投稿日:2004年01月17日 作成鷹の巣

No.14290 postfixのセキュリティー的な取り扱いについて



postfixのセキュリティー的な取り扱いについて

No.14290 投稿時間:2004年01月17日(Sat) 16:39 投稿者名:たこやき URL:

いつもお世話になっております。

postfixの取り扱いについてご指導いただけたら幸いです。
先日までに postfix + Qpopper で宅内の利用においては一応完成。
世間では SMTP-AUTH というシステムもあるようですが、外部での送信は使用しません。
ただ使用しないからと言って、導入しなくてもセキュリティーとして問題はあるのでしょうか?

それと外部でメールの受信だけはしたいと思いのですが、そういう場合は
/etc/hosts.allow で Qpopper を許可すれば出来るのでしょうか?

ちなみに現在は
/etc/hosts.deny
ALL: ALL
となっております。

※世間のレンタルサーバーでは、どこの場所でもメールの送受信が可能ですが、それってとてもセキュリティーが甘いのでしょうか?
まあAPOPもSMTP認証も無いから・・・。 ってことですかね?


使いやすさを優先すれば、リスクを考えなければならないでしょう。

No.14313 投稿時間:2004年01月18日(Sun) 21:10 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

まず1点目。おっしゃる内容は、

「外部から自宅サーバのSMTPを経由して、他へメールを送ることはない」

ということですよね?
であれば、単に Postfix でリレー禁止の設定を行なうとよいでしょう。

2点目。
hosts.deny よりも hosts.allow の方が効力は強いです。
従って、hosts.allow は ALL:ALL のままで、hosts.deny において、デーモンに対して、
どのIP(or ホスト)に許可を与えるかを設定すればOKです。
外部にいる場合は、大抵プロバイダ経由ですよね?
であれば、固定IPなど特殊な外部環境でない限り、
ワイルドカードを使ってプロバイダドメインを指定する方法が一般的かと思われます。

3点目。
一概には言えませんが、確かにセキュリティは甘いといえます。
ただし、ガチガチに認証をしてしまったら、ユーザにとってややこしいばかりで
サービスにならないことを知っておいてください。

> いつもお世話になっております。
>
> postfixの取り扱いについてご指導いただけたら幸いです。
> 先日までに postfix + Qpopper で宅内の利用においては一応完成。
> 世間では SMTP-AUTH というシステムもあるようですが、外部での送信は使用しません。
> ただ使用しないからと言って、導入しなくてもセキュリティーとして問題はあるのでしょうか?
>
> それと外部でメールの受信だけはしたいと思いのですが、そういう場合は
> /etc/hosts.allow で Qpopper を許可すれば出来るのでしょうか?
>
> ちなみに現在は
> /etc/hosts.deny
> ALL: ALL
> となっております。
>
> ※世間のレンタルサーバーでは、どこの場所でもメールの送受信が可能ですが、それってとてもセキュリティーが甘いのでしょうか?
> まあAPOPもSMTP認証も無いから・・・。 ってことですかね?


ありがとうございます。cookieについてもしよろしかったら。

No.14316 投稿時間:2004年01月19日(Mon) 11:29 投稿者名:たこやき URL:

こんにちは、帯鯖@名古屋さん。

いつもわかりやすくありがとうございます。


> 「外部から自宅サーバのSMTPを経由して、他へメールを送ることはない」
>
> ということですよね?
> であれば、単に Postfix でリレー禁止の設定を行なうとよいでしょう。

と言う事は、そもそもSMTPサーバーをプロバイダのものにすれば
25番ポート自体必要としなくなるわけですよね。
そうすればpopだけ許可すれば、何処でも使えて、更にメールも送信できるという具合でしょうか。
今更気が付いたようですが、昔サーバーをレンタルしていた時は
そうしていた記憶があります。
そうすれば問題なく安全に使えますね。ただyahooでsmtpの利用可能かどうかと言うところですが。

ちょっと話は変わりますが、お聞きしたい事があります。
自宅サーバーを運用していてcookieで、問題になった事ありませんか?
私のサイトには40以上の掲示板があってそれらを自宅サーバーで運用しているのですが
掲示板自体に多くのcookieを扱う事から、ユーザーの設定なのかサーバーの設定なのか
まだはっきりしていないのですが、掲示板を利用しているとcookieがいっぱいになり
ブラウザ画面に "BadRequest(400エラー)" が出て
閲覧が出来なくなる事態が発生致しました。
クライアントの設定次第で(cookieの無効、cookieの削除など)
見る事は可能になるのですが今までレンタルサーバーで運用していた時に
このような事が起きた事はないのです。
原因はcookieによるものだとは分かったのですが、サーバーの何処かにcookieに関する
設定でもあるのか、CGIに問題があるのか同様の問題を聞いたり、遭遇した事はありませんか?

とりあえずメールの問題も概ね納得できました。
ただcookieの問題が・・・。と言ったところであります。
もしご何かご存知でしたら何らかの情報でもご提供してくだされば幸いです。
どうぞよろしくお願い致します。


cookie は、便利なようで意外と厄介。

No.14323 投稿時間:2004年01月20日(Tue) 02:34 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

25port を閉じると、自宅にあるメールサーバへメールが届かなくなります。

SMTP については、2種類あると考えると分かりやすいです。

・ メーラーからの受信窓口
・ 他のメールサーバからの受信窓口

従って、下側の項目に従い、自宅ファイアウォールでは 25port を open にする必要があります。


400 Bad Request となる件も、幾度となく聞いたことがあります。
本来、GET や POST など要求メソッドが本来と異なる場合に出力するコードですが、
IIS では、多くの症例が報告されています。

・ Content-Length 値のミス
http://support.microsoft.com/default.aspx?scid=kb;JA;300707

・ 余分な改行コードが混在した場合
http://support.microsoft.com/default.aspx?scid=kb;JA;313056

その他、リクエストに HOST: がないなども聞いたことが。
cookie が直接的な原因とは断言しかねますが、もし cookie であれば、
多重セッションにより、web サーバが応答不可の状態に陥っているのかもしれません。


> こんにちは、帯鯖@名古屋さん。
>
> いつもわかりやすくありがとうございます。
>
>
> > 「外部から自宅サーバのSMTPを経由して、他へメールを送ることはない」
> >
> > ということですよね?
> > であれば、単に Postfix でリレー禁止の設定を行なうとよいでしょう。
>
> と言う事は、そもそもSMTPサーバーをプロバイダのものにすれば
> 25番ポート自体必要としなくなるわけですよね。
> そうすればpopだけ許可すれば、何処でも使えて、更にメールも送信できるという具合でしょうか。
> 今更気が付いたようですが、昔サーバーをレンタルしていた時は
> そうしていた記憶があります。
> そうすれば問題なく安全に使えますね。ただyahooでsmtpの利用可能かどうかと言うところですが。
>
> ちょっと話は変わりますが、お聞きしたい事があります。
> 自宅サーバーを運用していてcookieで、問題になった事ありませんか?
> 私のサイトには40以上の掲示板があってそれらを自宅サーバーで運用しているのですが
> 掲示板自体に多くのcookieを扱う事から、ユーザーの設定なのかサーバーの設定なのか
> まだはっきりしていないのですが、掲示板を利用しているとcookieがいっぱいになり
> ブラウザ画面に "BadRequest(400エラー)" が出て
> 閲覧が出来なくなる事態が発生致しました。
> クライアントの設定次第で(cookieの無効、cookieの削除など)
> 見る事は可能になるのですが今までレンタルサーバーで運用していた時に
> このような事が起きた事はないのです。
> 原因はcookieによるものだとは分かったのですが、サーバーの何処かにcookieに関する
> 設定でもあるのか、CGIに問題があるのか同様の問題を聞いたり、遭遇した事はありませんか?
>
> とりあえずメールの問題も概ね納得できました。
> ただcookieの問題が・・・。と言ったところであります。
> もしご何かご存知でしたら何らかの情報でもご提供してくだされば幸いです。
> どうぞよろしくお願い致します。


(ご注意)DENY と ALLOW は逆でしたね。。。

No.14324 投稿時間:2004年01月20日(Tue) 02:42 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

凡ミスしてました。

hosts.deny ALL:ALL
hosts.allow daemon:IP_ADDRESS(or HOST_NAME)

ですね。
逆にしたら、セキュリティも何もないですね。

最近よくミスります。ごめんなさい。


> 帯鯖@名古屋です。
>
> 25port を閉じると、自宅にあるメールサーバへメールが届かなくなります。
>
> SMTP については、2種類あると考えると分かりやすいです。
>
> ・ メーラーからの受信窓口
> ・ 他のメールサーバからの受信窓口
>
> 従って、下側の項目に従い、自宅ファイアウォールでは 25port を open にする必要があります。
>
>
> 400 Bad Request となる件も、幾度となく聞いたことがあります。
> 本来、GET や POST など要求メソッドが本来と異なる場合に出力するコードですが、
> IIS では、多くの症例が報告されています。
>
> ・ Content-Length 値のミス
> http://support.microsoft.com/default.aspx?scid=kb;JA;300707
>
> ・ 余分な改行コードが混在した場合
> http://support.microsoft.com/default.aspx?scid=kb;JA;313056
>
> その他、リクエストに HOST: がないなども聞いたことが。
> cookie が直接的な原因とは断言しかねますが、もし cookie であれば、
> 多重セッションにより、web サーバが応答不可の状態に陥っているのかもしれません。
>
>
> > こんにちは、帯鯖@名古屋さん。
> >
> > いつもわかりやすくありがとうございます。
> >
> >
> > > 「外部から自宅サーバのSMTPを経由して、他へメールを送ることはない」
> > >
> > > ということですよね?
> > > であれば、単に Postfix でリレー禁止の設定を行なうとよいでしょう。
> >
> > と言う事は、そもそもSMTPサーバーをプロバイダのものにすれば
> > 25番ポート自体必要としなくなるわけですよね。
> > そうすればpopだけ許可すれば、何処でも使えて、更にメールも送信できるという具合でしょうか。
> > 今更気が付いたようですが、昔サーバーをレンタルしていた時は
> > そうしていた記憶があります。
> > そうすれば問題なく安全に使えますね。ただyahooでsmtpの利用可能かどうかと言うところですが。
> >
> > ちょっと話は変わりますが、お聞きしたい事があります。
> > 自宅サーバーを運用していてcookieで、問題になった事ありませんか?
> > 私のサイトには40以上の掲示板があってそれらを自宅サーバーで運用しているのですが
> > 掲示板自体に多くのcookieを扱う事から、ユーザーの設定なのかサーバーの設定なのか
> > まだはっきりしていないのですが、掲示板を利用しているとcookieがいっぱいになり
> > ブラウザ画面に "BadRequest(400エラー)" が出て
> > 閲覧が出来なくなる事態が発生致しました。
> > クライアントの設定次第で(cookieの無効、cookieの削除など)
> > 見る事は可能になるのですが今までレンタルサーバーで運用していた時に
> > このような事が起きた事はないのです。
> > 原因はcookieによるものだとは分かったのですが、サーバーの何処かにcookieに関する
> > 設定でもあるのか、CGIに問題があるのか同様の問題を聞いたり、遭遇した事はありませんか?
> >
> > とりあえずメールの問題も概ね納得できました。
> > ただcookieの問題が・・・。と言ったところであります。
> > もしご何かご存知でしたら何らかの情報でもご提供してくだされば幸いです。
> > どうぞよろしくお願い致します。


蛇足

No.14325 投稿時間:2004年01月20日(Tue) 07:59 投稿者名:stranger URL:

> 帯鯖@名古屋です。
> > 凡ミスしてました。
> > hosts.deny ALL:ALL
> hosts.allow daemon:IP_ADDRESS(or HOST_NAME)
> > ですね。
> 逆にしたら、セキュリティも何もないですね。

蛇足

host.deny daemon: ALL EXCEPT IP_ADDRESS(or HOST_NAME)

EXCEPTで***以外は拒否(***だけ許可)という使いかたもできます
ですから
host.allow だけで設定するのが可能なように
host.deny だけで設定するのも可能です


どうもありがとうございました。

No.14342 投稿時間:2004年01月21日(Wed) 22:56 投稿者名:たこやき URL:

帯鯖@名古屋さん。strangerさん。 ご協力どうもありがとうございました。

とりあえずMTAの設定も、リレー設定のみ行い外部受信のみ。
宅内で送受信と言ったところです。
ご教示いただいたsmtpも理解できました。ちなみにポートの開閉を行って、送受信のテストを行いました。
同一ネットワーク内だと、幾ら規制しようがお構いなしに利用できてしまうんですね・・・。
ルーターのポート然り、telnet然り。

私も色々と知識と実践を身に付けて、そのうち皆さんのお役に立てるように頑張りたいと思います。
どうもありがとうございました。


|目次|掲示板|過去ログ目次|▲頁先頭|