投稿2020/09/15 00:05
編集2020/09/15 23:08postfixを用いてメールサーバーを構築しておりますが、SMTP認証についてややわからない部分があります。
単純な設定ミスや「SMTP認証とは?」がわかっていない部分があるのかもしれませんがご教示いただけないでしょうか。
<やりたいこと>
以下を満たすメールサーバーを構築したいです。
・GIPを持ちインターネットと直接つながるメールリレーサーバー(MTA)としたい。
・PostfixおよびDovecotで構築。
・SMTPS、POP3Sに対応。
・SMTP認証機能を有効にする。
<困っていること>
・書籍やネットの情報を参考にSMTP認証の設定をしたのですが、25番ポートでの認証が有効になってしまっているようです。(インターネット上の不特定のIPアドレスから認証失敗したようなログが大量に出ています・・・)
ログ
warning: unknown[xx.xx.xx.xx]: SASL LOGIN authentication failed: **********
<関係しそうな設定箇所>
関係していそうな設定箇所の設定値は以下の通りです。
main.cf
smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth broken_sasl_auth_clients = yes smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination smtpd_relay_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination,check_policy_service unix:private/policyd-spf
master.cf
smtp inet n - n - - smtpd #smtp inet n - n - 1 postscreen #smtpd pass - - n - - smtpd #dnsblog unix - - n - 0 dnsblog #tlsproxy unix - - n - 0 tlsproxy #submission inet n - n - - smtpd # -o syslog_name=postfix/submission # -o smtpd_tls_security_level=encrypt # -o smtpd_sasl_auth_enable=yes # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions # -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING smtps inet n - n - - smtpd # -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING
master.cfについて、smtp配下にある「-o smtpd_recipient_restrictions=permit_sasl_authenticated,reject」をコメントアウトしているので、25番ポートを用いたSMTP時に認証は働かないと思っているのですが・・・。
<以下追記です。2020/09/16>
改めて確認してみたところ、main.cfの中に以下の記述があります。
main.cf
smtpd_client_restrictions = permit_mynetworks, check_client_access hash:/etc/postfix/access, reject_rbl_client zen.spamhaus.org, reject_non_fqdn_sender, reject_unknown_sender_domain smtpd_sender_restrictions = permit_mynetworks, reject_rhsbl_sender zen.spamhaus.org, reject_unknown_sender_domain
この場合、「smtpd_client_restrictions」によって、基本的にmynetworksや正規のメールサーバー以外からはSMTP接続を受け付けない、と思っていたのですが、不明なGIPが25番ポートのSMTP認証まで到達しているのはなぜなのでしょうか?(オプションンの優劣でしょうか…)
またもし仮にSMTP認証が突破されたとしても、「smtpd_sender_restrictions」によって、宛先ドメインが不明もしくは接続元IPアドレスがブラックリストに載っている場合はメールは送信されないとの認識で問題ないでしょうか?
(ブラックリストに載っている場合はそもそも前段ではじかれると思いますが・・・)
回答2件
0
ベストアンサー
・現設定のままだとSMTP認証が突破されてしまうと、突破されたアカウントからはオープンリレー状態になるという認識で間違いないでしょうか?
正しく SMTP 認証されたものはリレーが許可されます。
465 番ポートでも。
認証済みのものを「オープンリレー」と呼ぶかどうかはさておき。
・[smtpd_sasl_auth_enable = yes]を削除した場合、smtpd_recipient_restrictionsやsmtpd_relay_restrictionsに記載している[permit_sasl_authenticated]はどのように動作するのでしょうか?(SMTPはmynetworksだけで判断し、SMTPSはmynetworksとsasl_authenticated両方で判断になるのでしょうか?)
25 番ポートでは SMTP 認証は無効になりますので、permit_sasl_authenticated が真になることはありません(sasl_authenticated が無視される)。
465 番ポートでは、permit_sasl_authenticated の判定が有効です。
投稿2020/09/15 05:37
総合スコア12173
0
main.cf の smtpd_sasl_auth_enable = yes 設定が 25 番ポートの smtpd にも有効です。
master.cf の smtps (465 番ポート) で smtpd_sasl_auth_enable = yes が有効なので、main.cf 側では smtpd_sasl_auth_enable を削除/コメントアウトするといいと思います。
投稿2020/09/15 00:56
総合スコア12173
あなたの回答
tips
プレビュー
Q&A
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/09/15 05:38
2020/09/15 06:02
2020/09/15 06:13
2020/09/15 23:11
2020/09/15 23:21
2020/09/16 00:16