こんばんは、初めまして。バードンと申します。
おやじ様のページ、何時も困ったときに拝見させて頂き、また勉強させて頂いておりますm(_ _)m
実は、もう直ぐFredra Core1に乗り換える積りなのですが、練習を兼ねて以前、購入....挫折し
たRedhat8.0でメールサーバーを立て様としています。
Redhat8.0なのでおやじ様のページに書いてある事が、そのまま当てはまりますが、今一歩のところで
挫折しそうになっています。どうかお助けください。
取り合えず、手元のPCにRedhatをインストールを済ませ、Postfixの設定(mail.cfの書き換え、
プログラムの置換など....)を済ませました。
その後、おやじ様もやっておられる『dyndns.org』にてサブドメインを取得(hoge.dyndns.org)、
mail Exchangeの欄に自ドメイン(hoge.dyndns.org)を設定しました。
序でと言っては、何なのですが、Apacheも起ち上げ、おやじ様の所の「wwwサーバーテスト」で、
テストページが見える事も確認しました。
ですが、いざメールを送ろうと思い、OutlookExpressでアカウントを作り、サーバーの欄
に『hoge.dyndns.org(送受信共)』を設定してテストメールを送ろうとしましたら、
OutlookExpressが、『サーバーは接続を解除しました。 サーバーまたはネットワークに
問題があるか...』等と言って送信してくれません(T0T)
何故なんでしょうか?色々とmain.cfを書き換え、何度もトライしたのですが駄目でした。
因みにローカルIPを入れれば、送受信共問題なく出来ます。
只、ローカルIPでは、外部にいる友人に使って貰えないので、困っております。
おやじ様、何とかお知恵をお貸し頂けませんでしょうか?m(_ _)m
大変長文になってしまって誠に申し訳在りません。序でではありますが、以下にpostconf -n
の出力結果を貼り付けておきます。何卒、お助け下さいませm(_ _)m
---------------------------出力結果 始まり-------------------------------------------------
alias_database = hash:/etc/postfix/aliases
alias_maps = hash:/etc/postfix/aliases
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/libexec/postfix
debug_peer_level = 2
default_destination_concurrency_limit = 10
default_privs = nobody
in_flow_delay = 1s
inet_interfaces = all
local_recipient_maps = $alias_maps unix:passwd.byname
mail_owner = postfix
mail_spool_directory = /var/spool/mail
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
mydestination = $myhostname, localhost.$mydomain, $mydomain, mail.$mydomain, www.$mydomain, ftp.$mydomain
mydomain = fresh-tomato.dyndns.org
myhostname = mail.fresh-tomato.dyndns.org
mynetworks_style = class
myorigin = $myhostname
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix-1.1.11/README_FILES
relay_domains = $mydestination
relayhost = gateway.my.domain
sample_directory = /usr/share/doc/postfix-1.1.11/samples
sendmail_path = /usr/sbin/sendmail
setgid_group = postdrop
smtpd_banner = $myhostname ESMTP $mail_name
soft_bounce = no
-----------------------------出力結果 終わり-----------------------------------------
ローカルIPで送受信出来ているんですよね?設定自体もナナメ読みですが間違ってはいないと思います。
解決としては/var/log/maillogのチェック dyndns.orgのMXレコード設定あたりが疑わしいかな?と
思っています。www はApache2のテストページが表示できているので、ルータとかiptablesとかが問題
の可能性は低いかな?その辺は大丈夫ですよね?
> こんばんは、初めまして。バードンと申します。
> おやじ様のページ、何時も困ったときに拝見させて頂き、また勉強させて頂いておりますm(_ _)m
>
> 実は、もう直ぐFredra Core1に乗り換える積りなのですが、練習を兼ねて以前、購入....挫折し
> たRedhat8.0でメールサーバーを立て様としています。
> Redhat8.0なのでおやじ様のページに書いてある事が、そのまま当てはまりますが、今一歩のところで
> 挫折しそうになっています。どうかお助けください。
>
> 取り合えず、手元のPCにRedhatをインストールを済ませ、Postfixの設定(mail.cfの書き換え、
> プログラムの置換など....)を済ませました。
> その後、おやじ様もやっておられる『dyndns.org』にてサブドメインを取得(hoge.dyndns.org)、
> mail Exchangeの欄に自ドメイン(hoge.dyndns.org)を設定しました。
> 序でと言っては、何なのですが、Apacheも起ち上げ、おやじ様の所の「wwwサーバーテスト」で、
> テストページが見える事も確認しました。
> ですが、いざメールを送ろうと思い、OutlookExpressでアカウントを作り、サーバーの欄
> に『hoge.dyndns.org(送受信共)』を設定してテストメールを送ろうとしましたら、
> OutlookExpressが、『サーバーは接続を解除しました。 サーバーまたはネットワークに
> 問題があるか...』等と言って送信してくれません(T0T)
>
> 何故なんでしょうか?色々とmain.cfを書き換え、何度もトライしたのですが駄目でした。
> 因みにローカルIPを入れれば、送受信共問題なく出来ます。
>
> 只、ローカルIPでは、外部にいる友人に使って貰えないので、困っております。
> おやじ様、何とかお知恵をお貸し頂けませんでしょうか?m(_ _)m
> 大変長文になってしまって誠に申し訳在りません。序でではありますが、以下にpostconf -n
> の出力結果を貼り付けておきます。何卒、お助け下さいませm(_ _)m
>
> ---------------------------出力結果 始まり-------------------------------------------------
> alias_database = hash:/etc/postfix/aliases
> alias_maps = hash:/etc/postfix/aliases
> command_directory = /usr/sbin
> config_directory = /etc/postfix
> daemon_directory = /usr/libexec/postfix
> debug_peer_level = 2
> default_destination_concurrency_limit = 10
> default_privs = nobody
> in_flow_delay = 1s
> inet_interfaces = all
> local_recipient_maps = $alias_maps unix:passwd.byname
> mail_owner = postfix
> mail_spool_directory = /var/spool/mail
> mailq_path = /usr/bin/mailq.postfix
> manpage_directory = /usr/share/man
> mydestination = $myhostname, localhost.$mydomain, $mydomain, mail.$mydomain, www.$mydomain, ftp.$mydomain
> mydomain = fresh-tomato.dyndns.org
> myhostname = mail.fresh-tomato.dyndns.org
> mynetworks_style = class
> myorigin = $myhostname
> newaliases_path = /usr/bin/newaliases
> queue_directory = /var/spool/postfix
> readme_directory = /usr/share/doc/postfix-1.1.11/README_FILES
> relay_domains = $mydestination
> relayhost = gateway.my.domain
> sample_directory = /usr/share/doc/postfix-1.1.11/samples
> sendmail_path = /usr/sbin/sendmail
> setgid_group = postdrop
> smtpd_banner = $myhostname ESMTP $mail_name
> soft_bounce = no
> -----------------------------出力結果 終わり-----------------------------------------
こんばんは、おやじ様。バードンです
早速、ご返答下さって、有難うございますm(_ _)m
> ローカルIPで送受信出来ているんですよね?設定自体もナナメ読みですが間違ってはいないと思い
> ます。
有難うございます。はい、ローカルIPでは、問題なく送受信出来ています。
> 解決としては/var/log/maillogのチェック dyndns.orgのMXレコード設定あたりが疑わしいかな?と
> 思っています。www はApache2のテストページが表示できているので、ルータとかiptablesとかが問題
> の可能性は低いかな?その辺は大丈夫ですよね?
はい、ファイアーウォール、ルーティング関係は、確かめましたが、穴は開いていますし、
ルーティングも設定しております。
話が、飛んでしまって申し訳ありません。突然ですが、ご指摘下さったお陰で解決しそうですA^^;
今、この書き込みをしてる最中に『まさか!』と思いdyndnsのサイトを覗きに行きましたら、
Mail Exchangerの欄が、削除されていましたA^^;
もしかするとこのせいかも知れませんm(_ _)m
実は、コレガのルーター(BAR-Pro2)を使っていまして、ルーターの機能の中にあるdyndnsの自動更新機能を
使って登録したのですが、ルーターのせいでしょうか?
まさかとは思いますが、登録後にmain.cfを触りまくったせいでしょうか?A^^;
何は兎も角、MXレコードが、消されていたからですね....済みませんでしたm(_ _)m
> 取り合えず、手元のPCにRedhatをインストールを済ませ、Postfixの設定(mail.cfの書き換え、
> プログラムの置換など....)を済ませました。
> その後、おやじ様もやっておられる『dyndns.org』にてサブドメインを取得(hoge.dyndns.org)、
おやじは、zive.orgです。
> mail Exchangeの欄に自ドメイン(hoge.dyndns.org)を設定しました。
> 序でと言っては、何なのですが、Apacheも起ち上げ、おやじ様の所の「wwwサーバーテスト」で、
> テストページが見える事も確認しました。
> ですが、いざメールを送ろうと思い、OutlookExpressでアカウントを作り、サーバーの欄
> に『hoge.dyndns.org(送受信共)』を設定してテストメールを送ろうとしましたら、
> OutlookExpressが、『サーバーは接続を解除しました。 サーバーまたはネットワークに
> 問題があるか...』等と言って送信してくれません(T0T)
>
> 何故なんでしょうか?色々とmain.cfを書き換え、何度もトライしたのですが駄目でした。
> 因みにローカルIPを入れれば、送受信共問題なく出来ます。
単に、クライアントのホスト名の名前解決でグローバルアドレスが帰ってくるので、ルータの
WAN側のアドレスにアクセスしようとしてアクセスできないだけではないでしょうか?
そのまま、ローカルIPで家庭内からは使用するか、hostsファイルなり内向きDNSなりでローカル
IPに名前解決できるようにしてあげればOKです。
> 只、ローカルIPでは、外部にいる友人に使って貰えないので、困っております。
これは、ローカルIPの問題ではありません。外部からは上記問題は起こらないので、ホスト名指定
で問題ありません。むしろリレー問題があるのでそちらの設定をしてあげなければ外部からは使用
できません。
下記のRedHat編を見て設定してください。
http://www.aconus.com/~oyaji/mail2/smtp-redhat.htm
再び、こんばんは。ご返答有難う御座います。
先述のdyndns.orgの設定問題の事もありますが、最後尾のURL、いつも拝見させて頂いており、
今回も教えて頂いたページの通りにやっていた.....積りでした(^^;
でもよくよく見ていると、saslの項を『多分、暗号化関係だろうから、飛ばしても良いかな....』と
途中で設定を止めていました。
怠けたのが、大きな間違いなんでしょうね....A^^;
本当に大騒ぎして申し訳在りませんでしたm(_ _)m
SASLの部分についても、至急に設定し、試してみる事にします。
後、親父様のコメントの一部で引っ掛かった部分が在るのですが、『むしろリレー問題があるので
そちらの設定をしてあげなければ外部からは使用できません。』の部分なのですが、まだmain.cf内
、もしくはその他の設定に問題ありでしょうか?
申し訳御座いませんが、もう少しヒント、アドバイス頂けませんでしょうか?m(_ _)m
> > 取り合えず、手元のPCにRedhatをインストールを済ませ、Postfixの設定(mail.cfの書き換え、
> > プログラムの置換など....)を済ませました。
> > その後、おやじ様もやっておられる『dyndns.org』にてサブドメインを取得(hoge.dyndns.org)、
>
> おやじは、zive.orgです。
>
> > mail Exchangeの欄に自ドメイン(hoge.dyndns.org)を設定しました。
> > 序でと言っては、何なのですが、Apacheも起ち上げ、おやじ様の所の「wwwサーバーテスト」で、
> > テストページが見える事も確認しました。
> > ですが、いざメールを送ろうと思い、OutlookExpressでアカウントを作り、サーバーの欄
> > に『hoge.dyndns.org(送受信共)』を設定してテストメールを送ろうとしましたら、
> > OutlookExpressが、『サーバーは接続を解除しました。 サーバーまたはネットワークに
> > 問題があるか...』等と言って送信してくれません(T0T)
> >
> > 何故なんでしょうか?色々とmain.cfを書き換え、何度もトライしたのですが駄目でした。
> > 因みにローカルIPを入れれば、送受信共問題なく出来ます。
>
> 単に、クライアントのホスト名の名前解決でグローバルアドレスが帰ってくるので、ルータの
> WAN側のアドレスにアクセスしようとしてアクセスできないだけではないでしょうか?
> そのまま、ローカルIPで家庭内からは使用するか、hostsファイルなり内向きDNSなりでローカル
> IPに名前解決できるようにしてあげればOKです。
>
> > 只、ローカルIPでは、外部にいる友人に使って貰えないので、困っております。
>
> これは、ローカルIPの問題ではありません。外部からは上記問題は起こらないので、ホスト名指定
> で問題ありません。むしろリレー問題があるのでそちらの設定をしてあげなければ外部からは使用
> できません。
> 下記のRedHat編を見て設定してください。
>
> http://www.aconus.com/~oyaji/mail2/smtp-redhat.htm
まず初めに、おやおや?さんは、おやじではありませんので失礼にあたるので注意願います。
> 再び、こんばんは。ご返答有難う御座います。
> 先述のdyndns.orgの設定問題の事もありますが、最後尾のURL、いつも拝見させて頂いており、
> 今回も教えて頂いたページの通りにやっていた.....積りでした(^^;
>
> でもよくよく見ていると、saslの項を『多分、暗号化関係だろうから、飛ばしても良いかな....』と
> 途中で設定を止めていました。
> 怠けたのが、大きな間違いなんでしょうね....A^^;
>
> 本当に大騒ぎして申し訳在りませんでしたm(_ _)m
> SASLの部分についても、至急に設定し、試してみる事にします。
下記を含めおやおや?さんへのレスを見ますと、どうもメールシステムの動作の全体像を掴めて
いないと思います。
まず、OEのサーバの設定でローカルIPアドレスでOK(ローカルからローカル?)で、ホスト名では
サーバに繋がらない件は、おやじのコメントを理解され納得されたのでしょうか?
どうも、理解できていない気がします。そもそも、OEが『サーバーは接続を解除しました。
サーバーまたはネットワークに問題があるか...』というのは、サーバに繋がっていない、
Postfixに繋がっていないという意味ですから、おやおや?さんが言っているMXレコードの件以前
の話であり、Postfixの設定の問題でもありません。
Webサーバの動作確認でよく話題になる話と同じで、クライアントのブラウザでローカルIPでアクセス
するとOKだが、グローバルIPやホスト名でアクセスするとタイムアウトする現象とまったく同じ話です。
下記のWebアクセスをSMTPアクセスと読み替えてよく見てみてください。
http://www.aconus.com/~oyaji/faq/apache_html3.htm
> 後、親父様のコメントの一部で引っ掛かった部分が在るのですが、『むしろリレー問題があるので
> そちらの設定をしてあげなければ外部からは使用できません。』の部分なのですが、まだmain.cf内
> 、もしくはその他の設定に問題ありでしょうか?
こちらは、上記を理解できてからと思いますが、HPに書いてあることを良く読んでもらえば全て書いて
あるつもりですが、要点だけ。
Postfixは不正中継されないようデフォルトでは、外部から外部への中継はできません。これが何も
しないでできたら、誰でもこのSMTPを使えるということですから、spamの踏み台になっておしまいですよね。
これを防止するための方法が、SMTP AUTHであったり、POP before SMTPです。つまりこのSMTPを使う
権利があるか認証を行うということです。
インターネットからインターネットの例がありませんが、下記を一回見てみてください。
http://www.aconus.com/~oyaji/mail2/mailserver.htm
自宅SMTPサーバの使い方としては4通りあります。四角を書いて、仮に左を家庭内ネットワーク、右側を
インターネットとしてみると、通信形態としては、
1. 左->SMTP->左
家庭内通信で、mydestinationとかmynetworksあたりの家庭内を特定する基本的な設定だけで通信可。
2. 左->SMTP->右
家庭内からインターネットへの通信で、サーバ機の送信先のドメイン名解決のためDNSを使うが、
サーバだからと設定していない方が時々いる。
3. 右->SMTP->左
インターネットから家庭内への通信。mydestinationとかmynetworksあたりの家庭内を特定する基本的な
設定だけで通信可。このとき、外部サーバやクライアントがバードンさんのドメイン名を牽くので、この
ときDDNSのMXレコードが問題となる。しかし、別にMXレコードがなければメールができないかというと、
そんなことはなく、Aレコードが牽ければ通信はできる。企業等で、外部に公開されていないサブドメイン
宛のメールを代表として受け取る場合などに、その代表サーバをMXレコードで指定するのであって、一台
しかない自鯖ならAレコードだけでも問題なし。
4. 右->SMTP->右
インターネットからインターネットへの通信。これが簡単にできたら不正中継されるので、認証を使う。
ということを踏まえて、もう一度RedHat編を見てもらえば、おやじの言っていることが理解できると思います。
メールは闇雲にやると後で痛い目にあいます。自信を持って、一つひとつの設定ができるようにしないと
コピペで動いても、なんの意味もありませんので、時間がかかっても是非しっかりと、設定されることを望みます。
こんばんは、バードンです。おやじ様、おやおや?様、返信下さって有難うございます。
返事が遅くなって申し訳在りません。
それと先ず初めに、おやおや様、おやじ様とは別の方だという事を認識出来ませんで、
申し訳御座いませんでした。この場で申し訳御座いませんが、お許しを請いたく存じます。
本当に申し訳御座いませんでした。陳謝致します<m(_ _)m>
> まず初めに、おやおや?さんは、おやじではありませんので失礼にあたるので注意願います。
以後、親父様への返信と致します。
色々とご迷惑をお掛けして申し訳御座いません。m(_ _)m
後になって、親父様のHomepageを隅から隅まで(?ではありますが)、拝見させて頂いて、
おやじ様が、一から書いて下さった内容を頭に叩き込んでいる最中です。
今現在、http://www.aconus.com/~oyaji/mail2/smtp-redhat.htm
から始めています。現在は、saslの設定に取り掛かって居ります。
今現在は、サーバーは、ネットワークから隔離しております。
他のページも色々と検索して廻り、おやじ様も書いて下さってますが、
『POP before SMTP』のページなんかを見ています。
ですが、簡単そうに書いてあるページも在るのですが、殆どのページが、『Dracを
インストールして....』云々と書かれていますので、やはり先にsaslの設定を
してからと思っています。
おやじ様が、仰っておられますが、MXレコードが引けてないからだとばかり、
思っておりましたが、Aレコードのみでメールサーバーの名前解決が、可能とは
思いませんでした。以前、Redhatで挫折したのも固定IPアドレスの取得が、高額だったのと
DNSの設定が、全くと言って良いほど理解出来なかったからです。前者は、言い訳に過ぎませんが...。
取り合えずですが、mynetworkの設定、mynetworks_syleの設定、relay_domainの設定辺りを
(といいますか運営ポリシーを)もう一度、見直して慎重に設定に当たりたいと思います。
最後になりましたが、おやおや?様、おやじ様、適切なアドバイス頂き、本当に有難う御座いました。
一筋の光が見えた気がします。m(_ _)m
和田民雄
こんにちは、Postfixでお世話になりました和田です。
何とかPostfix+SASLにてメールサーバーを立てる(外部からも送受信出来る)ことが出来ました。
親父様のお陰で御座います。有難う御座いました。
只、おやじ様のページに書いてある通りにやった訳ではなく、少しばかり
捻りが要りました(^^;
どうも素の8.0では駄目で、SASL、Postfix共にパッケージのアップグレードが必要な様
ですし、以下の様な作業が必要でした(偉そうに済みません...)
# cp /etc/sasldb /var/sppol/postfix/etc/sasldb
# chgrp postfix /var/spool/postfix/etc/sasldb
# chmod g+r /var/spool/postfix/etc/sasldb
以上ですが、これをやったら上手く動くというか溜まりに溜まったOE上の未配信の
メールが一気に出て行きましたA^^;
また送受信の試験に付き合ってくれた友人にも届いた様です。
友人のアカウントも作り、お互いに送り合いしましたが、問題なく送受信出来ました。
有難う御座いました。これも全ておやじ様のお陰です。深く感謝いたします。有難う御座いましたm(_ _)m
バードン
> どうも素の8.0では駄目で、SASL、Postfix共にパッケージのアップグレードが必要な様
> ですし、以下の様な作業が必要でした(偉そうに済みません...)
>
> # cp /etc/sasldb /var/sppol/postfix/etc/sasldb
> # chgrp postfix /var/spool/postfix/etc/sasldb
> # chmod g+r /var/spool/postfix/etc/sasldb
全てのコンテンツには書いてませんが、下記ようにchroot環境では/var/spool/postfixがルートになるので、上記操作が必要です。passwd等も注意してください。
http://www.aconus.com/~oyaji/mail2/smtp-auth-tls.htm#chroot
こんばんは、おやじ様。
いつも返事が遅くなって申し訳御座いません。
取り合えず、Postfix+Authのページまで読んで、
設定を終え、送受信が出来るようになったので、
喜んで居たのですが、実は、その後、友人側から
『受信は、出来るけど、送信不能!!』という返事が返って
来まして、どこがおかしいのかと色々と検索していて
幾らsaslpasswdのコマンドを叩いても外部からの送信だけ
が、不能なままだったので、Postfixを何回か、アンインストールしては、
インストールするという作業を繰り替えしまして、それでも駄目だったので
manを読んでみたり、ソースに添付のREADMEを見ている内に(と言いますか
実は、tarボールからのインストールではなく、rpmのspecの一部を書き換え
再ビルドしてインストールしました。)、以下の操作が必要だと言うような
記事が目に飛び込み、以下の操作をしました。
後で気が付いたのですが、以下の操作はchrootの操作だったんですね(^^;
『Postfixのページ』で『chrootの操作は推奨されていないよ。』と言うような
記事を見かけたんですが、僕自身が何故、危険なのかが理解出来ないので、
サーバーの電源を落として、今現在、調べ回っています。
何故、危険なのか、おやじ様、ご存知でしたらお教え下さいませんか?お願い致します。
で、話が、それましたが外部からの接続が、出来ないのは何故か調べている内に
先述の『Postfixのページ』のMLのログを見ていましたら、ふと『何て言うか
、smtpd.confは、/usr/lovucal/sbinに置いて使うのが当たり前なんですけど!』という
一文が目に飛び込み、『あれ?俺のsmtpd.confは、/usr/libにあるけど?(・・?』的な
事になってsmtpd.confを/usr/local/sbin以下に置いてみたところ、また送信トレイに溜まって
居たテストメールの山が、出て行きましたA^^;
#友人は、怒っていましたA^^;
とくだらない長文を書いてしまって済みません。
今、レス下さった、『SMTP-Auth+TLS』のページを見ながら
書いているのですが、今回、master.cfは触っていません。
SMTP-Auth+TLS+OE6でも動作するみたいな感じ(斜め読みです。済みません。)
なのでSMTP-Auth+TLSにするように再度、サーバーを設定し直します。
後、smtpd.confのおき場所についてですが、『実践 Postfix メールサーバー構築』という
ソーテック社発行の本にも書かれて在りました。灯台下暗しでした。
またこの本に寄りますと、Debianの場合だと書いて在るのですが、
『#ln /etc/sasldb /var/spool/postfix/etc/sasldb』とし、ハードリンクを
張りました。Redhatには『無効なハードリンクです。』と怒られたのですが....
問題ありでしょうか?
もし間違いが在ればご指摘頂ければ、嬉しいです。
長々と失礼致しました。よくおやじ様のページを拝見して、着実に設定するように
致します。
失礼致しますm(_ _)m
バードン
> > どうも素の8.0では駄目で、SASL、Postfix共にパッケージのアップグレードが必要な様
> > ですし、以下の様な作業が必要でした(偉そうに済みません...)
> >
> > # cp /etc/sasldb /var/sppol/postfix/etc/sasldb
> > # chgrp postfix /var/spool/postfix/etc/sasldb
> > # chmod g+r /var/spool/postfix/etc/sasldb
>
> 全てのコンテンツには書いてませんが、下記ようにchroot環境では/var/spool/postfixがルートになるので、上記操作が必要です。passwd等も注意してください。
>
> http://www.aconus.com/~oyaji/mail2/smtp-auth-tls.htm#chroot
> 後で気が付いたのですが、以下の操作はchrootの操作だったんですね(^^;
> 『Postfixのページ』で『chrootの操作は推奨されていないよ。』と言うような
> 記事を見かけたんですが、僕自身が何故、危険なのかが理解出来ないので、
何ででしょう。おやじは分かりません。chrootはセキュリティ強度をあげるための
方法であり、これによりpostfixは/var/spool/postfixをルートディレクトリとして
動作するので、これより上位のディレクトリにアクセスできないため、仮にsmtpが
乗っ取られてもいたずらできる範囲が限定できるので、安全と理解しています。
Apacheをchrootするパッチ等もあり、わざわざ悪くなることを誰がするのですか?
> サーバーの電源を落として、今現在、調べ回っています。
> 何故、危険なのか、おやじ様、ご存知でしたらお教え下さいませんか?お願い致します。
> で、話が、それましたが外部からの接続が、出来ないのは何故か調べている内に
> 先述の『Postfixのページ』のMLのログを見ていましたら、ふと『何て言うか
> 、smtpd.confは、/usr/lovucal/sbinに置いて使うのが当たり前なんですけど!』という
> 一文が目に飛び込み、『あれ?俺のsmtpd.confは、/usr/libにあるけど?(・・?』的な
> 事になってsmtpd.confを/usr/local/sbin以下に置いてみたところ、また送信トレイに溜まって
> 居たテストメールの山が、出て行きましたA^^;
使っているデストリや、rpmかソースから入れたか等で違いますので、分からないときは
おやじは、同じ環境の情報を探してます。
> #友人は、怒っていましたA^^;
>
> とくだらない長文を書いてしまって済みません。
> 今、レス下さった、『SMTP-Auth+TLS』のページを見ながら
> 書いているのですが、今回、master.cfは触っていません。
>
> SMTP-Auth+TLS+OE6でも動作するみたいな感じ(斜め読みです。済みません。)
> なのでSMTP-Auth+TLSにするように再度、サーバーを設定し直します。
> 後、smtpd.confのおき場所についてですが、『実践 Postfix メールサーバー構築』という
> ソーテック社発行の本にも書かれて在りました。灯台下暗しでした。
> またこの本に寄りますと、Debianの場合だと書いて在るのですが、
> 『#ln /etc/sasldb /var/spool/postfix/etc/sasldb』とし、ハードリンクを
> 張りました。Redhatには『無効なハードリンクです。』と怒られたのですが....
> 問題ありでしょうか?
> もし間違いが在ればご指摘頂ければ、嬉しいです。
これは、問題ありです。ハードリンクは異なるパーティション間では張れません。
つまり、/etc と /var が異なるパーティションにあるということで、リンクは
張れていません。
ただ、運用上はハードリンクのほうが、/etcが変更されても追従できるのでいいですが、
せっかくchrootしているのに/etcにハードリンクするのは本末転倒ではないでしょうか?
こんばんは、おやじ様。いつもお世話になって済みません。
> 何ででしょう。おやじは分かりません。chrootはセキュリティ強度をあげるための
> 方法であり、これによりpostfixは/var/spool/postfixをルートディレクトリとして
> 動作するので、これより上位のディレクトリにアクセスできないため、仮にsmtpが
> 乗っ取られてもいたずらできる範囲が限定できるので、安全と理解しています。
> Apacheをchrootするパッチ等もあり、わざわざ悪くなることを誰がするのですか?
すいません、↑について、僕も不思議だったのです。また持ち前の『合点の早さ(^^;』で、
そうなのか....と納得してしまうところだったのですが、よくよく無い頭を絞って、と言いますか
、調べて見ましたら(手元に『Fredora Core ビギナーズバイブル』という本があります。)、どうやら
Postfix2.0系とsasl2との組み合わせ環境で言われてる事らしいです。(手元の本に寄りますと)
まぁ、只、本には、噴出しで『Fedora Core1のPostfix2.0は、chroot環境で動作するようには設定されていません。これは、認証方式の活用が簡単なように考慮したものです。また開発者のWietse Venemaによって
推奨されてない事も、その理由の1つのようです』とありました。(毎日コミニケーションズ発行のもの
です。)
と言う事らしいので、Fredoraに乗り換えるのは、少し待ちますA^^;
どう考えてもおやじ様の仰る通り、chrootはセキュリティーを高める筈ですもんね。
古い記憶によると、確か、Bindを使ったDNSにもchrootが在るらしいですからね(挫折しましたが...
..A^^; )
> 使っているデストリや、rpmかソースから入れたか等で違いますので、分からないときは
> おやじは、同じ環境の情報を探してます。
そうですね。本当は、同じ環境、同じディストリビューションの情報を探すべきなんですが、
Google等で検索を掛けると、Vineの上ばかり引っ掛かるので、『まぁ、同じrpm環境なんだから
殆ど読み替えなくても良いかな...』と早合点して失敗してますA^^;
一応、読み替えるのはPATHの情報位ですが....。
というのもおやじ様のページを知らなかったからなんですが....特にspecファイルに因数を渡す(?)
方法『export POSTFIX_SASL=1』というコマンドの事を全く知りませんでした。
ですので、http://www.miloweb.net/smtpauth.html#2 で書かれている様にspecファイルを字かに
書き換えてリビルドしてました(_ _;
#もっと早くおやじ様のページを隅から隅まで見るべきでした...
> > #友人は、怒っていましたA^^;
> >
> > とくだらない長文を書いてしまって済みません。
> > 今、レス下さった、『SMTP-Auth+TLS』のページを見ながら
> > 書いているのですが、今回、master.cfは触っていません。
> >
> > SMTP-Auth+TLS+OE6でも動作するみたいな感じ(斜め読みです。済みません。)
> > なのでSMTP-Auth+TLSにするように再度、サーバーを設定し直します。
> > 後、smtpd.confのおき場所についてですが、『実践 Postfix メールサーバー構築』という
> > ソーテック社発行の本にも書かれて在りました。灯台下暗しでした。
> > またこの本に寄りますと、Debianの場合だと書いて在るのですが、
> > 『#ln /etc/sasldb /var/spool/postfix/etc/sasldb』とし、ハードリンクを
> > 張りました。Redhatには『無効なハードリンクです。』と怒られたのですが....
> > 問題ありでしょうか?
> > もし間違いが在ればご指摘頂ければ、嬉しいです。
>
> これは、問題ありです。ハードリンクは異なるパーティション間では張れません。
> つまり、/etc と /var が異なるパーティションにあるということで、リンクは
> 張れていません。
> ただ、運用上はハードリンクのほうが、/etcが変更されても追従できるのでいいですが、
> せっかくchrootしているのに/etcにハードリンクするのは本末転倒ではないでしょうか?
そうですよね....前にvsftpdでFTPサーバーを立てて、mp3ファイルを配り回ってたのですが、
同じ/home下でもユーザーが違うと怒られましたから....しかも今回は、わざわざ隠す為にchroot
しているのだから、/etcにハードリンク張るのは、本末転倒ですね。
よく判りませんが、saslpasswdを実行すれば、/etc/sasldbが更新されて、Postfixが読みに行くsadsldb
は、/var/spool/postfix/etc/sasldbですよね。何とか此処までは理解出来たのですが、どうすれば良い
のでしょうか?
スクリプトを書いて、cronなんかで定時的に更新するしかないのでしょうか?もしくは主導で小まめに
cpするしかないですか?
ちょっと実務的な仕事をしたことが無いので、良い案が、浮かびません。
取り合えず、ハードリンクは、切っておきます。
取り合えず、今夜は、これにて失礼致します。色々考えながら寝て見ます。
また寝れなくなりそうですが....(苦笑)
バードン
PS、このBBSの他の方の書き込みにもハードリンクに関する書き込みが在ったので、そちらも
参考にしてみますm(_ _)m
済みません。誤字脱字が多くて申し訳在りません。m(_ _)m
以上です。おやすみなさい....
バードン