[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp: 14] Re: Senderのドメインによる制限方法



On Mon, 8 Mar 2004 19:47:03 +0900
Yuichi Ueda <ueda@xxxxxxxxxxxxxx> wrote:

| 以下のことについて、セキュリティの問題などはおいておいて、技術的に
| 可能かどうか教えていただけないでしょうか。

結論から言えば、技術的には可能です。しかし、現実的には無理です。Intranet
などの閉じたネットワークで完結するなら、

WARNING: このような設定をしてはいけません
smtpd_recipient_restrictions =	check_sender_access hash:/path/to/access,
								reject_unauth_destination,
								permit
> cat /path/to/access
@mydomain.example.org OK
WARNING: このような設定をしてはいけません

でも、envelope-fromを信用するくらいなら、認証そのものが必要ないというこ
とになってしまいますね。こうした設定ではopen relayになります。

| 2. MAIL FROMで接続してくる送信者のドメインによって、自ドメイン以外
| の宛先はリレーするしないを制限する
| (ex. hoge.jpが自ドメインの場合、xxx@xxxxxxxの送信者からのメールは
| 宛先が自ドメイン以外でも許可し、それ以外は拒絶する)

envelope-fromは簡単に詐称できますし、実際に詐称されます。詐称されるとわ
かっているものを認証に使うのは賢い方法ではありません。

| 簡単にすれば、送信者のメールアドレスのドメインによって、自ドメイン
| 宛以外へのリレーを許可したり拒絶したりする方法はあるのでしょうか。

SMTP-Authがあります。

RFC 2554 - SMTP Service Extension for Authentication
http://www.faqs.org/rfcs/rfc2554.html

POP before SMTPという方法もありますが、標準的な方法ではない(RFCになって
いない)ですし、NATや昨今のvirus/wormの蔓延を考慮すると、決して推奨できる
ようなものではないと思います。SMTPクライアントがSMTP-Authをしゃべること
ができるのであれば、SMTP-Authを使うべきでしょう。

今時、SMTP-AuthがしゃべれないSMTPクライアントってどれくらいあるんでしょ
う。

| mynetworksや、smtpd_sender_restrictionsなどの設定組み合わせによって
| 可能でしょうか。

smtpd_recipient_restrictions =	permit_sasl_authenticated,
								reject_unauth_destination,
								permit

--
Tomoyuki Sakurai - Tomi -
mailto:ml-postfix-jp@xxxxxxxxxxxxxxx
local dnsbl files updated daily at
rsync://trombik.mine.nu/spf/output/

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list

Follow-Ups
[postfix-jp: 19] Re: Senderのドメインによる制限方法, Yuichi Ueda
References
[postfix-jp: 11] Senderのドメインによる制限方法, Yuichi Ueda

[検索ページ] [Postfix-JP ML Home]