[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[postfix-jp: 14] Re: Senderのドメインによる制限方法
- Subject: [postfix-jp: 14] Re: Senderのドメインによる制限方法
- From: Tomoyuki Sakurai <ml-postfix-jp@xxxxxxxxxxxxxxx>
- Date: Mon, 08 Mar 2004 23:17:36 +0900
On Mon, 8 Mar 2004 19:47:03 +0900
Yuichi Ueda <ueda@xxxxxxxxxxxxxx> wrote:
| 以下のことについて、セキュリティの問題などはおいておいて、技術的に
| 可能かどうか教えていただけないでしょうか。
結論から言えば、技術的には可能です。しかし、現実的には無理です。Intranet
などの閉じたネットワークで完結するなら、
WARNING: このような設定をしてはいけません
smtpd_recipient_restrictions = check_sender_access hash:/path/to/access,
reject_unauth_destination,
permit
> cat /path/to/access
@mydomain.example.org OK
WARNING: このような設定をしてはいけません
でも、envelope-fromを信用するくらいなら、認証そのものが必要ないというこ
とになってしまいますね。こうした設定ではopen relayになります。
| 2. MAIL FROMで接続してくる送信者のドメインによって、自ドメイン以外
| の宛先はリレーするしないを制限する
| (ex. hoge.jpが自ドメインの場合、xxx@xxxxxxxの送信者からのメールは
| 宛先が自ドメイン以外でも許可し、それ以外は拒絶する)
envelope-fromは簡単に詐称できますし、実際に詐称されます。詐称されるとわ
かっているものを認証に使うのは賢い方法ではありません。
| 簡単にすれば、送信者のメールアドレスのドメインによって、自ドメイン
| 宛以外へのリレーを許可したり拒絶したりする方法はあるのでしょうか。
SMTP-Authがあります。
RFC 2554 - SMTP Service Extension for Authentication
http://www.faqs.org/rfcs/rfc2554.html
POP before SMTPという方法もありますが、標準的な方法ではない(RFCになって
いない)ですし、NATや昨今のvirus/wormの蔓延を考慮すると、決して推奨できる
ようなものではないと思います。SMTPクライアントがSMTP-Authをしゃべること
ができるのであれば、SMTP-Authを使うべきでしょう。
今時、SMTP-AuthがしゃべれないSMTPクライアントってどれくらいあるんでしょ
う。
| mynetworksや、smtpd_sender_restrictionsなどの設定組み合わせによって
| 可能でしょうか。
smtpd_recipient_restrictions = permit_sasl_authenticated,
reject_unauth_destination,
permit
--
Tomoyuki Sakurai - Tomi -
mailto:ml-postfix-jp@xxxxxxxxxxxxxxx
local dnsbl files updated daily at
rsync://trombik.mine.nu/spf/output/
_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list
- Follow-Ups
-
- [postfix-jp: 19] Re: Senderのドメインによる制限方法, Yuichi Ueda
- References
-
- [postfix-jp: 11] Senderのドメインによる制限方法, Yuichi Ueda
[検索ページ]
[Postfix-JP ML Home]