投稿日:2006年11月20日 作成鷹の巣

No.21159 Postfix のリレー



Postfix のリレー

No.21159 投稿時間:2006年11月20日(Mon) 10:54 投稿者名:アル URL:

今ひとつ、判断に苦慮しており、お知恵をお借りしたく投稿させていただきます。

構成の概略

Linux MTA Postfix 1.x系 ------- A
外部にホスティング グローバルIP aaa.aaa.aaa.aaa
Postfixのmain.cfに
$mynetworks = 127.0.0.0/16, hash:/etc/mail/dracd
DRAC 併用のPop_Before_SMTP

Linux MTA Postfix 2.x系 ------- B
自宅 固定IP グローバルIP bbb.bbb.bbb.bbb
ルータ下のLAN 内に設置
主に送信専用MTA

Windows PC----------- C
Bと同一LAN 内にあり



B のMTA を使用して送信されたメールをすべて、A のMTAにリレーしたい。
Aには、メールのウイルスチェックソフトがあるため、これを通ってから配送したい。

いま、一時的にBと同一LAN 内にあるWindowsPCのメールクライアントを
定期的にPOPさせて、A のPop_Before_SMTPを通るようにし、これで、現在リレーは出来ています。

しかし、これでは、CのWindowsも起動させつづける必要があるので
、A の$mynetworksに bbb.bbb.bbb.bbb を追加してリレーを許可することを考えています。
AとBが同一ネットワーク内にであれば、そのネットワークを$mynetworksに記載する、
というのはよく見かけますが、まったく別ネットワーク(しかもグローバルIP)
の記載がよいものなのか判断に苦慮しております。

ネット検索でこの方法は危険。との記載をみかけました。
ほかに方法(比較的安全な)があれば、ご教示お願いいたします。


Re: Postfix のリレー

No.21160 投稿時間:2006年11月20日(Mon) 11:31 投稿者名:松元 URL:

> 今ひとつ、判断に苦慮しており、お知恵をお借りしたく投稿させていただきます。
>
> 構成の概略
>
> Linux MTA Postfix 1.x系 ------- A
> 外部にホスティング グローバルIP aaa.aaa.aaa.aaa
> Postfixのmain.cfに
> $mynetworks = 127.0.0.0/16, hash:/etc/mail/dracd
> DRAC 併用のPop_Before_SMTP
>
> Linux MTA Postfix 2.x系 ------- B
> 自宅 固定IP グローバルIP bbb.bbb.bbb.bbb
> ルータ下のLAN 内に設置
> 主に送信専用MTA
>
> Windows PC----------- C
> Bと同一LAN 内にあり
>
>
>
> B のMTA を使用して送信されたメールをすべて、A のMTAにリレーしたい。
> Aには、メールのウイルスチェックソフトがあるため、これを通ってから配送したい。
>
> いま、一時的にBと同一LAN 内にあるWindowsPCのメールクライアントを
> 定期的にPOPさせて、A のPop_Before_SMTPを通るようにし、これで、現在リレーは出来ています。
>
> しかし、これでは、CのWindowsも起動させつづける必要があるので
> 、A の$mynetworksに bbb.bbb.bbb.bbb を追加してリレーを許可することを考えています。
> AとBが同一ネットワーク内にであれば、そのネットワークを$mynetworksに記載する、
> というのはよく見かけますが、まったく別ネットワーク(しかもグローバルIP)
> の記載がよいものなのか判断に苦慮しております。
>
> ネット検索でこの方法は危険。との記載をみかけました。
> ほかに方法(比較的安全な)があれば、ご教示お願いいたします。

「この方法は危険」と書いてある本やサイトはそのままは信用しない事。
何をやってもインターネットにつないでいる以上危険は有る物。
安全な方法などインターネット世界ではまずあり得ません。
読者のレベルがわからない著者は危険を強調して使いたがる傾向があります。
例えばpop3やplan検証、或いはFTPは暗号化されていないから危険と言いますが
現実にはほとんどのレンタルサーバーでその方法がとられています。

今回の場合現行ですでに危険なpopbeforesmtpを使っているのだから
IPアドレスで行っても危険度は変わらないかpopbeforesmtpよりはまとも
と私は考えます。
もしCのPOPがPOP3など暗号化されていないならアドレス固定の方がずっと安全です。


Re^2: Postfix のリレー

No.21162 投稿時間:2006年11月20日(Mon) 13:09 投稿者名:アル URL:

返信ありがとうございます。

> 「この方法は危険」と書いてある本やサイトはそのままは信用しない事。
> 何をやってもインターネットにつないでいる以上危険は有る物。
> 安全な方法などインターネット世界ではまずあり得ません。
> 読者のレベルがわからない著者は危険を強調して使いたがる傾向があります。
> 例えばpop3やplan検証、或いはFTPは暗号化されていないから危険と言いますが
> 現実にはほとんどのレンタルサーバーでその方法がとられています。

このあたりは、十分承知しているつもりですが、ご指摘ありがとうございます。
$mynetworks が、リレーを無条件で許可するものを記載するのであろうとは、
思いましたが同一ネットワーク以外のIPを記載した例が見当たらなかったものですから、
いまやろうとしていることが、postfixの本来のやり方に合う方法なのか否かが、判断できず悩んでいます。


> 今回の場合現行ですでに危険なpopbeforesmtpを使っているのだから
> IPアドレスで行っても危険度は変わらないかpopbeforesmtpよりはまとも
> と私は考えます。
> もしCのPOPがPOP3など暗号化されていないならアドレス固定の方がずっと安全です。

CからのPOPは、APOPを利用しています。


Re: Postfix のリレー

No.21161 投稿時間:2006年11月20日(Mon) 11:33 投稿者名:わらび URL:

>$mynetworksに bbb.bbb.bbb.bbb を追加してリレーを許可する
$mynetworksじゃなくて、$relay_domainsじゃなかったでしたっけ?
ここに書いてありました。
http://www.kobitosan.net/postfix/trans-2.1/jhtml/postconf.5.html

>しかし、これでは、CのWindowsも起動させつづける必要があるので
postfixのフィルタ処理みたいのに、perlでPOPする機能を
linuxマシン"B"に作ってやればよさそうですが・・・。
それか、定期的にPOPさせるとか。

>ネット検索でこの方法は危険。との記載をみかけました。
どうして危険なんですか?教えていただけますか?


Re^2: Postfix のリレー

No.21163 投稿時間:2006年11月20日(Mon) 13:28 投稿者名:アル URL:

返信ありがとうございます。

> >$mynetworksに bbb.bbb.bbb.bbb を追加してリレーを許可する
> $mynetworksじゃなくて、$relay_domainsじゃなかったでしたっけ?
> ここに書いてありました。
> http://www.kobitosan.net/postfix/trans-2.1/jhtml/postconf.5.html

これは、リレーしてもらうB 側のpostfixの設定ではないでしょうか。
現在は、Bのpostfixでは、
relayhost = [Aのホスト+ドメイン名]

で、リレーそのものは出来ています。

> >しかし、これでは、CのWindowsも起動させつづける必要があるので
> postfixのフィルタ処理みたいのに、perlでPOPする機能を
> linuxマシン"B"に作ってやればよさそうですが・・・。
> それか、定期的にPOPさせるとか。

これも、考えましたが、いまやろうとしていることは一時的なもので
それほど長く利用(数週間程度の予定)する訳ではないものですから。

> >ネット検索でこの方法は危険。との記載をみかけました。
> どうして危険なんですか?教えていただけますか?

ある掲示板でのやり取りに以下のような記載がありました。

---- 以下 引用 抜粋-----
もしも外からあなたのIPが分かったりすれば、不正中継の踏み台にされてしまいます!
hostコマンドを使えば、いくらDynamicIPといえども、すぐにIPがばれてしまいます。
-----ここまで------

私も、このやり取りをすべて読んではいないのですが、
$mynetworks に クライアントのグローバルIPを記載して、メールを送れるようにしているようです。
それに対する返信に上記の返信がありましたので、危険なのかと思った訳です。

ただ、
hostコマンドを使うとなぜリレーしてもらっているIP(私の場合で言うとBの固定IP)がわかるのか。
わかったからといって、不正中継の踏み台になるのか。
IPアドレスを詐称して、リレーをしてくれば可能なのかも。

などなど、私では理解できない部分もあるのですが^^;


目次掲示板過去ログ目次▲頁先頭