カテゴリー「Postfix」の記事

Mac OS X Server:ローカルユーザのドメイン詐称をチェックする

【概要】
メールサーバがメールを受け取ったときに,送信元を身元確認する「ドメイン認証」が普及しつつありますが,逆に自ドメインからメールを送信するときにドメイン詐称をチェックする仕組みを組み込むことについて考えてみます。

この仕組みは,スパムメール阻止とは多分あまり関係ありません。
関係あるとしたら,メールサーバが乗っ取られたり,身内にスパム発信元がいたりしたときに,スパムメールを中継するのを阻止する防波堤になるかもしれない,ということくらいです。
この仕組みは,自ドメインからメールを送信する正規アカウントユーザに対して,他所のドメインのアドレスでメールを出す行為を禁じるのが目的になります。
これには以下のような効果があると思います。

  • ドメイン認証の普及により,これからは他所のドメインでメールを出せなくなっていくが,このルールを違反メールを阻止することで周知徹底させる。
  • ドメイン認証を送信側が行う形になるので,メールの送り先でドメイン認証によりメールをスパム扱いされることがなくなる。
このエントリでは,送信元アドレスの中のドメイン部分のみチェックして,自ドメイン(または特定のドメイン)でなければ送信元のメールクライアントにエラーを返すようPostfixの設定を行ってみることにします。

【設定の概要】
メールサーバがクライアントから送信メールを受け取るとき,SMTPプロトコルのMAIL FROMにて,送信元のメールアドレスを受け取ります。このメールアドレスのドメイン部分が自ドメインでなかったら,クライアントに対してエラーを返してメール受信を拒否するように転送ルールを設定します。

MAIL FROMに対するチェックの設定は,Postfixでは設定パラメータ「smtpd_sender_restrictions」で行うことになっています。
ここではOP25Bに対応していることを前提に説明します。OP25B対応していた場合,設定は「/etc/postfix/master.cf」で行いますが,master.cfではパラメータ値の定義でスペースを含めた定義を行うことができないので,設定を「/etc/postfix/main.cf」で定義してmaster.cfで参照するようにします。

【設定手順】
まず最初に自ドメインを許可する設定ファイルを作成します。
ディレクトリ「/etc/postfix/」にて,例として「permit_mydomain」というファイル名で以下の内容のテキストファイルを作成します。

設定ファイル記述例:permit_mydomain
example.co.jp  OK

このファイルをDBファイルに変換します。ターミナル上で以下のようにコマンド実行します。
sudo postmap hash:permit_mydomain

このコマンドを実行した結果,「permit_mydomain.db」というファイルがカレントディレクトリに作られます。
このファイルが設定ファイルで記述したとおりに判定するかどうかを以下のコマンドで確認します。
sudo postmap -q example.co.jp hash:permit_mydomain

実行結果が「OK」と返ってくれば,「example.co.jp」の値が「OK」のデータがDBファイルに格納されています。

次に,この「permit_mydomain.db」を参照する定義を「main.cf」にユーザ定義パラメータとして記述します。

例:main.cfでのユーザ定義パラメータの定義
check_sender_mydomain = check_sender_access hash:/etc/postfix/permit_mydomain

※この定義の記述で,拡張子「.db」はなくても良いようです。

次に,「/etc/postfix/master.cf」ファイルを編集してユーザ定義パラメータをsubmissionポートのMAIL FROMで適用されるように設定します。。
まず,master.cfでのsubmissionの設定が以下のようになっているとします。
※master.cfで定義されていないパラメータはmain.cfでの定義が適用されます。

例:master.cfでのsubmissionの定義
submission inet n  -  n  -  n  smtpd
  -o smtpd_etrn_restriction=reject
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o smtpd_helo_restrictions=permit
  -o smtpd_sender_restrictions=reject_non_fqdn_sender,permit
  -o smtpd_recipient_restrictions=reject_non_fqdn_recipient,permit_sasl_authenticated,reject

これにmain.cfで定義したユーザ定義パラメータ「check_sender_mydomain」を追加しますが,定義済みのパラメータを参照する場合はパラメータ名を「${パラメータ名}」とすることで参照できます。パラメータを追記した結果は以下のようになります。
submission inet n  -  n  -  n  smtpd
  -o smtpd_etrn_restriction=reject
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o smtpd_helo_restrictions=permit
  -o smtpd_sender_restrictions=reject_non_fqdn_sender,{$check_sender_mydomain},reject
  -o smtpd_recipient_restrictions=reject_non_fqdn_recipient,permit_sasl_authenticated,reject
注)「-o」の前のスペースは,上の行からの継続を意味しますので,削除してはいけません。

●追加した設定の説明
ユーザ定義パラメータの定義により,差出人のアドレスが自ドメインであれば「OK」と判定されて送信されます。
そうでなければ次の「reject」が適用されるので,自ドメインでない差出人アドレスはエラーになります。

以上の設定が終わったら,ターミナル上で「sudo postfix check」を実行してエラーがないか確認し,「sudo postfix reload」を実行して修正内容を実行環境に反映します。

以上で設定は完了です。自分宛メールなどで設定が有効になっているか確認してみましょう。


■関連情報
Postfix 2.3日本語ドキュメント:[基本設定][main.cf設定パラメータ][master.cf]
Appleサポート:Mac OS X Server 10.4送信メールを設定する
Apple Server 製品ドキュメント:メールサービスの管理[PDF]

■関連書籍をAmazonで検索:[Postfix][Mac OS X Server]
Postfix実用ガイド

にほんブログ村 IT技術ブログへ にほんブログ村 IT技術ブログ ネットワーク・SEへ 人気ブログランキングへ ←この記事が役に立ったという方はクリックお願いします。


高速・夜行バス予約サイト WILLER TRAVEL高速・夜行バス予約サイト WILLER TRAVEL

| | トラックバック (0)

Mac OS X Server:メールサーバにドメイン認証(SPF)を設定する

【概要】
メールサーバMTA)またはメールクライアントがメールをMTAへ送信する際に,メール転送プロトコル(SMTP)に従いメール送信者のアドレスを送信先のサーバに知らせますが,この送信者アドレスが正当なものであるかを確認する仕組みがSMTPには組み込まれていません。すなわちメール送信者のアドレスは詐称が可能です。

この問題への対処として,メールを受け取ったサーバが,送信元サーバが正当な送信サーバかどうかを確認する「送信ドメイン認証(SPFなど)」が普及しつつあるようです。SPFは,送信側がメールを送信するサーバのアドレスを,そのドメインのDNSサーバで公表することで,メールを送信したのが正当なサーバかどうかを受信側が確認することを可能にするものです。
SPFはドメインとメールサーバを関連付けるものなので,ドメインの詐称を検知することはできますが,アカウントの詐称は検知することができません。

このエントリでは,メール送信側がDNSに設定するSPFの書式と設定方法について解説します。
このエントリは,メール受信側がSPFレコードをどのように利用するかについては対象外です。

【Hellow World:SPFをDNSに設定してみる】
最初に「何も判定しない」SPFレコードをDNSに記述して,これを公開してみることにします。SPFの公開がうまくいったのが確認できたら,必要な判定を随時追加修正すればいいでしょう。

例 1:何も判定しないSPF定義
v=spf1 ?all
例1の定義のうち,最初の「v=spf1」は,以下に続くテキストがSPFの定義であることを表します。「?all」は,すべてのIPアドレスの判定を保留にすることを表します。

SPF定義はBIND(DNSサーバ)のゾーンファイルに設定します。ゾーンファイルが保存されているディレクトリパスは,BINDの環境設定ファイル「/etc/named.conf」にて「option」セクションの「directory」に定義されています。Mac OS X Serverの場合,デフォルトのままならゾーンファイルは「/var/named/」にあります。
ドメイン名が「example.co.jp」の場合,ゾーンファイルのファイル名は「example.co.jp.zone」になります。このファイルをviなどのテキストエディタで開き,上記SPF定義を以下のように追加します。

example.co.jp. IN TXT "v=sft1 ?all"
ドメイン名「example.co.jp.」の最後にピリオドを付けるのを忘れないでください。

この行を追加して保存した後で,DNSを再起動します。
再起動をコマンドライン上で行うには,「named restart」を実行します。
Mac OS X Serverの場合は,「サーバ管理」ツールを起動して「コンピュータとサービス」から「DNS」を選んで「サービスを停止」ボタンを押し,停止したら「サービスを起動」ボタンを押すことにより再起動することができます。

以上の操作によりSPFの設定を行った後で,これが上位ドメインに反映されているかを確認します。

●Windows XPから確認する場合:
DOSプロンプトにて以下のようにコマンド実行します。

nslookup -query=txt example.co.jp

●LinuxやMac OS XなどUNIX系OSから確認する場合:
ターミナルシェルより以下のようにコマンド実行します。
dig example.co.jp txt

●Mac OS Xから「ネットワークユーティリティ」で確認する:
Mac OS Xでは「ネットワークユーティリティ」というアプリケーションからも確認できます。このツールは「dig」コマンドにGUIを被せたものです。
「ネットワークユーティリティ」はフォルダ「アプリケーション」→「ユーティリティ」に入っています。
使用方法は,ツールを起動して「Lookup」タブを選び,アドレス入力欄にドメインまたはDNSサーバのIPアドレスを入力,「ルックアップする情報」メニューで「テキスト情報」を指定して「Lookup」ボタンを押すと,下のテキストエリアに結果が出力されます。

※SPF設定後の注意:Mac OS X Server(10.4.x)でSPFを設定し「サーバ管理」ツールを使ってDNSの設定を更新すると,サーバ管理がSPF定義をエラーと解釈して勝手に削除してしまいます。SPF定義を記述した後はサーバ管理ツールはDNSの起動・停止のみ行い,DNS定義の変更はサーバ管理ツールでは行わないようにしてください。

【SPFによるメール送信元サーバの指定】
前項で設定したSPFの定義は,送信元サーバの指定をまったく行わないものでした。本項より送信元サーバを指定する方法を順次説明します。

●正当なメールサーバのIPアドレスを列挙する
例 2:正当なメールサーバのIPアドレスの列挙
v=spf1 +ip4:1.2.3.4 +ip4:1.2.3.5 +ip4:1.2.3.6 -all
「v=spf1」に続く「+ip4:IPアドレス」のリストは,DNSサーバが管理するドメインのメールを送信するメールサーバ(MTA)のIPアドレスのリストです。
「ip4:IPアドレス」はIPv4形式のIPアドレスによるサーバの指定です。アドレスの前の「+」は指定したサーバがメールの送信元として正当なサーバであることを表します。
末尾の「-all」について,「all」はそれより前に列挙したIPアドレスのどれにも該当しない全てのアドレスの判定を指定します。allの前に「-」を付与した場合,IPアドレスに該当しないアドレスは,メールの受け取りを拒否すべきであることを表します。
注意:IPv4のアドレスの指定でよくある誤りは「ipv4:」と記述するケースです。正しくは「ip4:」になります。

●IPアドレスとサブネットマスクで指定する
例 3:IPアドレスとサブネットマスクによる指定
v=spf1 +ip4:1.2.3.0/24 -all
IPアドレスの指定方法として,サブネットマスク(プレフィックス長)を付加して「ip4:IPアドレス/プレフィックス長」としてIPアドレスの範囲指定を行うこともできます。

●IPv6アドレスで指定する
例 4:IPv6アドレスによる指定
v=spf1 +ip6:1234:5678:9abc:def0:1234:5678:9abc:def0 -all
v=spf1 +ip6:1234:5678:9abc:def0:1234:5678:9abc:def0/96 -all
IPアドレスとしてIPv6のアドレスを「+ip6:IPアドレス」で指定することもできます。また,これにサブネットマスク(プレフィックス長)を付加して「ip6:IPアドレス/プレフィックス長」でIPアドレスの範囲指定を行うこともできます。

●メールを送信しないサーバを指定する
例 5:メールを送信しないサーバの指定
v=spf1 +ip4:1.2.3.4 -ip4:2.3.4.5 ~all
IPアドレスの前に「-」を付けた場合は,指定したIPアドレスからこのドメインのメールは送信されないことを表します。
ただし,最後が「-all」ならば,指定したIPアドレスはこの「-all」で判定されるので,指定は無意味です。IPアドレスで「-」を指定する場合に意味があるのは,allが「-」以外である場合です。
allには「-」のほか,「~」(チルダ),「?」を付与することができます。「~」は「弱い失敗」,「?」は「ニュートラル」を表します(詳細は次項)。
allに「+」を指定することも可能です。この場合,「-」を付与したIPアドレスを除くすべてのアドレスが正当なアドレス,という指定になります。
例5では,IPアドレス「1.2.3.4」は正当なアドレス,「2.3.4.5」は不正なアドレス,それ以外は「弱い失敗」を指定しています。

●このドメインのメールアドレスは存在しないことを表明する
例 6:送信用メールサーバは存在しない
v=spf1 -all
サーバ指定で「-all」とだけ書いた場合,このドメインからのメールはすべて受信拒否しなければならないことを表します。この指定は,このドメインのメールアドレスは存在しないことを表しています。

【サーバ指定について】
この項では,サーバを「正当」または「不当」と判断するための決まりごとについて説明します。

●アドレス及び「all」に付与する記号(限定子)について
例 7:「弱い失敗(Soft Fail)」「ニュートラル」
v=spf1 +ip4:1.2.3.4 ~all
v=spf1 +ip4:1.2.3.4 ?all
IPアドレス及び「all」の前に付与する「+」「-」について,「+」は指定したサーバが正当なサーバ,「-」は不当なサーバであることを表しますが,これ以外の指定に「~」(チルダ)と「?」があります。「~」は「弱い失敗(Soft Fail)」を表します。これに該当するサーバは,正当なサーバとは見なさないが,メールを受け取ってもかまわないことを表します。実際の実装ではSoft Failに対してメールの受信側は受信したメールのヘッダにスパム情報を挿入して受け取るようです。「?」は「ニュートラル」を表し,「+」と同じ扱いになります。「?」は本来「-」や「~」であるべきものを一時的に「+」と同じ扱いにする場合に指定します。

●評価順について
例 8:指定した範囲のアドレスのうち特定のアドレスだけ正当なアドレスに指定する
v=spf1 +ip4:1.2.3.4 -ip4:1.2.3.0/24 ~all
SPFレコードのアドレス指定を評価するときは,アドレス指定の列挙の最初から順番に比較していって,一致したところで評価が確定し,これ以降の評価は行いません。
例5の場合,IPアドレス「1.2.3.4」は正常受け取り,「1.2.3.4」を除く「1.2.3.0/24」は受け取り拒否,それ以外は「弱い失敗」で受け取るよう指定しています。ここで「1.2.3.4」は「1.2.3.0/24」に含まれますが,先に指定している「1.2.3.4」が優先されます。
例6の指定方法は,「1.2.3.0/24が自分達に割り振られているすべてのIPアドレスで,そのうち1.2.3.4をメールサーバに使用している」ということを表す場合に使えます。
「all」の指定が出現したところですべてのアドレスの評価が確定するので,allの後ろにアドレス指定を記述しても評価されません。そのためallはSPFレコードの末尾に記述します。
末尾にallなどがなく,評価が確定せずに終わった場合,評価は「ニュートラル(末尾が「?all」の場合と同義)」になるようです。

●サーバ指定で「+」など(限定子)を省略した場合の解釈
例 9:サーバ指定で「+」を省略
v=spf1 ip4:1.2.3.4 -ip4:2.3.4.5 ~all
アドレス指定及び「all」にて,先頭の「+」「-」「~」などの指定を省略した場合は「+」が指定されたものと解釈されます。例9は例2と同じ指定になります。

【アドレスを直接指定しないサーバ指定】
前項まではSPFレコードの中でIPアドレスを直接指定していましたが,本項では当該SPFレコード以外の場所で記述されたアドレスを指定する方法について説明します。

●DNSの「A」または「AAAA」レコードの内容を指定する
例 9:DNSのAまたはAAAAレコードに記述されたアドレスで判定する
v=spf1 +a -all
v=spf1 +a:example.co.jp -all
v=spf1 +a/24 -all
v=spf1 +a:example.co.jp/24 -all
・「a」
メール送信元のドメイン名からIPアドレスを正引きし,得られたIPアドレス(IPv4,IPv6共)のなかに送信元アドレスが含まれているかどうかを判定します。
・「a:example.co.jp」
引数のドメイン名でIPアドレスを正引きし,得られたIPアドレスのなかに送信元アドレスが含まれているかどうかを判定します。
・サブネットマスク指定
アドレス指定に「/プレフィックス長」を付加することで,サブネットマスクによるIPアドレスの範囲指定ができます。
※これらの指定は,A及びAAAAレコードからIPアドレスに展開するためのDNS参照が発生します。

●DNSの「mx」レコードの内容を指定する
例10:DNSのMXレコードに記述されたメールサーバアドレスで判定する
v=spf1 +mx -all
v=spf1 +mx:example.co.jp -all
v=spf1 +mx/24 -all
v=spf1 +mx:example.co.jp/24 -all
・「mx」
メール送信元ドメイン名のMXレコードをDNSで問い合わせ,取得したホスト名のIPアドレスを再度問い合わせて送信元IPアドレスと一致するものがあるかを判定します。DoS攻撃防止のため,MX問い合わせで複数のサーバ名が得られた場合は最大10件までで判定を行います。
この機構を指定する場合はDNSでMX及びAレコードが定義されている必要があります。
・「mx:example.co.jp」
指定したドメイン(example.co.jp)のMXレコードをDNSで問い合わせ,取得したホスト名のIPアドレスを再度問い合わせて送信元IPアドレスと一致するものがあるかを判定します。MX問い合わせで複数のサーバ名が得られた場合は最大10件までで判定を行います。
・サブネットマスク指定
アドレス指定に「/プレフィックス長」を付加することで,サブネットマスクによるIPアドレスの範囲指定ができます。
※これらの指定は,MXレコードからIPアドレスに展開するためのDNS参照が最大10件発生する可能性があります。

●DNSの逆引きの結果で判定する
例11:DNSでIPアドレスを逆引きできるかどうかで判定する
v=spf1 +ptr -all
v=spf1 +ptr:example.co.jp -all
・「ptr」
メール送信元のIPアドレスを逆引きして得られたホスト名に対して,正引きしてIPアドレスを取得し,得られたIPアドレスに送信元アドレスが含まれているかを判定します。DoS攻撃防止のため,逆引きで複数のサーバ名が得られた場合は最大10件までで判定を行います。
・「ptr:example.co.jp」
メール送信元のIPアドレスを逆引きして得られたホスト名に,引数のドメイン名と一致するものがあるかどうかを判定します。
※これらの指定は,ドメインからIPアドレスに展開するためのDNS参照が最大10件発生する可能性があります。

●指定したドメインの存在のみ判定する
例12:Aレコードの存在のみで判定する
v=spf1 +exists:example.co.jp -all
指定したドメインのAレコードが存在するかどうかで判定します。そのAレコードのIPアドレスの内容は参照しません。例11ではDNSでexample.co.jpのAレコードが見つかれば送信ドメインは正当なものと見なします。
この指定はマクロと組み合わせることで,メールブラックリストの問い合わせを作ることができるようです。

●別ドメインのSPF定義を参照する
例13:別ドメインのSPFを参照する
v=spf1 redirect=example.com
v=spf1 include:example.com -all
「redirect=ドメイン名」と指定すると,指定したドメインのSPFレコードに判定処理を引き継ぎます。redirectは,同一DNSサーバで複数のドメインを管理している場合に共通のSPFレコードで判定を行う使い方を想定しています。redirectはSPFの記述の最後に「all」の代わりに記述するのが一般的です。

※「redirect」と「ドメイン名」の間は「:(コロン)」ではなく「=(イコール)」でつなぎます。

「include:ドメイン名」を指定すると,指定したドメインのSPFレコードを取得し,取得したSPFレコードで送信サーバのアドレスが正当かどうかのみをチェックします。ここで正当(Pass)以外の結果のときは判定が確定しないことに注意してください。上記の例ではinclude先での判定が正当以外の結果だった場合は末尾の「-all」が最終的な判定になります。

■関連情報
SPFの解説記事
間違いから学ぶSPFレコードの正しい書き方
SPFレコード・テストサイト
NTT docomo 送信ドメイン認証について
EZwebへメール送信する際の注意事項
@IT解説記事
RFC4408(SPF)日本語訳

■関連書籍をAmazonで検索:[BIND/DNS][Mac OS X Server]
改訂新版 BIND9によるDNSサーバ構築 (エッセンシャルソフトウェアガイドブック)

にほんブログ村 IT技術ブログへ にほんブログ村 IT技術ブログ ネットワーク・SEへ 人気ブログランキングへ ←この記事が役に立ったという方はクリックお願いします。


ドミノ・ピザ【PC向けサイト】

| | トラックバック (0)

Mac OS X Server:PostfixでOP25B対応

【OP25Bとは】
Outbound Port 25 Blockingの略です。ISP(インターネットサービスプロバイダ)各社が,自ドメインの利用者がユーザ回線を使ってインターネットへスパムメールを送信するのを阻止するために導入しているもので,プロバイダのユーザ回線からインターネットへ出て行く外向きのTCP25番ポートへの接続を塞いでしまう,というものです。

【OP25Bの影響】
OP25BはSMTPに使う25番ポートを塞ぐので,POPIMAPには全く影響ありません。
OP25Bはユーザ回線に対して実施されるもので,固定IPの回線には影響ありません。
OP25Bは内から外へ出て行く25番ポートへの接続を阻止するので,外から内へ入ってくる接続には影響しません(外から内へ入ってくる25番ポートへの接続を阻止するのは「IP25B」)。
使用しているISPがOP25Bを導入したとき,ユーザへの影響には以下の3つのケースがあります。

  1. メールクライアントからプロバイダが提供する送信用SMTPサーバを使ってメール送信する場合,ISPのメールサーバはインターネットに出て行く手前にいるため接続はOP25Bに阻止されずにこれまでどおり25番ポートを使えることが多く(プロバイダによる),この場合は特に影響ありません。
  2. メールクライアントからインターネットの向こう側にいる送信用SMTPサーバを使ってメール送信しようとした場合(独自メールサーバのアカウントからメールを送る場合など),メールクライアントとSMTPサーバの接続がOP25Bで阻止されます。
  3. ユーザプログラム(ボット含む)や独自メールサーバがユーザ回線を使ってメールを転送する場合,OP25Bで阻止されます。独自メールサーバからメールを転送するには固定IPが必須になります。
上記のうち,OP25Bは3.でのメール送信阻止を狙ったものです。それに対して2.は関係ないのに巻き添えを食らっており,対策が必要です。

【メールクライアントのための対策:サブミッションポート】
メールクライアントのための独自メールサーバの対策として,メールクライアントが25番ポートで接続してくることができないので,メールクライアントに対して25番以外のポートから接続できるように設定する必要があります。
そのための代替ポートとして「RFC2476」にて「サブミッションポート(TCP587番ポート)」が定められています。
サブミッションポートはメールクライアントからSMTPサーバに接続するときに使い,SMTPサーバどうしのメール転送は従来どおり25番ポートを使います。また,サブミッションポートへの接続にはSASL認証(SMTP Auth)を課すことで,「単にポート番号が変わっただけ,587番ポートからスパム送り放題」とならないようにします。

※サブミッションポート以外の対応策として,SMTPサーバをSSL化し,SSL用のポートを使用する,という手もあります。

【Mac OS X Serverで稼動するPostfixでサブミッションポートを利用する手順】
1)SASL認証を有効にする
Mac OS X ServerにプリインストールされているPostfixでは,SASL認証のためのモジュールが最初から組み込まれています。SASL認証を有効にするには,まず「サーバ管理」ツールにて「コンピュータとサービス」で「メール」を選び,「設定」→「詳細」→「セキュリティ」でセキュリティパネルを表示します。ここで「認証」→「SMTP」列のいずれかのチェックボックスをONにして「保存」ボタンを押すとSASL認証がONになります。

※SASL認証のユーザ名とパスワードは,Mac OS X Serverではワークグループマネージャに登録したユーザ名とパスワードになります。すなわちメール受信用のユーザ名とパスワードと同一になります。

2)サブミッションポート(TCP587番ポート)を有効にする
「/etc/postfix/master.cf」ファイルを編集します。事前にバックアップを取った上で「sudo vi」などでファイルを開き、

#submission inet n - n - - smtpd
# -o smtpd_etrn_restrictions=reject
この2行について,最初の「#」(コメントアウト)を削除します。(注:「-o」の前のスペースを削除してはいけません。)
ここでmaster.cfを保存して終了し,コマンドラインで「sudo postfix check」と入力してエラーチェックを行います。問題なければ「サーバ管理」でメールサービスをリスタートするか,コマンドライン上で「sudo postfix reload」コマンドを実行すると,サブミッションポートが有効になります。このときサブミッションポートに適用されるパラメータ値は,main.cfで定義された25番ポートのパラメータ値と同じです。

3)サブミッションポートのパラメータ設定
サブミッションポートで適用されるパラメータ値は「/etc/postfix/main.cf」で定義した25番ポート用の値がデフォルトとして適用されます。
サブミッションポートで適用されるパラメータ値を25番ポートとは別の値にしたい場合は,master.cfのsubmissionセクションの末尾に「-o」+「パラメータ=値」で設定したいパラメータ値を追記することで,サブミッションポートのパラメータ値が上書きされます。このとき「-o」+「パラメータ=値」の記述で気をつけなければならないのは,
  • 「-o」の前後にスペースが必要。行頭のスペースは前の行からの継続を意味する。
  • スペースで区切って解釈されるため,「パラメータ=値」は途中でスペースを入れない。
の2点です。
設定例1:
submission inet n - n - - smtpd
 -o smtpd_etrn_restrictions=reject
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject
 -o smtpd_helo_restrictions=permit
 -o smtpd_sender_restrictions=reject_non_fqdn_sender,permit
 -o smtpd_recipient_restrictions=reject_non_fqdn_recipient,permit_sasl_authenticated,reject
※追記:最後の行に「smtpd_recipient_restrictions」の行を追加しました。このタイミングで「permit_sasl_authenticated」の判定を行うためです。

「パラメータ=値」の途中でスペースを入れることができませんが,「check_sender_access tyep:table」などのように間にスペースを入れなければならないパラメータ値もあります。このような値を指定する場合は,main.cfでユーザ定義のパラメータ値を定義して,master.cfでこれを指定することができます。具体的には,main.cfにて「name = パラメータ値」とパラメータ値に名前を付け,master.cfでこの名前を「${name}」と呼び出すと,これがパラメータ値に展開されます。

設定例2:
main.cfの設定:ユーザ定義パラメータ「check_sender_mydomain」の定義
check_sender_mydomain = check_sender_access hash:/etc/postfix/permit_mydomain

master.cfの設定:ユーザ定義パラメータ「check_sender_mydomain」の利用
submission inet n - n - - smtpd
 …
 -o smtpd_sender_restrictions=reject_non_fqdn_sender,${check_sender_mydomain},reject
main.cf及びmaster.cfを編集保存したら,ターミナル上で「sudo postfix check」を実行してエラーがないか確認し,「sudo postfix reload」を実行して修正内容を実行環境に反映します。

以上でPostfixの設定は完了です。設定完了後LAN内からメールを送信してみてうまくいったら,外部と接続するルータなどでもサブミッションポートへの接続を許可する設定にして,今度は外部からメール送信できるか確認します。

※ところで「permit_mydomain」て何?という方はこちら


■関連情報
ISPによるOP25B 実施状況((財)日本データ通信協会・迷惑メール相談センター)
各ISPによるOP25Bの解説ページインデックスOP25B連絡会
Postfix 2.1日本語ドキュメント:[基本設定][設定パラメータ][master.cfファイルフォーマット]
Appleサポート:Mac OS X Server 10.4送信メールを設定する
Apple Server 製品ドキュメント:メールサービスの管理[PDF]

■関連書籍をAmazonで検索:[Postfix][Mac OS X Server]
無停電電源装置:APC Smart-UPS750 計画停電対策に

にほんブログ村 IT技術ブログへ にほんブログ村 IT技術ブログ ネットワーク・SEへ 人気ブログランキングへ ←この記事が役に立ったという方はクリックお願いします。


| | トラックバック (1)

Mac OS X Server:Postfixとメールクライアントの接続問題

【問題】
Mac OS X Server 10.4.x(Tiger Server)のメールサーバ(Postfix)を設定するとき,「/etc/postfix/main.cf」ファイルのパラメータのうち,以下のパラメータによるアクセス制限を厳しくすると,このメールサーバに接続するメールクライアントからメール送信ができなくなることがあります。

パラメータ内容
smtpd_client_restrictionsクライアントからの接続要求のチェック
smtpd_helo_restrictionsSMTP HELOコマンドのチェック
smtpd_sender_restrictionsMAIL FROMコマンドのチェック
smtpd_recipient_restrictionsRCPT TOコマンドのチェック
各パラメータの詳細はこちら

【原因】
SMTPは,メールサーバ(MTA)間のメール転送もメールクライアントからのメール送信も同じ25番ポートで受け付けます。そのため両者が同じルールでチェックされてしまい,メールサーバに対してだけ厳しくチェックされるべきアクセス制限が,メールクライアントにも適用されてしまいます。

【対策】
SASL認証(SMTP Auth)をONにすると,上記の各パラメータチェックで「permit_sasl_authenticated」の指定が意味を持つようになります。各パラメータに「permit_sasl_authenticated」を加えることで,SASL認証にパスしたメールクライアントソフトはそのパラメータのチェックをスキップしてメール送信ができるようになります。下記の設定例では,クライアントのメールソフトからの接続を「reject_invalid_hostname」が阻止してしまうのを「permit_sasl_authenticated」が防いでいます。特定のパラメータ値を「permit_sasl_authenticated」で防ぐには,そのパラメータ値より前に「permit_sasl_authenticated」を入れる必要があります。
設定例:
smtpd_helo_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_invalid_hostname,permit

Mac OS X ServerにプリインストールされているPostfixには,SASL認証に必要なモジュールがデフォルトで組み込まれています。このSASL認証をONにするには,「サーバ管理」ツールにて「コンピュータとサービス」で「メール」を選び,「設定」→「詳細」→「セキュリティ」でセキュリティパネルを表示します。
ここで「認証」→「SMTP」列のいずれかのチェックボックスをONにして「保存」ボタンを押すと,SASL認証がONになります。
ここでの設定は「/etc/postfix/main.cf」ファイルのパラメータ「smtpd_sasl_auth_enable」「smtpd_pw_server_security_options」などに反映されます。

注1:SASL認証のユーザ名とパスワードは,Mac OS X Serverではワークグループマネージャに登録したユーザ名とパスワードになります。すなわちメール受信用のユーザ名とパスワードと同一になります。
注2:認証時のKerberosとCRAM-MD5はログインを暗号化して行い,LoginとPLAINは平文で行います。クライアント側はアップルの「Mail」はCRAM-MD5で認証を行い,マイクロソフトの「Outlook」「Outlook Express」はLoginで認証を行います。

【追記】
Postfixのドキュメントから設定可能なパラメータを調べるために,Mac OS X Serverで稼動しているPostfixのバージョン番号を知る必要がありますが,「サーバ管理」ツールではこれは表示されません。
Postfixのバージョン番号を知るには,コマンドライン上で
postconf mail_version
と入力することでバージョン番号を知ることができます。
ちなみにMac OS X Server 10.4.11のPostfixのバージョンは2.1.5でした。

■関連情報
Postfix 2.1日本語ドキュメント: [基本設定][設定パラメータ]
Appleサポート:Mac OS X Server 10.4送信メールを設定する
Apple Server 製品ドキュメント:メールサービスの管理[PDF]

■関連書籍をAmazonで検索:[Postfix][Mac OS X Server]
Postfix詳解―MTAの理解とメールサーバの構築・運用

にほんブログ村 IT技術ブログへ にほんブログ村 IT技術ブログ ネットワーク・SEへ 人気ブログランキングへ ←この記事が役に立ったという方はクリックお願いします。
デル株式会社デル株式会社デル株式会社

| | トラックバック (0)