Top過去ログ目次掲示板

作成日:2005年12月12日 作成:おやじ
掲示板で過去に質問された内容です。

No.5451 Postfix設定とSpam


No.5451 投稿時間:2005年12月12日(Mon) 18:09 投稿者名:ぽよん URL:
タイトル:Postfix設定とSpam

以前まではTurboLinuxで自宅サーバーを運営していたのですが
このたびCentOSに乗り換えるにあたり、おやじ様のサイトが大変参考になりました。
まずはお礼申し上げます。

早速、表題の件なのですが存在しないアカウント宛のspamに関してです。
おやじ様のサイト内容を参考にしてCentOS4.2上にyumでPostfixをインストールし、
aliasesの修正は/etc/postfix/aliasesではなく、
初めから存在していた/etc/aliasesの方を修正しました。
こちらのファイルではpostfixを初め、色々なデーモン用アカウント(?)が
root宛になっていたのでメールチェックの関係上、最下行に
root宛メールがメールチェック用一般ユーザーに配送されるよう書き加えただけです。

実際にテスト運用してみたところ、LogWatchなどのroot宛メールが
期待通り一般ユーザー宛に届くようにはなっていたのですが
accounting/support/mail等の存在しないアカウント宛のSpamも
メールボックスに貯まっているようです。

main.cfのlocal_recipient_mapsを空白にすることで
存在しないアカウント宛のメールを拒否する方法などをGoogleで見かけたのですが
完全に空白ではなく、$alias_mapsは残しておかないと
上記の設定したroot宛メール→一般ユーザー配送が動作してくれなくなりますよね?
それに初めから存在していた/etc/aliasesの中には
上記の存在しないアカウントのうち、mail→rootの記述だけはあり
他のaliasesに関しても勝手に削除してよいものやら悩みます。

この辺りみなさんはどのように運用されているのでしょうか?


No.5453 投稿時間:2005年12月13日(Tue) 20:13 投稿者名:おやじ URL:
タイトル:「local_recipient_maps=」の説明は全く逆です。

> 早速、表題の件なのですが存在しないアカウント宛のspamに関してです。
> おやじ様のサイト内容を参考にしてCentOS4.2上にyumでPostfixをインストールし、
> aliasesの修正は/etc/postfix/aliasesではなく、
> 初めから存在していた/etc/aliasesの方を修正しました。
> こちらのファイルではpostfixを初め、色々なデーモン用アカウント(?)が
> root宛になっていたのでメールチェックの関係上、最下行に
> root宛メールがメールチェック用一般ユーザーに配送されるよう書き加えただけです。
>
> 実際にテスト運用してみたところ、LogWatchなどのroot宛メールが
> 期待通り一般ユーザー宛に届くようにはなっていたのですが
> accounting/support/mail等の存在しないアカウント宛のSpamも
> メールボックスに貯まっているようです。
>
> main.cfのlocal_recipient_mapsを空白にすることで
> 存在しないアカウント宛のメールを拒否する方法などをGoogleで見かけたのですが
> 完全に空白ではなく、$alias_mapsは残しておかないと
> 上記の設定したroot宛メール→一般ユーザー配送が動作してくれなくなりますよね?
> それに初めから存在していた/etc/aliasesの中には
> 上記の存在しないアカウントのうち、mail→rootの記述だけはあり
> 他のaliasesに関しても勝手に削除してよいものやら悩みます。

「local_recipient_maps=」の説明は全く逆で、こうするとローカル受信者のチェックは無効になって、$mydestination 他にマッチすれば存在しないユーザも全て受信してしまいます。デフォルトでは下記になっているはずですが、一応設定しておけば、UNIXパスワードがるユーザとalias定義されているユーザ以外は拒否されます。従って、不要と思うaliasをコメントアウトすれば受信しなくなります。ただし、ソフトによってはデフォルトのままでは存在しないユーザ宛にエラーメールを送ってきたりするので、この方法での受信拒否は要注意です。

local_recipient_maps = unix:passwd.byname $alias_maps


No.5455 投稿時間:2005年12月14日(Wed) 14:12 投稿者名:ぽよん URL:
タイトル:Re: 「local_recipient_maps=」の説明は全く逆です。

> local_recipient_maps = unix:passwd.byname $alias_maps

ご回答ありがとうございます。
postconf -dのリスト中に上記の通りの内容が存在しており、
postconf -nのリスト中には存在しなかったので
とりあえずmailer-daemon、postmasterとrootのaliasのみにしてみました。

テストメールを送信してみたところ、
spam受信していたaccounting、support等のアカウント宛メールは
ユーザーとして存在しないため550 User unknownが返ることが確認できたのですが
mailユーザーは存在しており、/var/spool/mailがホームディレクトリになっているので
そこにMaildirが作られてメールが貯まってしまうようでした。
一方でdovecot、apache等のデーモン実行ユーザーに関してはホームディレクトリがあっても
mailユーザーへの書込権限がないのでMaildirが作られることはないようですが…

これはやはりmailとデーモン実行ユーザーに関しては
元通りroot宛のaliasを残しておいて
クライアント側(あるいはサーバー側)に別途スパム対策ソフトをインストールして
削除or振り分けされるのを期待する、またはどうせスパム業者も
エラーかどうかなどチェックしていない気がするので
あきらめるしかないのでしょうか…?

> ただし、ソフトによってはデフォルトのままでは存在しないユーザ宛にエラーメールを送ってきたりするので、この方法での受信拒否は要注意です。

この一文に関しては意味がよくわかりませんでした。
「ソフト」というのはどこのソフトの話でしょうか?
また「要注意」というのが何が問題で何に注意すべきなのかがわかりません。
詳しいご説明をいただけるとうれしいです。

# ところで今回のスレッドからは少しそれるかもしれませんが
# AntiVir UNIX MailGateのライセンス体系が変わったようですね?
# ホームページ構成も変わってしまっているようで
# おやじ様のサイト内で紹介されているユーザー登録ページへのリンクが切れていました。


No.5457 投稿時間:2005年12月14日(Wed) 22:15 投稿者名:おやじ URL:
タイトル:全てを見通せて、設定漏れがなければよいのですが・・。

> > local_recipient_maps = unix:passwd.byname $alias_maps
>
> ご回答ありがとうございます。
> postconf -dのリスト中に上記の通りの内容が存在しており、
> postconf -nのリスト中には存在しなかったので
> とりあえずmailer-daemon、postmasterとrootのaliasのみにしてみました。
>
> テストメールを送信してみたところ、
> spam受信していたaccounting、support等のアカウント宛メールは
> ユーザーとして存在しないため550 User unknownが返ることが確認できたのですが
> mailユーザーは存在しており、/var/spool/mailがホームディレクトリになっているので
> そこにMaildirが作られてメールが貯まってしまうようでした。
> 一方でdovecot、apache等のデーモン実行ユーザーに関してはホームディレクトリがあっても
> mailユーザーへの書込権限がないのでMaildirが作られることはないようですが…
>
> これはやはりmailとデーモン実行ユーザーに関しては
> 元通りroot宛のaliasを残しておいて
> クライアント側(あるいはサーバー側)に別途スパム対策ソフトをインストールして
> 削除or振り分けされるのを期待する、またはどうせスパム業者も
> エラーかどうかなどチェックしていない気がするので
> あきらめるしかないのでしょうか…?
>
> > ただし、ソフトによってはデフォルトのままでは存在しないユーザ宛にエラーメールを送ってきたりするので、この方法での受信拒否は要注意です。
>
> この一文に関しては意味がよくわかりませんでした。
> 「ソフト」というのはどこのソフトの話でしょうか?
> また「要注意」というのが何が問題で何に注意すべきなのかがわかりません。
> 詳しいご説明をいただけるとうれしいです。

具体的にこれとこれ、とは言いにくいのですが、一番簡単な例でいうとApacheでCGIでメールを送ったりすると相手不明で戻ってきたりしますが、CGIにもよりますがそのときのユーザはApacheユーザなので、この設定がないと受け取れなくなりますし、550で返すのは明らかにおかしな話です。こういう状況を全て拾いきれないし、このメールが受け取れないと別の意味で問題がでますから、基本的には全て受信してSpamassassin等で処理するのがよいと思います。むやみに拒否すると、必要はものまで受け取れなくなる恐れがあります。
>
> # ところで今回のスレッドからは少しそれるかもしれませんが
> # AntiVir UNIX MailGateのライセンス体系が変わったようですね?
> # ホームページ構成も変わってしまっているようで
> # おやじ様のサイト内で紹介されているユーザー登録ページへのリンクが切れていました。

そのようですね。おやじは夏にライセンスを取り直しているのでまだ大丈夫のようですが、なるべく早くF-Protに乗り換えようと思います。
アップデートが早く非常によかったのですが、残念です。


No.5459 投稿時間:2005年12月15日(Thu) 10:30 投稿者名:ぽよん URL:
タイトル:Re: 全てを見通せて、設定漏れがなければよいのですが・・。

> 具体的にこれとこれ、とは言いにくいのですが、一番簡単な例でいうとApacheでCGIでメールを送ったりすると相手不明で戻ってきたりしますが、CGIにもよりますがそのときのユーザはApacheユーザなので、この設定がないと受け取れなくなりますし、550で返すのは明らかにおかしな話です。こういう状況を全て拾いきれないし、このメールが受け取れないと別の意味で問題がでますから、基本的には全て受信してSpamassassin等で処理するのがよいと思います。むやみに拒否すると、必要はものまで受け取れなくなる恐れがあります。

わかりやすい説明ありがとうございます。
今のところはメールボックスを圧迫するほどのスパム被害があるわけでもないですし
また、それが原因で必要なメールが受け取れなくなるということもなさそうですので
既存のalias定義を削除するのはやめて
様子を見てスパム対策ソフトを導入する方向で検討したいと思います。
ありがとうございました。



掲示板▲頁先頭