質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
SMTP

SMTP(Simple Mail Transfer Protocol)はIPネットワークでemailを伝送する為のプロトコルです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Postfix

Postfixは、電子メールサーバソフトウェアで、 メールを配送するシステムMTAの一種です。

Q&A

解決済

2回答

4967閲覧

postfixのSMTP認証について

kuku

総合スコア15

SMTP

SMTP(Simple Mail Transfer Protocol)はIPネットワークでemailを伝送する為のプロトコルです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Postfix

Postfixは、電子メールサーバソフトウェアで、 メールを配送するシステムMTAの一種です。

0グッド

0クリップ

投稿2020/09/15 00:05

編集2020/09/15 23:08

postfixを用いてメールサーバーを構築しておりますが、SMTP認証についてややわからない部分があります。
単純な設定ミスや「SMTP認証とは?」がわかっていない部分があるのかもしれませんがご教示いただけないでしょうか。

<やりたいこと>
以下を満たすメールサーバーを構築したいです。
・GIPを持ちインターネットと直接つながるメールリレーサーバー(MTA)としたい。
・PostfixおよびDovecotで構築。
・SMTPS、POP3Sに対応。
・SMTP認証機能を有効にする。

<困っていること>
・書籍やネットの情報を参考にSMTP認証の設定をしたのですが、25番ポートでの認証が有効になってしまっているようです。(インターネット上の不特定のIPアドレスから認証失敗したようなログが大量に出ています・・・)
ログ

warning: unknown[xx.xx.xx.xx]: SASL LOGIN authentication failed: **********

<関係しそうな設定箇所>
関係していそうな設定箇所の設定値は以下の通りです。
main.cf

smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth broken_sasl_auth_clients = yes smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination smtpd_relay_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination,check_policy_service unix:private/policyd-spf

master.cf

smtp inet n - n - - smtpd #smtp inet n - n - 1 postscreen #smtpd pass - - n - - smtpd #dnsblog unix - - n - 0 dnsblog #tlsproxy unix - - n - 0 tlsproxy #submission inet n - n - - smtpd # -o syslog_name=postfix/submission # -o smtpd_tls_security_level=encrypt # -o smtpd_sasl_auth_enable=yes # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions # -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING smtps inet n - n - - smtpd # -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING

master.cfについて、smtp配下にある「-o smtpd_recipient_restrictions=permit_sasl_authenticated,reject」をコメントアウトしているので、25番ポートを用いたSMTP時に認証は働かないと思っているのですが・・・。

<以下追記です。2020/09/16>
改めて確認してみたところ、main.cfの中に以下の記述があります。
main.cf

smtpd_client_restrictions =   permit_mynetworks,   check_client_access hash:/etc/postfix/access, reject_rbl_client zen.spamhaus.org, reject_non_fqdn_sender, reject_unknown_sender_domain smtpd_sender_restrictions =   permit_mynetworks,   reject_rhsbl_sender zen.spamhaus.org,   reject_unknown_sender_domain

この場合、「smtpd_client_restrictions」によって、基本的にmynetworksや正規のメールサーバー以外からはSMTP接続を受け付けない、と思っていたのですが、不明なGIPが25番ポートのSMTP認証まで到達しているのはなぜなのでしょうか?(オプションンの優劣でしょうか…)
またもし仮にSMTP認証が突破されたとしても、「smtpd_sender_restrictions」によって、宛先ドメインが不明もしくは接続元IPアドレスがブラックリストに載っている場合はメールは送信されないとの認識で問題ないでしょうか?
(ブラックリストに載っている場合はそもそも前段ではじかれると思いますが・・・)

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

・現設定のままだとSMTP認証が突破されてしまうと、突破されたアカウントからはオープンリレー状態になるという認識で間違いないでしょうか?

正しく SMTP 認証されたものはリレーが許可されます。
465 番ポートでも。
認証済みのものを「オープンリレー」と呼ぶかどうかはさておき。

・[smtpd_sasl_auth_enable = yes]を削除した場合、smtpd_recipient_restrictionsやsmtpd_relay_restrictionsに記載している[permit_sasl_authenticated]はどのように動作するのでしょうか?(SMTPはmynetworksだけで判断し、SMTPSはmynetworksとsasl_authenticated両方で判断になるのでしょうか?)

25 番ポートでは SMTP 認証は無効になりますので、permit_sasl_authenticated が真になることはありません(sasl_authenticated が無視される)。
465 番ポートでは、permit_sasl_authenticated の判定が有効です。

投稿2020/09/15 05:37

TaichiYanagiya

総合スコア12173

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

TaichiYanagiya

2020/09/15 05:38

失礼。コメントのつもりが回答にしてしまいました。
kuku

2020/09/15 06:02

追加のご確認ありがとうございます。 main.cfで記述するものはあくまでSMTP(25番ポート)のもの、master.cfで記述するものはその他のSMTPS(465番)やSubmission(587番)のものと理解いたしました。 インターネット向けへは25番ポートのみ公開しているので、ご教示いただいた内容で設定変更したほうがいい気がしますね。。。 重ね重ね申し訳ないのですが、この設定変更を実施すると、「インターネットもしくはmynetworkの範囲問わずSMTP認証はなくなる(mynetworksからや宛先送信元がmydomain以外のメールはリレーされない)」「もし仮にmynetworks内端末から25番ポート認証有で送信していたユーザーは送信できなくなる」という理解で間違いないでしょうか? また設定変更にあたってその他考慮しておくべきことはあるでしょうか? (こちらでも検証は実施します。)
TaichiYanagiya

2020/09/15 06:13

> main.cfで記述するものはあくまでSMTP(25番ポート)のもの、master.cfで記述するものはその他のSMTPS(465番)やSubmission(587番)のものと理解いたしました。 master.cf の中で、"-o" で設定しているものは上書きされます。 それ以外は main.cf の設定を引き継ぎます。 > 「インターネットもしくはmynetworkの範囲問わずSMTP認証はなくなる(mynetworksからや宛先送信元がmydomain以外のメールはリレーされない)」 はい。 > 「もし仮にmynetworks内端末から25番ポート認証有で送信していたユーザーは送信できなくなる」 メールクライアントによります。 EHLO の応答で「250-AUTH PLAIN LOGIN」などがないので、それを受け取ったメールクライアントが認証なしに切り替えるのか、諦めて失敗とするのか。
kuku

2020/09/15 23:11

ありがとうございます。 > master.cf の中で、"-o" で設定しているものは上書きされます。 >それ以外は main.cf の設定を引き継ぎます。 勉強不足でした・・・。ということはSMTPのTLSやSMTP認証の設定についてmain.cfには特に記載せず、master.cfの中に記載するという方法もあるんですね。 > メールクライアントによります。 なるほど・・・。使用クライアントはthunderbirdになります。 個人的に気になるところではあるので検証してみます! それと質問に追記しました。 もしご確認いただけるようであれば教えていただけると助かります・・・。
kuku

2020/09/15 23:21

すみません、先ほどのコメントに追加です。 こちらで動作確認してみたところ、クライアントからの接続→SMTP認証→「smtpd_client_restrictions」での判別となるような動きをしていることが分かりました。
TaichiYanagiya

2020/09/16 00:16

> 「smtpd_client_restrictions」によって、基本的にmynetworksや正規のメールサーバー以外からはSMTP接続を受け付けない、と思っていたのですが、不明なGIPが25番ポートのSMTP認証まで到達しているのはなぜなのでしょうか?(オプションンの優劣でしょうか…) smtpd_*_restrictions の設定に関係なく、smtpd_sasl_auth_enable = yes により SMTP 認証が有効です。 > またもし仮にSMTP認証が突破されたとしても、「smtpd_sender_restrictions」によって、宛先ドメインが不明もしくは接続元IPアドレスがブラックリストに載っている場合はメールは送信されないとの認識で問題ないでしょうか? はい。
guest

0

main.cf の smtpd_sasl_auth_enable = yes 設定が 25 番ポートの smtpd にも有効です。
master.cf の smtps (465 番ポート) で smtpd_sasl_auth_enable = yes が有効なので、main.cf 側では smtpd_sasl_auth_enable を削除/コメントアウトするといいと思います。

投稿2020/09/15 00:56

TaichiYanagiya

総合スコア12173

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kuku

2020/09/15 01:20

ご確認ありがとうございます。 試しに検証環境にて実施してみたところ、おそらく想定通りの動作をしそうだということが確認できました。 ちなみになのですが、 ・現設定のままだとSMTP認証が突破されてしまうと、突破されたアカウントからはオープンリレー状態になるという認識で間違いないでしょうか? ・[smtpd_sasl_auth_enable = yes]を削除した場合、smtpd_recipient_restrictionsやsmtpd_relay_restrictionsに記載している[permit_sasl_authenticated]はどのように動作するのでしょうか?(SMTPはmynetworksだけで判断し、SMTPSはmynetworksとsasl_authenticated両方で判断になるのでしょうか?)
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問