回答編集履歴

#3 Postfix設定のブラッシュアップ

2023/11/17 06:05

投稿

ikedas

スコア4443

test CHANGED Viewed

@@ -58,3 +58,45 @@
 - 最後の`reject_unauth_destination`でオープンリレーも防げています。
 - このあとに今回のルールを追加しています。ここまででsenderが自分のドメインであるようなものは上のいずれかのルールでokになっているはずなので、このルールまでたどり着いたものはrejectします。
+### \#3
+上の\#2で当初の目的は達しているのですが、設定内容について若干補足します。
+1.  `smtpd_client_restrictions`、`smtpd_helo_restrictions`、`smtpd_sender_restrictions`、`smtpd_recipient_restrictions`のルールはそれぞれコネクション確立、EHLO (HELO) コマンド、MAILコマンド、RCPTコマンドの実行時に評価されるように見えますが、実際は`smtpd_delay_reject = yes` (初期値ではそうなっています) のときは4つともRCPTコマンドの実行時に評価されます。
+    (この動作がデフォルトになっているのは、かつてRCPTコマンドより前で拒否しても気づかずに通信を続けようとするクライアントがあったためだそうです。今日でもこの動作は、スパム送信者からのメッセージを拒否する前に少しだけ時間を無駄にさせる〔=スパム送信の能率が落ちる〕という効果が期待できるので望ましいです。)
+    とにかく、上記4つのルールは`smtpd_recipient_restrictions`にまとめて書くことができます。
+    * ただし`check_client_access`で、テーブル引きの結果が`OK`となる場合、それ以降のルールが無視されてしまいますから修正が必要です。`OK`となるエントリは取り除くか`DUNNO`に書き換える必要があります。
+2. 実は、`smtpd_recipient_restrictions`に書いてある`reject_unauth_destination`は実行されません。Postfix 2.10以降、`smtpd_relay_restrictions`が導入されて`smtpd_recipient_restrictions`の直前に実行されるようになりました。`smtpd_relay_restrictions`の初期値は`permit_mynetworks,  permit_sasl_authenticated, defer_unauth_destination`であるため、オープンリレーの試みには`reject_unauth_destination`による永続的エラー (554) ではなく`defer_unauth_destination`による一時エラー (454) が返されます。554にしたいのなら修正が必要です。
+3. 上でも述べたように、`permit_sasl_authenticated`だけでは認証成功したユーザがなりすましし放題ですから、`reject_sender_login_mismatch`などを使って防ぐ必要があります。
+結果として、つぎのようになります (3. は除く)。
+```
+...
+# オープンリレーの試みを一時エラー (454) ではなく永続的エラー (554) で拒否する場合
+smtpd_relay_restrictions =
+    permit_mynetworks
+    permit_sasl_authenticated
+    reject_unauth_destination
+#smtpd_client_restrictions =
+#smtpd_helo_restrictions =
+#smtpd_sender_restrictions =
+smtpd_recipient_restrictions =
+    permit_mynetworks
+    check_client_access cidr:/etc/postfix/reject_client.cidr
+    reject_unknown_reverse_client_hostname
+    reject_invalid_helo_hostname
+    reject_non_fqdn_sender
+    reject_unknown_sender_domain
+    permit_sasl_authenticated
+    reject_non_fqdn_recipient
+    #reject_unauth_destination #上記参照
+    check_sender_access hash:/etc/postfix/reject_final_destinations.hash
+    #上行は Postfix 3.x以降では次のようにも書ける
+    check_sender_access inline:{ mail.example.org = reject, ... }
+...
+```

つづき

2023/11/14 03:29

投稿

ikedas

スコア4443

test CHANGED Viewed

@@ -20,3 +20,41 @@
 上記のようなものではなく、当面「自ドメインの送信者を騙るものだけを拒否できればいい」ということなら、Postfixの設定だけで可能だと思います。(書きかけ。しばらくお待ちください)
+(つづき)
+ちょっと考えすぎだったようで、次のようにしてできました。
+```reject_final_destinations.hash
+mail.example.org reject
+...
+```
+```main.cf
+...
+smtpd_recipient_restrictions =
+    permit_mynetworks,
+    permit_sasl_authenticated,
+    reject_non_fqdn_recipient,
+    reject_unauth_destination
+    check_sender_access hash:/etc/postfix/reject_final_destinations.hash
+...
+```
+`mail.example.org`は自分のドメインです。自分のドメインが複数あるときは行を追加します。
+Postfix 3.x以降ならインラインテーブルを使って次のようにも書けると思います。
+```main.cf
+...
+smtpd_recipient_restrictions =
+    permit_mynetworks,
+    permit_sasl_authenticated,
+    reject_non_fqdn_recipient,
+    reject_unauth_destination
+    check_sender_access inline:{ mail.example.org = reject, ... }
+...
+```
+- `permit_mynetworks`で、自サイト内のリレーには制限がありません。
+- `permit_sasl_authenticated`で、認証が成功したユーザによる送信も制限がありません (ただし、このままだと認証できたユーザはなりすましが可能なので`reject_sender_login_mismatch`などでチェックしたほうがいいと思いますが)。
+- 最後の`reject_unauth_destination`でオープンリレーも防げています。
+- このあとに今回のルールを追加しています。ここまででsenderが自分のドメインであるようなものは上のいずれかのルールでokになっているはずなので、このルールまでたどり着いたものはrejectします。