回答率: 85.35%

質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

新規登録して質問してみよう

ただいま回答率: 85.35%

トップ Dovecotに関する質問

Q&A

解決済

1回答

1396閲覧

smtp op25b 25ポートにsmtp接続できてしまう

総合スコア22

0グッド

0クリップ

投稿2021/11/18 11:46

編集2021/11/20 00:55

0

0

前提・実現したいこと

smtpのop25bについての疑問があります。
自鯖でpostfixでsmtpサーバーを構築しています。外部のネットワーク(スマホのテザリング)から自宅のサーバーの25番ポートにtelnetで接続したところ、接続ができてしまいました...

本来は外部のネットワークからの25ポートのsmtp接続は弾かれてしまうのではないのですか？？

接続できてしまうのはなぜでしょうか？？
今は、送信ポートとして,認証付きで465,587ポートが使用されているみたいですが...
あとは、port25はmta間の通信に利用されているみたいです。

port25番のsmtp接続は、ブロックされ、mta間のリレーはブロックされないということでしょうか？？

行動規範の内容に同意します

回答1件

0

ベストアンサー

OP25Bとは、Outbound Port 25 Blocking の略称で、プロバイダーが家庭などからの上り(Outbound)の25番ポートをブロックしています。

インターネットから家庭へのインバウンドは関係ないです。

投稿2021/11/18 11:53

総合スコア85949

2021/11/18 12:03 編集

>プロバイダーが家庭などからの上り(Outbound)の25番ポートをブロックしています。 >インターネットから家庭へのインバウンドは関係ないです。なぜこれだけでスパム対策になるのでしょうか？調べてみます....

2021/11/18 12:06

25番が使えると、PC上の不正プログラムがメール出し放題です。今は、Submissionポート（送信専用ポート）に認証付きでないとメールが送れないのでガードになっています。

2021/11/18 12:19

25番は認証機能がなく、サブミッションを使うことは理解しています。インターネットから家庭へのインバウンドはブロックとは関係ないということは、25番にsmtp接続できてしまうということですよね？それは、スパム対策としてはどうなのかなと思ったんです。

2021/11/18 12:41

どういうリスクがあると思っていますか？

2021/11/18 12:56

> インターネットから家庭へのインバウンドはブロックとは関係ないということは、25番にsmtp接続できてしまうということですよね？一般的なプロバイダのユーザーはメールサーバなど立てませんし、メールサーバがあったところでそこからの転送は、今度こそOP25Bで不可能です。

2021/11/18 12:57

>インターネットから家庭へのインバウンドはブロックとは関係ないということは、25番にsmtp接続できてしまうということですよね？スパムメールの配送のために使われてしまうということじゃないんですか? >インターネットから家庭へのインバウンドは関係ないです。まず、インターネットから家庭へのインバウンドがなぜブロックされないのかがわからないので理由がわかれば理解が進む気がします。

2021/11/18 12:58 編集

> まず、インターネットから家庭へのインバウンドがなぜブロックされないのかがわからないので特にブロックする必要がないからです（「通信内容に応じてブロックする」というほうが特殊な措置なので、意味もなくブロックすることはできません）。

2021/11/18 13:02

> スパムメールの配送のために使われてしまうということじゃないんですか? 使われません。 > まず、インターネットから家庭へのインバウンドがなぜブロックされないのかがわからないので理由がわかれば理解が進む気がします。意味の無いブロックは行いません。

2021/11/19 06:02

外部から、自鯖に接続し、自鯖のメールアドレスを宛先にしたときは、送信できました。外部のドメインを宛先にしたときは、Relay access deniedになりました。自鯖のメールは自鯖で処理するため送信できていたと分かりました。自鯖へ送信できていたので、てっきり他のサーバーへのスパムも送信できてしまうと誤解していました。今度は、自鯖から他のサーバーへの送信(yahoo)を試してみましたが、 yahooに対してうまく届きませんでした。外部から送信しているわけではないので、Relay access deniedは出ませんでしたが、下記のように通信できません...なぜでしょうか？？ -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- 6D54D1A379F 386 Thu Nov 18 22:07:38 patao-server@ドメイン (connect to mx2.mail.yahoo.co.jp[124.83.142.118]:25: Connection timed out) ユーザー名@yahoo.co.jp -- 0 Kbytes in 1 Request.

2021/11/19 06:14

> 自鯖へ送信できていたので、てっきり他のサーバーへのスパムも送信できてしまうと誤解していました。中継を許可するかどうかはSMTPサーバーの設定であり、ネットワークのフィルタリングとは無関係です。普通は中継不可にしますが、中継許可に設定することも可能。 > 下記のように通信できません...なぜでしょうか？？それが、OP25Bですね。自宅SMTPサーバーから外にメールを送りたければ、認証付きでサブミッションポートに送るように設定します。

2021/11/19 06:42

> 外部のドメインを宛先にしたときは、Relay access deniedになりました。これはop25b以前に、中継の設定でまず弾かれているということですね。mynetworksの設定ですか。 > それが、OP25Bですね。接続元(ispの内外)は関係なく、弾かれてしまうんですね！それだと、port25は受信だけに使用するということですよね??

2021/11/19 06:43

> それだと、port25は受信だけに使用するということですよね?? 一般のユーザーはそもそもport25を利用しません。メール受信はPOPやIMAPといった、全く別のプロトコルで行われます。

2021/11/19 06:47 編集

すみません言い方が悪かったです。送信用のメールサーバーと送信先(受信するメールサーバー)メールサーバーのやり取りは、port25でやりとりされるということですよね？

2021/11/19 06:51 編集

> 接続元(ispの内外)は関係なく、弾かれてしまうんですね！そうではありません、OP25BはISPの契約者→外部だけ弾きます。

2021/11/19 06:59 編集

> そうではありません、ISP→外部だけ弾きます。接続元とは、自鯖に接続するtelnetの接続元のことを言ってました。 telnetの接続元によっては中継で弾かれて(Relay access denied)、中継で弾かれなくてもそもそもispの内側からport25での送信なので、弾かれると理解しています。

2021/11/19 07:02

> telnetの接続元によっては中継で弾かれて(Relay access denied) これは立てたメールサーバの設定なので、プロバイダには全く関係のない話です。

2021/11/19 07:06

> > それが、OP25Bですね。 > 接続元(ispの内外)は関係なく、弾かれてしまうんですね！最初の回答に書いたとおり、家庭からプロバイダ回線経由インターネット向けの25番ポートのみブロックされます。 ispの内外とは何のことを言ってますか？ > それだと、port25は受信だけに使用するということですよね?? Aサーバー→BサーバーのSMTPメール送信でAから見れば送信だし、Bから見れば受信。家庭内SMTPサーバーから、インターネット上の相手サーバー25番ポートへの通信は使用できないです。インターネットから家庭内SMTPサーバー25番ポートへの通信は可能。インターネット上のSMTPサーバーから、インターネット上の相手サーバー25番ポートへの通信は可能です。

2021/11/19 07:07

>これは立てたメールサーバの設定なので、プロバイダには全く関係のない話です。これは理解しています。mynetworksの設定ですよね?

2021/11/19 07:21 編集

>ispの内外とは何のことを言ってますか？自鯖があるispのネットワークの内外です。 >家庭内SMTPサーバーから、インターネット上の相手サーバー25番ポートへの通信は使用できないです。 >インターネット上のSMTPサーバーから、インターネット上の相手サーバー25番ポートへの通信は可能です。家庭内SMTPサーバーとインターネット上のSMTPサーバーでは、何が違うんですか？？インターネット上のSMTPサーバーからのport25番への通信はブロックされないんですか？

2021/11/19 07:24

> インターネット上のSMTPサーバーからのport25番への通信はブロックされないんですか？それも、プロバイダとは無縁の世界です。

2021/11/19 07:36 編集

> それも、プロバイダとは無縁の世界です。確かにispを介していないですね。それでは、家庭のsmtp鯖を使いメールを送信する場合は、家庭のパソコンから、自鯖のメールサーバーにはサブミッションポートで接続し、メールの送信を依頼し、送信先のメールサーバーへ配送するときもサブミッションポートを使用するということでしょうか？

2021/11/19 07:45

> 家庭のsmtp鯖を使いメールを送信する場合はそれをさせないためのOP25Bです。何らかの事情でメールサーバ運用が必要なら、外してもらうなり、プロバイダと無関係なVPSを借りるなりするのが適切です。

2021/11/19 07:55

> それをさせないためのOP25Bです。サブミッションポートを使っても家庭内からだとだめっていうことですよね？ port 465or587で接続 port 25で送信先に送信自宅pc ------------->> 自鯖smtp-----弾かれる---->>送信先smtp この理解で正しいですかね？

2021/11/19 08:03 編集

送信元smtpサーバは、そもそもインターネット上に置くべきで、サブミッションポートは、送信元のメールサーバーにメールの配送依頼をするために使われているということで、smptサーバーがispの中にあると、依頼を受け付けるのはいいものの、送信先のメールサーバーに送る時にport25で弾かれてしまうということですか?

2021/11/19 08:02

> サブミッションポートを使ってもサブミッションポートは、そのドメインでの契約者などからしかメールを出せないようになっています。メールを中継して投げ込めるものではありません。

2021/11/19 08:06

> サブミッションポートは、そのドメインでの契約者などからしかメールを出せないようになっています。メールを中継して投げ込めるものではありません。認証して、送る人を制限しているのは分かります。

2021/11/19 08:10

> smptサーバーがispの中にあると、依頼を受け付けるのはいいものの、送信先のメールサーバーに送る時にport25で弾かれてしまうということですか? そのとおりです。顧客が勝手にメールサーバを立てて迷惑メールをばらまかないためのOP25Bです。

2021/11/19 08:20

なるほど！！だからさっきおっしゃったように、家庭内でsmtp鯖を運用したい場合は、プロバイダさんに連絡する必要が出てくるということですね〜

2021/11/19 08:54 編集

あと最後にもう一つすみません。スマホのテザリングでport25で自鯖にsmtp接続できたのは、モバイル回線がispとは関係のないものだからですか?

2021/11/19 08:58

> スマホのテザリングでport25で自鯖に接続できたのは、モバイル回線がispとは関係のないものだからですか? 何回目かわからないですが、契約者「へ」の接続にOP25Bは無関係です。

2021/11/19 09:12

> だからさっきおっしゃったように、家庭内でsmtp鯖を運用したい場合は、プロバイダさんに連絡する必要が出てくるということですね〜サブミッションポートで送信するようにしておけば別にプロバイダーに相談する必要ないです。サブミッションポートでの接続先は、プロバイダーのSMTPサーバーである必要もなく、アカウントがあればGmailやyahooメールのサーバーでも良いです。まあ、プロバイダーのSMTPサーバーを使わない理由もないので、普通はそれを使うと思いますが。

2021/11/19 09:21

> スマホのテザリングでport25で自鯖に接続できたのは、モバイル回線がispとは関係のないものだからですか? 携帯回線の場合は、携帯回線会社がISPです。下記を見る限り、３大キャリアはOP25B導入済みのようです。 https://www.dekyo.or.jp/soudan/contents/taisaku/i2-phone.html 3社以外の場合は、お使いの回線会社のサイトで調べてみましょう。 > スマホのテザリングでport25で自鯖に接続できたのは、自鯖って、家庭内SMTPサーバーのことですよね？何をどうテザリングして、何から何にどういう経路で通信したのでしょうか？

2021/11/19 11:18 編集

削除

2021/11/19 09:39 編集

> サブミッションポートで送信するようにしておけば別にプロバイダーに相談する必要ないです。これだと、家庭内のsmtpサーバから、相手の接続先メールサーバーにport25で送信することになるので、家庭内のクライアントpcから送信元メールサーバー間をサブミッションポートで接続してもだめな気がするのですが... >プロバイダーのSMTPサーバーである必要もなく、アカウントがあればGmailやyahooメールのサーバーでも良いです。これだと独自ドメインのメアドで運用できるのですか？ > 自鯖って、家庭内SMTPサーバーのことですよね？はい > 何をどうテザリングして、何から何にどういう経路で通信したのでしょうか？ mac->スマホのテザリング-> 家庭内smtpサーバーこれでtelnetでsmtp接続しました。

2021/11/19 11:17

楽天モバイルですが、ob25pには対応していませんでした。

2021/11/19 13:46

> > サブミッションポートで送信するようにしておけば別にプロバイダーに相談する必要ないです。 > これだと、家庭内のsmtpサーバから、相手の接続先メールサーバーにport25で送信することになるので、？？何故port25？？サブミッションポートと書いたのですが。 > 家庭内のクライアントpcから送信元メールサーバー間をサブミッションポートで接続してもだめな気がするのですが... 「送信元メールサーバー」とは？プロバイダーのSMTPサーバーのことであればサブミッションポートで接続すると言う風にプロバイダーのウェブサイトで案内されていると思いますが？？ > >プロバイダーのSMTPサーバーである必要もなく、アカウントがあればGmailやyahooメールのサーバーでも良いです。 > これだと独自ドメインのメアドで運用できるのですか？ GmainlのSMTPサーバーを使って、Fromが@gmail.com以外で送信できるか？という意味の質問ならYESですが、Gmailは独特なので具体的にはググってください。 yahooは普通に出来るはず。 > 楽天モバイルですが、ob25pには対応していませんでした。それは驚き。まあ、いずれは対応するでしょう。

2021/11/19 13:48

> それでは、家庭のsmtp鯖を使いメールを送信する場合は、家庭のパソコンから、自鯖のメールサーバーにはサブミッションポートで接続し、メールの送信を依頼し、送信先のメールサーバーへ配送するときもサブミッションポートを使用するということでしょうか？家庭内LANであればport25はブロックされる訳ないので、家庭内パソコンから家庭内SMTPサーバーへはport25でもOKです。

2021/11/19 14:02

> 送信元smtpサーバは、そもそもインターネット上に置くべきで、サブミッションポートは、送信元のメールサーバーにメールの配送依頼をするために使われているということで、smptサーバーがispの中にあると、依頼を受け付けるのはいいものの、送信先のメールサーバーに送る時にport25で弾かれてしまうということですか? 「送信元smtpサーバ」とはあなたが管理するSMTPサーバーのことですかね？それはインターネット上でも家庭内でもかまいません。方法1：家庭内に置く中継先サーバーとしてプロバイダーのSMTPサーバーを指定して、サブミッションポートで、認証して中継するように設定します。・・・・なんか同じ事を何度も書いている気がするが。方法2： VPNを借りるなりしてインターネット上に置いて、ポート25で宛先SMTPサーバーに送信する宛先ドメインでDNSを引いてそのサーバーにポート25で接続して送信します。多分postfixのデフォルトでOK。ただし、自分のIPアドレスがブラックリストに載っていて相手から拒否される可能性があります。（例えば同じVPN会社に、悪人がサーバーを借りてスパムメールを送りまくったとかがあるとブラックリストに載るかもしれない）方法3：インターネット上に置いて、信頼されているSMTPサーバーにサブミッションポートで接続して、認証して中継する自宅SMTPサーバーの時と同様の設定。メジャーなプロバイダーSMTPサーバーやGmailSMTPサーバーに中継してもらえばブラックリストに載っている心配は無い。

2021/11/20 01:00 編集

> 中継先サーバーとして中継するんのですね。自分のイメージを描いて見ました。写真を追加しました。これでよろしいですか?

2021/11/20 01:21

後述の「外部の端末」以外は間違ってはいないです。 ISP内のSMTPサーバーと、自宅をひとくくりに「ISP内」としているのが、今まで理解の妨げになっていたかも。自宅内LANと、ISPを別の箱にして、その間の線の上りだけがOB25Pです。それ以外の部分ではport25通信問題なし。「外部の端末」から「自宅内SMTPサーバー」への線って何ですかね？自宅内SMTPサーバーへは、Wifiや有線で自宅内LAN直結か、インターネット側からプロバイダー経由で入ってくるか、どちらかしか無いです。

2021/11/20 01:48 編集

> Wifiや有線で自宅内LAN直結か、これにあたるのが、自宅のpcです。 > インターネット側からプロバイダー経由で入ってくるこれに当たるのが、外部の端末です。独自のドメインを使って(fromに独自ドメインがくる)送信する場合は、自宅のsmtpサーバー(独自ドメインを割り当てたサーバー)を通す必要があるんですよね？

2021/11/20 01:56 編集

> 独自のドメインを使って(fromに独自ドメインがくる)送信する場合は、自宅のsmtpサーバー(独自ドメインを割り当てたサーバー)を通す必要があるんですよね？別に、普通のメールソフトでプロバイダーのSMTPサーバーに認証して送信すれば、Fromは何でも可能ですよ。全プロバイダーがそうかわかりませんが、so-netやNIFTYは問題ないです。

2021/11/20 02:14 編集

>Fromは何でも可能ですよ。それだと簡単に送信元偽造できそうな気がするんですが....自由に送信元のメアドを指定できるというわけですからその場合は(独自ドメインを送信元として使う)、送信するときに、どこのメールサーバーを使ってもいいということですか?fromは何でも可能ということはあと、外部の端末から、25番で自宅のsmtpに接続してメールを送信しようとした時に、勝手にプロバイダのメールサーバーに(587or465ポートを使用し)中継されてしまうことはないですかね？もし、中継されてしまうとop25bの意味がなくなってしまう事になりそうですが。外部の端末から自宅のsmtpサーバーに、サブミッションポートで接続した時のみ中継することが理想です！

2021/11/20 03:04 編集

> それだと簡単に送信元偽造できそうな気がするんですが....自由に送信元のメアドを指定できるというわけですからできますよ。メールのFromとはそういうものです。郵便物の差出人の記載と同じ。ただし、送信認証に使ったアカウントの情報がヘッダに埋め込まれることが多いと思いますので、誰が差し出したかの推測は出来ます。 > その場合は(独自ドメインを送信元として使う)、送信するときに、どこのメールサーバーを使ってもいいということですか?fromは何でも可能ということはそうですね。そういうのを特別に拒否しないサーバーであればどこでも。 > あと、外部の端末から、25番で自宅のsmtpに接続してメールを送信しようとした時に、勝手にプロバイダのメールサーバーに(587or465ポートを使用し)中継されてしまうことはないですかね？ > 外部の端末から自宅のsmtpサーバーに、サブミッションポートで接続した時のみ中継することが理想です！リレーを拒否する設定になっていれば、25番ポートで受信したメールを外部へは転送しないでしょう。

2021/11/20 04:37

> できますよ。メールのFromとはそういうものです。郵便物の差出人の記載と同じ。なるほど！最低限、メアドを独自ドメインで相手とやりとりするだけだったら、自宅のsmtpサーバーは受信(送られてきたメールをサーバーのメールボックスに入れる)だけできれば、あとはこちらから送信するときは、外部のメールサーバーを送信用のサーバーとして使えばいいというわけですかー > リレーを拒否する設定になっていれば、25番ポートで受信したメールを外部へは転送しないでしょう。そうでしたね、リレー拒否で弾かれますね！ 25番はリレーで弾かれますが、正規の利用者である、サブミッションポートで接続し、認証されたユーザーのメールが自宅のsmtpに送信を依頼した場合、これも外部からのリレーですが、mynetworksやmynetworks_styleの設定で弾かれないですむんでしょうか？調べてもリレーを許可するネットワークを制限するとしかなく、サブミッションポートからだと、弾かれないかが気になります。

2021/11/20 05:05

> 調べてもリレーを許可するネットワークを制限するとしかなく、サブミッションポートからだと、弾かれないかが気になります。そういう設定は調べたことは無いですが、そういうサーバーがあるので、出来るのでしょう。家庭内SMTPサーバーであれば、家庭内のIPアドレスをmynetworkにして信頼して、家庭内からは25番ポートでも転送するようにするのが簡単かと思います。

2021/11/20 05:34

> そういうサーバーがあるので、出来るのでしょう。もうちょっと調べて見ようと思います。 > 家庭内SMTPサーバーであれば、家庭内のIPアドレスをmynetworkにして信頼して、家庭内からは25番ポートでも転送するようにするのが簡単かと思います。それは既に行ってます。外部からのサブミッションポートでの接続の場合のみ中継を可能にすることをゴールにしているので、なんとか実装できるか試します！

2021/11/20 05:36

長らくお付き合いいただきありがとうございました！だいぶ理解が進みました。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問

トップ Dovecotに関する質問

smtp op25b 25ポートにsmtp接続できてしまう

関連した質問

同じタグがついた質問を見る

運営からのお知らせ

【年末年始休業のお知らせ】年末年始休業につき下記の期間、お問い合わせ等のサポート業務をお休みいたします。 2024/12/27(金)〜2025/01/05(日) 期間中もサポートへのお問い合わせは承りますが、返信は2025/01/06(月)以降となります。また、2025年の初回メルマガ配信は01/07(火)を予定しております。

【ジャック広告の配信について】現在、非ログイン状態のユーザー様に対して一部の地域限定でジャック広告を配信しております。詳細につきましてはteratailブログをご確認ください。 https://blog.teratail.com/entry/jack-ad-202412

過去のお知らせを見る