[postfix-jp:03674] Re: relayhost について

["IWAMOTO, Kouichi" <sue@xxxxxxxxx>]

岩本といいます。

On Mon, 10 Nov 2003 18:02:58 +0900
postfix_general <postfix_general@xxxxxxxxxxx> wrote:

> >・mynetworksが適切に設定されている(外部メールサーバが含まれない)
> ここで、質問したいのですが外部メールサーバが含まれる場合
> どの様にすればいいのでしょうか？
> 
> 外部メールサーバ(192.168.0.1)
> 内部メールサーバ(192.168.0.2)

信頼出来ないクライアント(外部メールサーバ)が同じネットワーク内にいる場合、
mynetworksを細かく指定しないといけなくなるので、面倒ですよね。
例えば、

[main.cf]
mynetworks =
 	192.168.0.2/31,
 	192.168.0.4/30,
 	192.168.0.8/29,
 	192.168.0.16/28,
 	192.168.0.32/27,
 	192.168.0.64/26,
 	192.168.0.128/25

とか、

[main.cf]
mynetworks = /usr/local/etc/postfix/mynetworks_list

[mynetworks_list]
192.168.0.2
192.168.0.3
  :
〜略〜
  :
192.168.0.253
192.168.0.254

等のようにする必要があります。
ただ今回の場合は、permit_mynetworksの前にcheck_client_accessで
192.168.0.1をはじくようにすれば大丈夫だと思います。

[main.cf]
mynetworks = 192.168.0.0/24
smtpd_recipient_restrictions =
 	permit_auth_destination,
 	check_client_access hash:/usr/local/etc/postfix/untrusted_clients,
 	check_sender_access hash:/usr/local/etc/postfix/permitted_users,
 	reject

[untrusted_clients]
192.168.0.1  		REJECT


On Mon, 10 Nov 2003 19:04:23 +0900
Hideo NAKAMITSU <nomo@xxxxxxxxxxxxx> wrote:

> > これは、検討しまして現状はfromアドレスのみで判断しようと思っています。
> 
> ホスティングの管理者やってると，正規ユーザのFromになりすます
> スパムメールもしくはワームってかなり多い(多すぎ)なことに気が付きます．
> 
> # もうお決めになられたようですが，別の方に迷惑をかける場合もありますので
> # 参考情報として．

そうですね。
単純にFromアドレスだけで中継を許可すると、不正中継の餌食になってしまいます。
ただ、今回私が書いた設定例では、“Fromアドレスが登録されている”&&
“クライアントがmynetworksに含まれる”時のみ中継を許可するようにしているので、
この設定が原因で周りに迷惑をかけるという事はないと思います。


On Mon, 10 Nov 2003 19:26:40 +0900
postfix_general <postfix_general@xxxxxxxxxxx> wrote:

> [permitted_users]の書き方が間違っていて、訂正したら問題なく動作している
> のですが、これで大丈夫なのでしょうか？

希望通りに動いているのならば、大丈夫でしょう。
ただ最初に書いた通り、外部メールサーバは信頼出来ないクライアントになるので、
mynetworksに含めないか、check_client_accessでREJECTする必要があります。

> それと、現状はfromでのフィルタリングは出来た？と思うのですが
> これをtoでも同じようなフィルタリングを行いたいのですが、出来るのでしょう
> か？

内部メールサーバに設定を追加する事によっても出来ると思いますが、
外部メールサーバで制限をするようにした方が簡単だと思います。

・例外条件(特定のFromのみ未登録ユーザへも配送する等)が無い
・送信制限と同じアドレスに対して受信許可をする

という条件でいいならば、relay_recipient_mapsを使う方法が簡単だと思います。

permitted_usersを外部メールサーバにコピーし、
relay_recipient_maps = hash:/usr/local/etc/postfix/permitted_users
を追加すればいいです。

例外条件がある場合は、smtpd_recipient_restrictionsで制限する必要があります。


On Mon, 10 Nov 2003 21:28:54 +0900
Hideo NAKAMITSU <nomo@xxxxxxxxxxxxx> wrote:

> > 例えば、新入社員が外部にメールすることは会社の内部事情も知らないので危険
> > なので、外部に送信制限をかける。しかし、得意先A社に対してはメールのやり
> > 取りは許可する。
> > 部長は、外部にメールアドレスを教えているので、外部とのやり取りは許可する。
> > などの用途です。
> > 
> > なので、部長の許可は出来たと思うのですが、得意先A社に対してのメールの送
> > 信許可を現在設定しているところです。
> 
> なるほど．複雑な事情があったのですね．
> 最初から具体例を出していただければ解決も早いと思うのですが(^^;;;
> 
> で，ここまで複雑な処理を要するとなると
> http://www.hde.co.jp/mf/features/
> などの商用製品に頼った方が良いのかなと思います．
> 
> 社外のメールは必ず検閲というか添削したり，社員教育を徹底する方法が
> ありますが，それが難しいとなると恐らくかなり大きな組織なのでしょう．
> なので商用製品用の予算もあるんじゃないかなーと一人で勝手に思ったり．

複雑な制限をする場合は、商用製品を使う方が確かにいいかもしれませんね。
複雑になると思わぬ所に穴ができてしまうかもしれませんし。
ですが、敢えてPostfixで制限する場合の設定例を書いてみます。

内部メールサーバの設定(主に送信制限)

[main.cf]
mynetworks = 192.168.0.0/24
smtpd_recipient_restrictions =
 	permit_auth_destination,
 	check_client_access hash:/usr/local/etc/postfix/untrusted_clients,
 	check_recipient_access hash:/usr/local/etc/postfix/customers,
 	check_sender_access hash:/usr/local/etc/postfix/permitted_users,
 	reject

[untrusted_clients] 	# 信頼できないクライアントのリスト
192.168.0.1  		REJECT

[customers] 		# 得意先のドメインまたはアドレスのリスト
example.co.jp 		permit_mynetworks
hoge@example.ne.jp 	permit_mynetworks

[permitted_users] 	# 外部への送信を許可されたアドレスのリスト
foo1@foo.example.com 	permit_mynetworks
bar2@foo.example.com 	permit_mynetworks


外部メールサーバの設定(主に受信制限)

[main.cf]
smtpd_recipient_restrictions =
 	permit_mynetworks,
 	check_sender_access hash:/usr/local/etc/postfix/customers,
 	check_recipient_access hash:/usr/local/etc/postfix/permitted_users,
	reject

[customers] 		# 得意先のドメインまたはアドレスのリスト
example.co.jp 		permit_auth_destination
hoge@example.ne.jp 	permit_auth_destination

[permitted_users] 	# 外部からの受信を許可されたアドレスのリスト
foo1@foo.example.com 	OK
bar2@foo.example.com 	OK


今まで出て来た要件はすべて反映できていると思います。
また、得意先への送信が可能ならば得意先からの受信もしたくなるだろう
と思うので、その設定も追加してあります。

restriction_classを使えば、内部メールサーバまたは外部メールサーバの
片方に設定をまとめる事ができると思いますが、かなり複雑になりそうです。

-- 
いわもと こういち(sue@xxxxxxxxx)
# なるようになれ、明日もイケイケ♪