Top過去ログ目次掲示板

作成日:2004年02月27日 作成:おやじ
掲示板で過去に質問された内容です。

No.2667 サーバに接続できない


No.2667 投稿時間:2004年02月27日(Fri) 22:47 投稿者名:けんじ URL:
タイトル:サーバに接続できない

はじめまして、rethat9.0+ postfix + qpopperでのメールサーバの
構築を始めた けんじです。
postfixをインストしたPCからはメーラで送受信ができるのですが
WAN側からも送受信できるかやってみるとメーラに"サーバへの接続
は失敗しました"と表示して止まってしまいました。
postfixの myhostname = *** のところと、ポートの25と100は
開放しています。
また、postfixの代わりにwindowsにpostofficeをインストして試して
みるとWAN側から送受信できるのですが、postfixの設定のどこが良くな
いのでしょうか?


No.2668 投稿時間:2004年02月27日(Fri) 23:49 投稿者名:Ton URL:
タイトル:Re: サーバに接続できない

> postfixの myhostname = *** のところと、ポートの25と100は
100は110の間違いですね...

> 開放しています。
> また、postfixの代わりにwindowsにpostofficeをインストして試して
> みるとWAN側から送受信できるのですが、postfixの設定のどこが良くな
> いのでしょうか?
Postfixの初期設定は、DNSの設定を参照しています
DNSは設定されているでしょうか?
もし、DNSを設定されていない場合、私は未確認ですが、main.confに下記の設定を追加することで
hostsを参照するようになるそうです。
disable_dns_lookups = yes


No.2675 投稿時間:2004年02月28日(Sat) 10:06 投稿者名:けんじ URL:
タイトル:DNSとiptables

> 100は110の間違いですね...
書きまちがえました。

> Postfixの初期設定は、DNSの設定を参照しています
> DNSは設定されているでしょうか?
私も名前解決が出来ていないのではと思ったのですが、DNSサーバは、
ドメイン名を取得した会社のサービスを利用していてnslookupで確認すると
動作しているようです。

> 材料が乏しいので判断しづらいですが、可能性と思われるものを1つ1つ
> 潰して行ったらいいでしょう。
> まずは、iptablesの状態確認してみては

iptablesの状態は下記のようになっています。
どこか間違っているでしょうか?

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 110 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 23 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68 -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68 -i eth1 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth1 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed


No.2677 投稿時間:2004年02月29日(Sun) 01:40 投稿者名:U-mex URL:
タイトル:WANからの送受信はRelayの設定

一応、iptablesは問題無いように思われます。
あとはネットワーク構成をよく把握し、maillog見てmain.cfの
修正でしょう。

ポイントは、「WAN側からも送受信できるかやってみると…」と
言うことだから、リレー設定を見直せば良いのではないかと思います。


No.2680 投稿時間:2004年02月29日(Sun) 16:43 投稿者名:けんじ URL:
タイトル:Re: WANからの送受信はRelayの設定


> ポイントは、「WAN側からも送受信できるかやってみると…」と
> 言うことだから、リレー設定を見直せば良いのではないかと思います。
なるほど、いいポイントだと思おもって main.cf のmynetworksに
#を付けてコメントにしたのですがダメでした。
メーラに表示される”ソケット エラー : 10061, エラー番号 : 0x800CCC0E”
とはどういう事なのかと考えています。


No.2682 投稿時間:2004年02月29日(Sun) 17:12 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:Postfixのログ(maillog)を見てください。

こんにちは。

> > ポイントは、「WAN側からも送受信できるかやってみると…」と
> > 言うことだから、リレー設定を見直せば良いのではないかと思います。
> なるほど、いいポイントだと思おもって main.cf のmynetworksに
> #を付けてコメントにしたのですがダメでした。
> メーラに表示される”ソケット エラー : 10061, エラー番号 : 0x800CCC0E”
> とはどういう事なのかと考えています。

 メーラの表示ではなく、U-mexさんも言っているとおり、Postfixのログ(maillog)を見なければ先に進みませんよ。
 ソケットエラーですから、Postfixが動いていない可能性もありますので、ますますmaillogを見なければなりません。
「mynetworksに #を付けてコメントにした」とありますが、これはまったく逆の行為で、意味もなくリレーの設定をいじっていると気が付いたときにはSPAMの踏み台になっていたなんてことにもなりかねませんので、注意してください。30分でやられた方を知っています。
 おやじのHPのRedhat編を見られたら、幾分分かり安いと思います。「WAN側からも送受信できるかやってみると…」とありますが、Postfix(SMTP)はリレーエージェントですから、どこから、どこへが重要です。どこ宛かが書いてないので対策が見えてきません。
あまり参考になりませんが、HPの「メールサーバの構築」の絵を見て、中継のひとつずつをつぶして行ってはどうですか。
 要はリレーの設定がまずいのだと思います。


No.2699 投稿時間:2004年03月01日(Mon) 17:10 投稿者名:けんじ URL:
タイトル:サーバに接続できました。でも。。。

こんばんわ。

>  メーラの表示ではなく、U-mexも言っているとおり、Postfixのログ(maillog)を見なければ先に進みませんよ。

maillogを参考にすればよいということを知りませんでした。勉強になります。
WAN側からの試験に使っているダイアルアップ モデムのtcp/ipのプロパティ
のDNSを使わないを選択するとサーバに接続できました。でも、なぜDNSを使わ
ないを選択するとサーバに接続できるのか疑問です。
また、他のドメインに送信しようとすると
ログにRecipient address rejected: Relay access denied;と表示され
送信できないんです。リレー制限がかかっているのでとは思うのですが
友人と共同でメールサーバを利用する場合、SMPTサーバは各人が加入し
ているプロバイダのサーバを利用するのがよいでしょうか?
それともpostfixの設定を工夫すれば安全に共同で使うサーバを運用でき
ますか?


No.2704 投稿時間:2004年03月01日(Mon) 23:06 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:SMTP時の認証が必須です。

こんばんは。

>
> >  メーラの表示ではなく、U-mexも言っているとおり、Postfixのログ(maillog)を見なければ先に進みませんよ。

 まずは、U-mexさんにお詫びを。片手間でResしていて敬称が抜けてしまいました。
大変失礼をしました。おやじのカキコだけは修正させていただきました。

> maillogを参考にすればよいということを知りませんでした。勉強になります。
> WAN側からの試験に使っているダイアルアップ モデムのtcp/ipのプロパティ
> のDNSを使わないを選択するとサーバに接続できました。でも、なぜDNSを使わ
> ないを選択するとサーバに接続できるのか疑問です。

 まず、ダイヤルアップで試験されるときは、LAN接続を無効にしなければなりません。
何故なら、その端末から見て、インターネット接続環境がLANとダイヤルアップの2つが
見えてしまうので、ルーティングがおかしくなってしまうからです。
ダイヤルアップの場合、アクセスポイントに接続したときに、使用できるDNSがクライアント
に通知されるので、クライアントはそれを使用してアクセスします。
何故消したらうまくいったかは、内部の動作なのでなんともいえませんが、LANを無効に
すれば論理的にもおかしくなる要素はありませんし、いつもおやじはそうしていて、
完全に動作しています。

> また、他のドメインに送信しようとすると
> ログにRecipient address rejected: Relay access denied;と表示され
> 送信できないんです。リレー制限がかかっているのでとは思うのですが

 説明上、変なところで切りますが、何もしないでこれができたら、だれでもこのSMTPサーバ
を使って送信できてしまいますよね。つまり不正リレーです。デフォルトでは当然フェール
セーフでできないようになっています。これを可能にするのが、SMTP-AUTH(ユーザ認証ができた
らリレーを許可)やPOP before SMTP(POPで認証ができたユーザを一定時間だけ送信可能)です。
外部からだとユーザを特定しないと大変なことになりますよね。

> 友人と共同でメールサーバを利用する場合、SMPTサーバは各人が加入し
> ているプロバイダのサーバを利用するのがよいでしょうか?

 自信がないならこれも1つの解でしょう。メーラのreply toをこのサーバにしておけば、
返事だけはこちらにきます。

> それともpostfixの設定を工夫すれば安全に共同で使うサーバを運用でき
> ますか?

 前記のとおりで、SMTP-AUTHやPOP before SMTPを導入すればできます。HPを参考にして
ください。もう1つの手は、Webmailを使うというのもあります。


No.2711 投稿時間:2004年03月03日(Wed) 16:31 投稿者名:けんじ URL:
タイトル:ありがとうございます。

こんばんは。

>  前記のとおりで、SMTP-AUTHやPOP before SMTPを導入すればできます。HPを参考にして
> ください。もう1つの手は、Webmailを使うというのもあります。
HPを拝見しました。懇切丁寧に書かれておられますね!かなり参考になります。
メールサーバをやっと立ち上げ始めたばかりですので、これからSMTP-AUTHやPOP before
SMTPも試してみたいと考えています。これからも、ご鞭撻よろしくお願い致します。


No.2670 投稿時間:2004年02月28日(Sat) 00:28 投稿者名:U-mex URL:
タイトル:iptablesの確認は?

材料が乏しいので判断しづらいですが、可能性と思われるものを1つ1つ
潰して行ったらいいでしょう。
まずは、iptablesの状態確認してみては。



掲示板▲頁先頭