっぱい。:2006/12/22(金) 15:03:09
smtp_generic_maps、generic(5) でできそうな気がするけど、
実際にできるかどうかは未確認。


269 :名無しさん@お腹いっぱい。:2006/12/22(金) 21:35:14
greylistingが解決したところで本題w

さて>>253氏は>>254でtelnetした際の応答を出しただけで
LDAPなマップをmain.cfでどのように指定しているのか、とか
エラーが発生したときにどのようなログが吐かれたのか、などの
肝心な情報をさっぱり示さないのはどうしてだろう?


270 :253:2006/12/22(金) 22:15:12
>>269
LDAPはpam経由、つまり普通のUNIXユーザ認証で使っています。 main.cfには何も書いていません。

エラーログは大学に行かないと取れないので、明日出します。

271 :名無しさん@お腹いっぱい。:2006/12/22(金) 22:48:24
>>270
それなら正直postfixと無関係だろ。
alias_maps=ldap:/foo/bar ならpostfixの話題になるだろうけど。

272 :名無しさん@お腹いっぱい。:2006/12/22(金) 23:20:51
エエエエー驚愕の事実判明>>270

273 :253:2006/12/22(金) 23:47:53
>>271-272
もしかして、postfixのスレで尋ねるにはナンセンスな質問でしたかね?

pamの設定かなぁ〜?

authconfigが自動的に作ったpamの設定を見ると、こんな設定がありますね。
これを変更してみようか。

/etc/pam.d/system-auth
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.so

とりあえず明日試してみます。

274 :名無しさん@お腹いっぱい。:2006/12/23(土) 00:17:53
なんだか面白い展開になってきたな。

俺的にはそれなりに参考になると思うので差し支えなければ
成功/鯖落/LAN断線それぞれの場合のログを見せてほしいな。

LDAPのヘルスチェックはLDAP鯖の方でやって
自動でプロセス再起動した方がいいんじゃないか?
落ちていたらメール以外でも支障が出そうだ。


275 :名無しさん@お腹いっぱい。:2006/12/23(土) 00:46:54
シェルから id hoge とか実行してどういう応答が返ってくるか見てみると
いいんじゃないかと。あと、postmap -q hoge unix:passwd.byname とか。

276 :名無しさん@お腹いっぱい。:2006/12/23(土) 10:40:00
id hoge || service LDAP restart
ってな感じか?異常終了してるならlockファイルの掃除など必要そうだが

277 :253:2006/12/23(土) 21:34:46
>>273
>authconfigが自動的に作ったpamの設定を見ると、こんな設定がありますね。
>これを変更してみようか。

どうもLDAPの場合はpamは実質参照してないようです。/etc/pam.d/system-auth
からLDAPの行を消してもLDAPのユーザが見えます(?_?)

こちらにそのような記載があります。
http://www.linux.or.jp/JF/JFdocs/LDAP-Implementation-HOWTO/pamnss.html#AEN239

278 :253:2006/12/23(土) 21:36:26
>>269
>>274
※正常に動作しているときのlog

postfix/smtpd[25126]: connect from 送信元ホスト名[送信元IP]
postfix/smtpd[25126]: D03EA558062: client=送信元ホスト名[送信元IP]
postfix/smtpd[25126]: disconnect from client=送信元ホスト名[送信元IP]

※LDAP daemonが落ちているとき。
LDAP daemonが落ちてからの経過時間により挙動が違う。

- LDAP daemonが落ちた直後にtelnetで叩いた時。
LDAPサーバへの再コネクトで約1分待ち、そして550を返す。送信元からの再送
は期待できない。

postfix/smtpd[25133]: connect from 送信元ホスト名[送信元IP]
postfix/proxymap[25127]: nss_ldap: reconnecting to LDAP server...
postfix/proxymap[25127]: nss_ldap: reconnecting to LDAP server...
postfix/proxymap[25127]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)...
postfix/proxymap[25127]: nss_ldap: reconnecting to LDAP server (sleeping 8 seconds)...
postfix/proxymap[25127]: nss_ldap: reconnecting to LDAP server (sleeping 16 seconds)...
postfix/proxymap[25127]: nss_ldap: reconnecting to LDAP server (sleeping 32 seconds)...
postfix/proxymap[25127]: nss_ldap: could not hard reconnect to LDAP server - Can't contact LDAP server
postfix/smtpd[25133]: NOQUEUE: reject: RCPT 送信元ホスト名[送信元IP]: 550 (折曲げ)
<受信者メアド>: Recipient address rejected: User unknown in local recipient table; (折曲げ)
from=<送信者メアド> to=<受信者メアド> proto=SMTP helo=<送信元ドメイン>
postfix/smtpd[25133]: disconnect from 送信元ホスト名[送信元IP]
(続く)

279 :253:2006/12/23(土) 21:37:37
- LDAP daemonが落ちて2-3分経過後の場合。
即時550を返す。送信元からの再送は期待できない。

postfix/smtpd[25133]: connect 送信元ホスト名[送信元IP]
postfix/smtpd[25133]: NOQUEUE: reject: RCPT from 送信元ホスト名[送信元IP]: 550 (折曲げ)
<受信者メアド>: Recipient address rejected: User unknown in local recipient table; (折曲げ)
from=<送信者メアド> to=<受信者メアド> proto=SMTP helo=<送信元ドメイン>
postfix/smtpd[25133]: disconnect from 送信元ホスト名[送信元IP]

※LDAP サーバからケーブル抜いた時

LDAPサーバへの再コネクトで約18分待ち、そして550を返す。多くの場合、送
信元のMTAがタイムアウトしていると思われるため、送信元からの再送が期待
出来る。

postfix/smtpd[25204]: connect from 送信元ホスト名[送信元IP]
postfix/proxymap[25205]: nss_ldap: reconnecting to LDAP server...
postfix/proxymap[25205]: nss_ldap: reconnecting to LDAP server...
postfix/proxymap[25205]: nss_ldap: reconnecting to LDAP server (sleeping 4 seconds)...
postfix/proxymap[25205]: nss_ldap: reconnecting to LDAP server (sleeping 8 seconds)...
postfix/proxymap[25205]: nss_ldap: reconnecting to LDAP server (sleeping 16 seconds)...
postfix/proxymap[25205]: nss_ldap: reconnecting to LDAP server (sleeping 32 seconds)...
postfix/proxymap[25205]: nss_ldap: could not hard reconnect to LDAP server - Timed out
postfix/smtpd[25204]: NOQUEUE: reject: RCPT 送信元ホスト名[送信元IP]: 550 (折曲げ)
<受信者メアド>: Recipient address rejected: User unknown in local recipient table; (折曲げ)
from=<送信者メアド> to=<受信者メアド> proto=SMTP helo=<送信元ドメイン>
postfix/smtpd[25204]: disconnect from 送信元ホスト名[送信元IP]

280 :253:2006/12/23(土) 21:42:34
>>275-276
そのあたりが良さそうですね。LDAPの再起動についてなんですが、先日LDAPの
デーモンが落ちた時の原因はLDAPのデータベースが壊れたためでした。そのた
め無条件に再起動は少々問題があります。古いデータベースのrestoreが必要
なため、postfixを停止する方向で考えています。
(続く)


281 :253:2006/12/23(土) 21:44:49
idコマンドを使ったテストを試してみました。

※正常に動作しているときの

% time id LDAP-USER || /etc/rc.d/init.d/postfix stop
約0.026秒でid コマンドが正常終了する。postfixは停止しない。

※LDAP daemonが落ちているとき。
% time id LDAP-USER || /etc/rc.d/init.d/postfix stop
約0.008秒でid コマンドが異常終了する。postfixが停止する。

※LDAP サーバからケーブル抜いた時
% time id LDAP-USER || /etc/rc.d/init.d/postfix stop
約2分でid コマンドが異常終了する。postfixが停止する。

※とりあえず出来る対策

1. LDAPサーバを2重体制にする。
2. IDコマンドを使ったテストをcrontabに仕込む
メールのロストを少なくするためには可能な限り短い間隔でテストする。しか
しLDAPのタイムアウトに時間かかるので、二重起動しない対策。本テストで
postfixが落ちた事を検出し通知する手を考える。

という所でしょうか。ホントだったらpostfixが検出してくれて自動的にエラー
コードを550から450に切り替えてくれたらいいんですけどね。

282 :名無しさん@お腹いっぱい。:2006/12/24(日) 01:11:42
ちょwwwwおまえらwwwwwwwwwwwww

nss経由でLDAP叩いてるくせに、postfixに難癖つけますか、そうですか。
そんなもん、postfixが判断できるわけねぇだろ。

このばかちん!

283 :名無しさん@お腹いっぱい。:2006/12/24(日) 01:37:14
PAMとNSSは別。idやPostfixのローカル配送はNSSの方。

284 :253:2006/12/24(日) 02:06:23
>>282
まぁ、そうだな。ソース読むと、UNIX認証の場合はgetpw* 経由で読んでいる。こいつの
返値しか見てない。

LDAPのヘルスチェックは無理。
http://www.linux.or.jp/JM/html/LDP_man-pages/man3/getpwent.3.html

というかpostfixでLDAPを直接参照する方法がよくわからない。にょろーん。
バーチャルドメインの設定例は良くあるけどね。

285 :名無しさん@お腹いっぱい。:2006/12/24(日) 02:24:09
>>282
いや、だから>>271の時点でばっさり切り捨てているでそ。
それ以後、まともな人はもう相手してない。

286 :名無しさん@お腹いっぱい。:2006/12/24(日) 08:45:34
253と284が見えない

287 :名無しさん@お腹いっぱい。:2006/12/24(日) 12:28:26

             -‐ '´ ̄ ̄`ヽ、
             / /" `ヽ ヽ  \
         //, '/     ヽハ  、 ヽ
         〃 {_{       リ| l.│ i|  に
         レ!小lノ    `ヽ 从 |、i|  ょ
          ヽ|l ●   ●  | .|ノ│  ろ
            |ヘ⊃ 、_,、_,⊂⊃j  | , |.  l
          | /⌒l,、 __, イァト |/ |  ん
.          | /  /::|三/:://  ヽ |
          | |  l ヾ∨:::/ ヒ::::彡, |


288 :名無しさん@お腹いっぱい。:2006/12/24(日) 15:41:54
>>284
一体何のためにソース読んでる? おまいの目はフシアナですか?
スグ隣に、dict_ldap.c/hがあるだろ!!


289 :名無しさん@お腹いっぱい。:2006/12/25(月) 10:37:15
>>268
できたっぽいです。
ありがとうございます。

290 :名無しさん@お腹いっぱい。:2006/12/25(月) 14:16:11
postfix-2.2.10使っています。

ヘビーユーザーがいるのですが、ヘビーユーザーのメール管理者から
「短時間に大量のメールを送るのはやめて下さい」
といわれてます。だいたい数万通のメールを飛ばしているらしいです。
#トラップを飛ばしている

該当ユーザに、そんなに大量のメールを送る設定はやめなさい、という以外に、
何かのオプションで流量制限、もしくは遅延させることができないでしょうか?

291 :名無しさん@お腹いっぱい。:2006/12/25(月) 14:40:49
>>290
spam業者は即刻アカウント削除

292 :290:2006/12/25(月) 14:55:31
spam業者ではないです、一応…
あれもこれも必要なメールらしいですし
#どちらかというとDoSかも

293 :名無しさん@お腹いっぱい。:2006/12/25(月) 15:11:53
そいつは s p a m 業者だ!疑いの余地無し!人類の敵を抹殺せよ!

294 :名無しさん@お腹いっぱい。:2006/12/25(月) 16:21:27
>ヘビーユーザーのメール管理者から
>「短時間に大量のメールを送るのはやめて下さい」
>といわれてます。

じゃあ 290 は一体何者なんだという疑惑

295 :名無しさん@お腹いっぱい。:2006/12/25(月) 16:37:58
質問です。
qmgrデーモンがキューからピックアップする際にmaillogに吐く
nrcpt=
の数字は、localやsmtp,virtualなんかに送るメールの数という認識でよいでしょうか?

この辺のステータスについて解説されている資料などありましたらご教授頂けると幸いです。
宜しくお願いいたします。

296 :290:2006/12/25(月) 17:04:16
日本語が変でした

漏れ: サービス系メールサーバの管理者の1人
メール管理者: OA系メールサーバの管理者

サービス系のメールサーバは基本的に送信専用です。普段ログインしない。
OA系のメールサーバのメールは普段読む。
よって、サービス系の中で起こった事は、メールを飛ばして、
サービス系メールサーバ → OA系メールサーバ→ヘビーユーザのクライアント
と流れます。
OA系メールサーバが非力なのか、落ちてしまうようです。
そこで、ヘビーユーザがメールしかける場所を減らす様努力中ですけど、
その他、サービス系メールサーバで絞れないかと。

297 :名無しさん@お腹いっぱい。:2006/12/25(月) 17:12:49
spam業者乙

298 :名無しさん@お腹いっぱい。:2006/12/25(月) 17:25:51
>>296
数万通というのが時間当たりの単位なのか判りませんが
一般ユーザからすると通常ありえない運用の仕方ですよね。
言われてるように、そのユーザ自身がスパム業者かBOTネットの一員になってるとしか思えないのですが。。。

トラップが飛ぶような仕組みになっているなら、下記資料を参考に
動的にルールセットを切り替える仕組みを作ればいいのではないかと思います。
ttp://www.kobitosan.net/postfix/archives/faq-jp-20010228pl02.html#relay_restrict

>>297
そういった非生産的な発言は控えて頂きたい

299 :名無しさん@お腹いっぱい。:2006/12/25(月) 17:27:03
spam業者を支援する人もspam業者です。

300 :名無しさん@お腹いっぱい。:2006/12/25(月) 17:28:02
290がノイローゼになったあげくにサーバを破壊して自殺するのがベストの解決

301 :名無しさん@お腹いっぱい。:2006/12/25(月) 17:53:27
メールでsnmpのトラップでも飛ばしてるんでしょ?
そりゃ数万通ぐらい平気で飛ぶわな。
サービス系メールサーバで異常時だけOA系メールサーバへメールを
飛ばすようなプログラムを仕込んでおくのがいいと思うよ。

302 :名無しさん@お腹いっぱい。:2006/12/25(月) 18:04:06
>>299 >>300
何なんだお前ら
さっさと死ね
お前らの発言はspam並みに役経たず&不快だ


303 :名無しさん@お腹いっぱい。:2006/12/25(月) 18:20:27
煽りに乗ったら負け。

304 :名無しさん@お腹いっぱい。:2006/12/25(月) 18:32:05
しかしうさん臭い

305 :290:2006/12/25(月) 21:41:52
携帯ユーザにはすまん。

>>all
ありがとん

>>298
拝見しますた。
ヘビーユーザが100%意味の無いメールをとばしてるかって言うとそうとも思えないのねん。
#ポインタを理解できていなかったらすまんです。
動的にルールセットを作り替えられるんだったらベストなんだが
・考えてるの
送信元サーバが一緒(サービス系メールサーバは各サーバのメールを集約して転送する仕組み)で、
単位時間内に複数メール投げるんだったら、2通目以降は、linux-users ML等のように、まとめ送りする
その単位時間内にヘビーユーザが状況を知りたければ、まとめ送りのメールの内容を取得できるようにする

他のMTAでここまで実装してこれなかったが故に、
単位時間あたりの流量制限
という話になってるのねん。#QMAILではできてたらしいが

>>301
おっしゃるとおりで。そりゃ飛ぶだろう、って感じ。
平常時からしてメールとばしすぎだろう、って思ってるんだが、
その、メールとばしすぎてOA系メールサーバ落としますた事件の際は異常時で、
読めなくなるほどメールが飛んだらしい。#漏れ、その時別部署だったからしらん
というわけで、異常時であっても、OA系メールサーバを落とすようなメールを送るな、
という話になったらしい。#あほらし

メールに頼ってくれるな、事実上のDoSをしかけてくれるな、異常時くらい勘弁してくれ、
っていうのはあるんだが、前科のあるさーびすなんで、保険をかけざるを得ないんだが…

antifloodかspamassassinで運用、ってのも考えたが、それはそのヘビーユーザの有用なメール
(障害検知のお知らせ)をあぼーんするだけなんで、あきらめた。

306 :名無しさん@お腹いっぱい。:2006/12/25(月) 22:05:31
postfixで流量制限というとpolicydというのがあるが

307 :290:2006/12/25(月) 22:31:39
>>306
さんくす。明日早速調べてみる。
mySQLかPostgre SQL必須らしいし、使った事無いから厳しいけど。
#DBつかうっていうと、Oracle信者の妨害が入る可能性もあり

308 :名無しさん@お腹いっぱい。:2006/12/25(月) 22:38:58
policydはgreylistingとかもできて、かなり面白いですな。

309 :名無しさん@お腹いっぱい。:2006/12/26(火) 00:38:53
>>305
とりあえず、
もうちょっと制限したいメールを挙動を詳しく。

Senderが単一/多数
Recipientが単一/多数

Recipientが単一なら、とりあえず、OA系サーバが捌ける程度に smtp_concurrency_limit を絞ってやれば済む。
次の仕事は、自分管理のサービス系サーバのメイルキューがパンクしないか監視すること。

外部配送全体に影響出るのが嫌なら、別名transportを利用する。

310 :名無しさん@お腹いっぱい。:2006/12/26(火) 01:31:21
>>305
一分一秒を争うサービスでなければ、数分ごとにメールをまとめて送るような
メーリングリスト仕掛けりゃいいんでないの?

311 :名無しさん@お腹いっぱい。:2006/12/26(火) 11:20:54
何だか知らんが、spam 業者は百万回死ね。苦しんで死ね。
善意の第三者を装うあたりが卑怯すぎるので一億回死ね。

312 :名無しさん@お腹いっぱい。:2006/12/26(火) 16:20:37
>>305
snmpのトラップのかけ方がクソすぎる、どうにかしろ、サービス停止にするぞ!
って恫喝して終わらせれば? 個別対応せずに、有無を言わさず切ってしまえ。

313 :名無しさん@お腹いっぱい。:2006/12/28(木) 12:39:09
postfix2.1使ってます。

バーチャルドメイン環境で使用していますが、
main.cf で virtual_mailbox_domains に設定した値が
DNSより優先されてしまいます。
例えば、誤ってvirtual_mailbox_domains に example.jp を設定すると、
DNSを参照する前に、example.jp が自身のサーバーであると判断してしまいます。

実際にメールを example.jp 宛に送信すると、
127.0.0.1に送信し、user unkown みたいなエラーが返ってきます。

DNSを強制的に先に参照させる方法はないでしょうか。

ttp://tmtm.org/postfix/tutorial/virtual.html
このサイトの「バーチャルドメインの注意」の一つ目が
私が言ってる内容と同じかと思います。

誰かお助けを・・・

314 :名無しさん@お腹いっぱい。:2006/12/28(木) 14:35:06
>>313
ばーか

315 :名無しさん@お腹いっぱい。:2006/12/28(木) 14:51:03
>>313
最終的に何がしたいのか言ってくれないと何とも・・・

>DNSを強制的に先に参照させる方法はないでしょうか。

ない。


316 :名無しさん@お腹いっぱい。:2006/12/28(木) 15:08:56
>>313
パッチ書けば?

93 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)