[postfix-jp:02715] Re: バーチャルドメインでのコマンドへのパイプ

[Hideo NAKAMITSU <nomo@xxxxxxxxxxxxx>]

中満です．

On Thu, 10 Apr 2003 08:39:01 +0900
HAYAKAWA Hiroshi <hayakawa@xxxxxxxxxxxxxxx> wrote:

> 仕様の意図まではなかなか理解が難しいのですが、
> なぜにバーチャルエイリアスで
> コマンドやファイルへのエイリアスが実装されていないのかという点に
> やや興味を持っています。
> セキュリティ的な面で問題が起きるのでしょうか。
> 
> 期待としては、
> バーチャルでないドメインの/etc/postfix/aliasesと同じ書式で
> バーチャルドメインのエイリアス設定が書けて欲しいですね。
> /etc/postfix/main.cfで
> バーチャルドメインごとにエイリアス設定ファイルを指定するとか、
> /etc/postfix/virtual中でApacheのコンテナ形式で囲むとかになれば、
> 複数のドメインを（設定面で）スマートに共存させられる気がします。

http://www.kobitosan.net/postfix/jhtml/faq.html#virtual_command
ということらしいです．

もしvirtual_mapsでパイプを使い，あるドメインだけメールのフィルタ処理
を行うような場合，ユーザのホームディレクトリへ書き込むためのroot権限，
正確にはsetuid(), setgid()が必要な場合があるからということでしょうか．

virtual_minimum_uid = 5000
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000

のように，すべてのメールボックスの権限が同じであっても，virtualデーモンが
uid:5000, gid:5000で動作する必要がありますね．

virtualデーモンの権限(セキュリティ)を重要視すると，どうしても今の仕様に
なってしまうのだと思います．

/* -----------------------------------
Hideo NAKAMITSU <nomo@xxxxxxxxxxxxx>
http://solaris.bluecoara.net/
----------------------------------- */