No.6978 投稿時間:2002年12月15日(Sun) 19:46 投稿者名:うんと URL:
はじめまして、うんとといいます。
自宅サーバ構築の際には本当にお世話になりました。
この場でお礼を言わせてください。
現在、windowsXPにて鷹の巣さんの解説とほぼ同等のサーバ・設定にて、メール(ArGoSoft)・web(AN HTTPd)・FTP(Tiny FTP)を、加えてfml(popタイプを利用)によってメーリングリストを運営しています。
ところで、ML運営時にメールサーバの方でSMTP認証を有効にしておくと、MLからローカルドメイン以外のメアドへ送信することができません。
(当たり前なのかもしれませんが、この意味がわかるとすごくクリアになる気がする。
fmlのML自体はローカルドメインによるメアドなのに、なぜ認証をパスできないんでしょうか…
これって誤解??)
素人考えでは、これがセキュリティーとのジレンマなのかなと思って諦めかけているのですが、
何か対策があれば教えて頂けると助かります。
以前までは個人的な利用のみでしたので、SMTP認証を解除して無防備な状態で行っていましたが、
最近SPAMの不正中継が多発してきたので、現在ではSMTP認証を行っています。
つまりSPAMは中継しなくなったがMLが送れないといった問題になってしまったのです。
これについて何か参考になるものがありましたらご回答いただけると助かります。
舌足らずかもしれませんが、よろしくお願いします。
No.6980 投稿時間:2002年12月15日(Sun) 21:13 投稿者名:カイナン URL:http://yaguma.com
こんにちはカイナンです.私自身は普通の方法でfmlを使っていますが(MTAとfmlが同居してます),書物によるとpopタイプのfmlはあまり推奨されませんとなっています.特殊なサーバー環境なのでしょうか.で,MTAにArgoを使うならばtrusted IP addressのdisableのチェックをはずしfmlがインストールしてある機械のIPを記入してはどうでしょう.私はこのようなことをしたこともありませんしArgoのヘルプを見てこんな方法はどうかなと思っただけなので確実ではありません.これがだめならfmlのインストールしてある機械にMTAを組み込むかでしょう.
No.6985 投稿時間:2002年12月15日(Sun) 22:05 投稿者名:うんと URL:
鷹の巣さん カイナンさん
早速の回答ありがとうございます。
的はずれの返答になっていたら済みません。
ArGoはフリーウェア版です。
> 書物によるとpopタイプのfmlはあまり推奨されませんとなっています.特殊なサーバー環境なのでしょうか.
サーバ機1台で全て運用していますが、特殊なサーバではありません。(と思います…)
fmlがpopタイプなのは、ArGoでは直接fmlを起動できないと思ったからです。
fml設置の参考したサイト(http://www.st.rim.or.jp/~ume/fml/fml_on_NT1.htm)には、
「Windows NTのMTAの多くはメールを受けとっても、それと連動してプログラムを起動することができない」
と書かれていたのでそう判断したのです。
これが誤解なのでしょうか?
>カイナンさん
> 私自身は普通の方法でfmlを使っていますが(MTAとfmlが同居してます)
普通の方法(MTAとfmlが同居)というのは同サーバ内で動いているということなんでしょうか。
もしよろしければ、その構成について少し詳しく教えて頂けないでしょうか。
また質問になってしまいましたが、よろしくお願いします。
No.6986 投稿時間:2002年12月15日(Sun) 22:21 投稿者名:カイナン URL:http://yaguma.com
どうもカイナンです.最初はArgoのProを使ってメーリングリストを運営していました.最近はvine linuxです.ですからqmail+fmlで使っています.qmailでは127.0.0.1(自分自身)をallowしています.私は実はfmlがwindowsでも使えることを知りませんでした.Argoとfmlをインストールしてあるのは違う機械と思っていました.Argoがwindowsでfmlがlinux.Argoの設定でtrusted IP adress(Argoとfmlが一緒の機械ならば127.0.0.1でよいはずですが)を実験できましたでしょうか?報告をお待ちしております.
No.6987 投稿時間:2002年12月15日(Sun) 23:13 投稿者名:うんと URL:
カイナンさんありがとうございます。
カイナンさんはlinuxでしたか。
> fmlをwindowsで使っているのならばArgoの設定でtrusted IP addressを実験できましたでしょうか?
ArGoのフリー版なのですが、そういったコンフィグが見あたらないです。
Do Not Authenticate Following IP Addressに試しに入れてみましたが案の定ダメでした。
フリー版にはないのでしょうか?
No.6988 投稿時間:2002年12月16日(Mon) 00:20 投稿者名:鷹の巣 URL:http://sakaguch.com/
> ArGoのフリー版なのですが、そういったコンフィグが見あたらないです。
フリー版では、MTAから、fmlを起動出来ないので、ntfml.plがずっと起動していなければなりませんね。
> Do Not Authenticate Following IP Addressに試しに入れてみましたが案の定ダメでした。
一応、Do Not Authenticate Following IP Addressに127.0.0.1を入れておいて、
中継を許可することが必須となります。
ただし、これはSMTP認証用ですから、POP側ではありません。
POPタイプでしたら、自分でPerlスクリプトを書いた方が早いかもしれませんが、
メール送信部分のPerlスクリプトがお解りでしたら、この掲示板に貼り付けて頂けますか。
# sendmailやSMTPなる文字列がありませんか。
No.6990 投稿時間:2002年12月16日(Mon) 12:02 投稿者名:うんと URL:
鷹の巣さん ありがとうございます。
> フリー版では、MTAから、fmlを起動出来ないので、ntfml.plがずっと起動していなければなりませんね。
> 一応、Do Not Authenticate Following IP Addressに127.0.0.1を入れておいて、
> 中継を許可することが必須となります。
> ただし、これはSMTP認証用ですから、POP側ではありません。
あ!!なるほど!
popサーバとSMTPサーバをごちゃごちゃに考えていたようです。
> POPタイプでしたら、自分でPerlスクリプトを書いた方が早いかもしれませんが、
> メール送信部分のPerlスクリプトがお解りでしたら、この掲示板に貼り付けて頂けますか。
> # sendmailやSMTPなる文字列がありませんか。
うーん…、ほとんどperlを読めないので全くの見当違いだったらごめんなさい。
一応僕が怪しいなと思ったルーチンです。
もし違いましたら、またスクリプトの勉強もかねて探したいと思います。
お手数をかけてすみません…
sub MSending
{
local($left, $right, $packp, @to) = @_;
local($to) = join(" ", @to);
local(@filelist, $total);
$0 = "${FML}: MSending to $to $ML_FN <$LOCKFILE>";
# check the given condistion is correct or not?
print STDERR "TRY $left -> $right for $to \n" if $debug;
if (!defined($left)) {
&Log("MSend: Cannot find left for $to"); return;
}
if (!defined($right)) {
&Log("MSend: Cannot find right for $to"); return;
}
# get a file list to send
for($left .. $right) { push(@filelist, "$SPOOL_DIR/$_");}
# Sending
&Log("MSend: $left -> $right ($to)");
print STDERR "MSend: $left -> $right ($to)\n" unless $Quiet;
$0 = "${FML}: MSending to $to $ML_FN ends <$LOCKFILE>";
# matome.gz -> matome.ish in LhaAndEncode2Ish().
local($total, $tmp, $mode, $name, $s, $a, $msend_subject, $field);
$tmp = "$FP_TMP_DIR/MSend$$"; # relative
$mode = $mode{$to[0]};
$total = &DraftGenerate($tmp, $mode,
&GetProtoByMode('matome', $mode),
@filelist);
### MSEND header Generation ###
# Make a subject here since mode::constructor in DraftGenerate.
{
$rfc1153 = $_PCB{'subject', $mode};
$name = &DocModeLookup("#3$mode");
$a = $left < $right ? "Articles $left-$right" : "Article $left";
local(%template_cf) = ("_RFC1153_INFO_", $rfc1153,
"_DOC_MODE_", "[$name]",
"_ARTICLE_RANGE_", $a,
);
$msend_subject =
&SubstituteTemplate($MSEND_SUBJECT_TEMPLATE, *template_cf);
($field, $name) = split(/[\s:]+/, $XMLNAME);
if (! grep(/^($field)$/, @HdrFieldsOrder)) {# against duplicatation
&ADD_FIELD($field);
&DEFINE_FIELD_OF_REPORT_MAIL($field, $name);
}
# Please define "$msend_subject = ....;" in MSEND_HEADER_HOOK;
if ($MSEND_HEADER_HOOK) {
&eval($MSEND_HEADER_HOOK, 'MSend Header Hook');
}
$msend_subject = $msend_subject || $s; # $s is backward ?
}
local(@rcpt);
$Envelope{'GH:Precedence:'} = $PRECEDENCE || 'list';
if ($total) {
# rewriting each $addr => rcpt to: address; (for relay)
undef @rcpt;
for (@to) { push(@rcpt, $MRcpt{$_});}
&Log("MSend: total =[$total], sendx to @rcpt") if $debug_msend;
&SendingBackInOrder($tmp, $total, $msend_subject, ($SLEEPTIME || 3), @rcpt);
$0 = "${FML}: MSending to $to $ML_FN ends <$LOCKFILE>";
# may duplicate but cache out agasint errors
# though removed in &MSendRCConfig
for (@rcpt) {
$_ = "$_\t". ($ID + 1). "\n";
&Append2($_, $MSEND_RC);
}
}
else {
&Log("MSend: total =[$total], so not send to @to") if $debug_msend;
}
}
No.6991 投稿時間:2002年12月16日(Mon) 13:05 投稿者名:うんと URL:
今、ArGoのログを読み返していたら、
fmlのArgoへのアクセスもとがサーバのグローバルIPになっていたので、
Do Not Authenticate Following IP AddressにグローバルIPを入れてみましたら、
うまいこと行ってしまいました。
これはちょっと怖いと思ったので現在でははずしてありますが、
この方法に関してはいかがなのでしょうか。
一応、中継もしていないようです。
前にカイナンさんがおっしゃっていたのがこのことなのでしょうが、
そのときはローカルIPと127.0.0.1しかテストしませんでした…
すみません…
No.6992 投稿時間:2002年12月16日(Mon) 13:40 投稿者名:鷹の巣 URL:http://sakaguch.com/
msend.plを10分程読んでみましたが、よく解りませんでした。
読むのに大分、時間がかかりそうです。
> 今、ArGoのログを読み返していたら、
> fmlのArgoへのアクセスもとがサーバのグローバルIPになっていたので、
> Do Not Authenticate Following IP AddressにグローバルIPを入れてみましたら、
> うまいこと行ってしまいました。
グローバルアドレスが固定のIPアドレスでしたら、それでも問題ないとは思いますが、
IP Spoofingをされない様に127.0.0.1と同様のパケットフィルタリングの設定が必要になります。
(接続元IPアドレスが127.0.0.1や自サイトのグローバルアドレスのパケットを破棄するフィルタが必要。)
Do Not Authenticate Following IP Addressには、127.0.0.1を入れておいて下さい。
コマンドプロンプト画面からntinstall.cmdを起動してインストールする場合にpersonal useで、
DOMAIN: example.com
FQDN: example.com
EXEC_DIR: D:\fml
ML_DIR: D:\fml\ml
Language: Japanese
TimeZone: +0900
としておられると思いますが、その後の##### POP and SMTP Server Configuration ####で、
directory D:\fml\ml/popfml is created as USER=*****
POP SERVER [example.com]:127.0.0.1
POP SERVER is [127.0.0.1] O.K.? (y/n) [n] y
SMTP SERVER [127.0.0.1]:
SMTP SERVER is [127.0.0.1] O.K.? (y/n) [n] y
という様に指定されていますか?
No.7004 投稿時間:2002年12月16日(Mon) 19:32 投稿者名:うんと URL:
鷹の巣さん カイナンさん
ありがとうございます。
今、サーバの近くにいないために確認ができないのですが、
##### POP and SMTP Server Configuration ####
このコンフィグは、インストール時に設定したかどうか記憶にないです…
自宅に戻ってからconfigを確認してみます。
ありがとうございます。
No.7034 投稿時間:2002年12月17日(Tue) 04:12 投稿者名:うんと URL:
configを確認してみましたが、変数の意味がよくわからず、
結局上書きでインストールし直してみました。
ArGoのログを確認してみたところ、
fmlからのwelcomeのIPが127.0.0.1に変わってるところを見るとfmlのConfigもうまく変更できたようです。
これでMLは問題なく機能していますし、中継もしていないようです。
No.7078 投稿時間:2002年12月18日(Wed) 00:36 投稿者名:うんと URL:
何度も質問をして申し訳ありません。
Do Not Authenticate Following IP Addressには127.0.0.1を入れないでください。とこちらの解説で書いてありましたが、
この状況では中継する可能性があり、セキュリティが下がるということなのでしょうか。
No.7081 投稿時間:2002年12月18日(Wed) 01:14 投稿者名:鷹の巣 URL:http://sakaguch.com/
> Do Not Authenticate Following IP Addressには127.0.0.1を入れないでください。とこちらの解説で書いてありましたが、
ユーザのルータ等のパケットフィルタリングの設定状況が解らないから、安全策として記載しています。
実は、私はDo Not Authenticate Following IP Addressに127.0.0.1を入れています。
> この状況では中継する可能性があり、セキュリティが下がるということなのでしょうか。
不正中継テストに合格されているのであれば、信用しても良いのでは、ないでしょうか?
# 不正中継とセキュリティは、無関係だと考えます。
No.7088 投稿時間:2002年12月18日(Wed) 03:52 投稿者名:うんと URL:
> 不正中継テストに合格されているのであれば、信用しても良いのでは、ないでしょうか?
> # 不正中継とセキュリティは、無関係だと考えます。
なるほど、まったくその通りです…
本当にありがとうございました。
ネットワークの基礎から時間を割いて教えて頂いて、
とても勉強になりました。
ネットーワークの書物などを読んでみても
あまりに広範囲にわたっているために概要をつかむのも難しかったのですが、
今回のご指導で何となくそれがつながったような気がします。
鷹の巣さん、カイナンさん
本当にありがとうございました!
No.7002 投稿時間:2002年12月16日(Mon) 18:54 投稿者名:カイナン URL:http://yaguma.com
すいませんカイナンです.
私はプロ版です.プロ版ではtrusted IPとなります.逆にDo Not Authenticate Following IP Addressという項目はありませんでした.
No.6981 投稿時間:2002年12月15日(Sun) 21:31 投稿者名:鷹の巣 URL:http://sakaguch.com/
> 現在、windowsXPにて鷹の巣さんの解説とほぼ同等のサーバ・設定にて、メール(ArGoSoft)・web(AN HTTPd)・FTP(Tiny FTP)を、加えてfml(popタイプを利用)によってメーリングリストを運営しています。
ArGoSoftは、Freeware版でしょうか?
私は、fmlについては詳しくありませんが、こちら
http://www.sapporo.iij.ad.jp/staff/fukachan/fml/INSTALL_on_NT4/
のサイトを読んで考えを述べさせて頂きます。
Windowsでもsendmail Wrapperがありますので、SMTPでも動作は可能だと考えています。
http://sakaguch.com/CGIsendmane.html