自サイトのサービス用アドレスの詐称を拒否 / システムユーザ宛のバウンスの拒否

| コメント(0) | トラックバック(0)

サイト内のアドレスを sender に持つアドレスはすべてサイト内からしかこないと仮定できるのなら、外部からきたものはすべて拒否すればいい。そうでない場合 (サイト内のユーザが発信したメッセージが他サイトで転送されてサイト内のユーザに届くのを許す場合など) でも、サービス用のアドレスについてはサイト外からの配信を拒否したい。

なぜなら、これはほとんどすべてが詐称で、サービスの信頼性に影響を与えかねない (みんなサービス用アドレスからのメールを見てくれなくなる --- どうせ見ないかもしれないけど) からだ。

また、システムユーザ (一般利用者ではないユーザ) はサイト外にはメールを発信しないはずなので、バウンスも受け取るはずがない。そこで、システムユーザ宛のバウンスは拒否したい。

実は smtpd_restriction_classes を使ってみたかっただけ。

まず、smtpd_restriction_classes で、2 つの制限クラスを定義する:

main.cf:
1|smtpd_restriction_classes =
 |  reject_system_mailbox_sender, reject_system_user_recipient
2|reject_system_mailbox_sender =
 |  check_sender_access hash:/usr/local/etc/postfix/reject_system_mailbox,
 |  check_sender_access hash:/usr/local/etc/postfix/reject_system_user
3|reject_system_user_recipient =
 |  check_recipient_access hash:/usr/local/etc/postfix/reject_system_user
  • reject_system_mailbox_sender は、サービス用メールボックスかシステムユーザのアドレスが sender にある場合に拒否する制限クラスである。
  • reject_system_user_recipient は、システムユーザのアドレス宛の場合に拒否する制限クラスである。
  • reject_system_userreject_system_mailbox の内容は例なので、利用する環境に応じて追加や修正が必要。

つぎに、smtpd_sender_restrictions に制限の設定を追加する:

1|smtpd_sender_restrictions = ...,
2|  hash:/usr/local/etc/postfix/reject_system_mailbox_sender,
3|  hash:/usr/local/etc/postfix/reject_bounce_for_system_user,
4|  ...

1: サイト内の配送を許可する設定などは、ここに記述しておく。 そうしないと、サイト内でもサービス用アドレスからメールが発信できなくなる。

  • 注意: smtpd_delay_reject = yes (既定値) にしておく必要がある。sender と recipient の両方をチェックするからだ。
  • 注意: 空の envelope sender を "<>" で検索したい場合、 smtpd_null_access_lookup_key = <> (既定値) にしておく必要がある。
  • hash:reject_system_mailbox_sender は、自ドメインのアドレスに reject_system_mailbox_sender 制限クラスを適用するマップである。 キーは自ドメイン (ホストが backup MX である場合は最終配送先のドメインも)。
  • hash:reject_bounce_for_system_user は、外部からくるバウンスに対して reject_system_user_recipient 制限クラスを適用するマップである。 キーはバウンスの sender (バウンスは空の sender で送らなければならないはずだが、なぜか mailer-daemon で送ってくる MTA もある)。
  • reject_system_mailbox_sender の内容は例なので、利用する環境に応じて追加や修正が必要。

トラックバック(0)

トラックバックURL: http://hatuka.nezumi.nu/cgi-bin/mt/mt-tb.cgi/14

コメントする

このブログ記事について

このページは、Hatuka*nezumiが2005年6月11日 14:48に書いたブログ記事です。

ひとつ前のブログ記事は「スパム排除: ハロー (HELO/EHLO) の検査」です。

次のブログ記事は「spam排除: ヘッダ検査による拒否」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。