[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp: 444] Re: 外側と内側に対する中継を行う場合



岩本です。

On Wed, 30 Jun 2004 07:57:25 +0900
zbv <postfixml@xxxxxxxxxx> wrote:

> > > # cat /etc/postfix/transport
> > > hoge.com smtp:in.hoge.com
> > 
> > こちらの方も[]で囲った方がいいです。
> > あと、int.hoge.comに関するrelayの設定がありませんが、必要ないですか?
> > mydestinationにも含まれてますし、一応入れておいた方がいいと思います。
> 
> in.hoge.comに関してのrelay設定は、main.cf内のrelayhost=にて記述する事に
> より、とりあえず全てはisp.fuga.netにrelayを行い(内->外)
> in.hoge.com宛てに関してのみ/etc/postfix/transportに記述してあるように
> relayを行う(外->内)と解釈しておりましたが、間違っているのでしょうか?

このtransportの設定だと、@xxxxxxxx宛のメールを内部サーバへrelayしますが、
@in.hoge.com等のサブドメインがついたアドレスはrelayhostの設定に従います。
内部メールサーバのmydestinationに$myhostnameが入っていたので、@xxxxxxxxxxx
のようなホスト名を使ったメールアドレスも受け取れるようにするのかと思い、
それに関するrelay設定をtransportに追加した方がいいと思っただけで、
@in.hoge.comのようなアドレスを使わないのならば特に設定する必要はありません。


> > あと、relay制限に関する設定が書かれていませんが、デフォルトの設定のままだと
> > 不正中継とみなされてエラーになってしまいます。
> > 特殊な制限をかけないのならば、relay_domainsに$mydomainを設定すればいいです。
> > あとはmynetworksを適切に設定してください。
> 
> こちらはint.hoge.com、ext.hoge.com共にmynetworksにて互いのIPを記述する
> やり方だと問題ありますでしょうか?

ext.hoge.comのmynetworksにint.hoge.comのアドレスを記述するのは問題ないです。
int.hoge.comのmynetworksにext.hoge.comのアドレスを記述する必要はないですし、
後で書く理由により避けられるならば避けた方がいいと思います。
ext.hoge.comでrelay_domainsを設定しないでmynetworksで制御しようとする場合は
isp.fuga.netのアドレスをmynetworksに追加する必要がありますが、同じ理由で
これも避けた方がいいと思います。

> > ただし、できればext.hoge.comはmynetworksに含まれないようにした方が安全だと
> > 思います。
> 
> ext.hoge.comはDMZ内に設置した中継サーバで、ここからしかのみ
> 中継を行わないのですがそれでもまずいのでしょうか?
> 尚、int.hoge.comは完全に内部サーバで外部からは参照不可です。

昔のバージョン(多分、1.1.8まで)での話ですが、"user@example.jp"@hoge.comという
アドレス宛のメールを、ext.hoge.comはint.hoge.comにrelayしていました。
他にも、sendmailが(多分今のバージョンでも)これと同じ動作をします。
# 他のMTAについてはよく知りません

int.hoge.comのmynetworksにext.hoge.comが含まれている場合、int.hoge.comは
このメールをuser@example.jp宛のメールとしてext.hoge.comにrelayするので、
外部からint.hoge.comを不正中継用のサーバとして利用出来てしまいます。
mynetworksにext.hoge.comが含まれていない場合は、int.hoge.comは上記の
メールの中継を拒否します。

最近のバージョンのデフォルトの設定では"user@example.jp"@hoge.comという
アドレスをuser@example.jp@hoge.comとして扱い、ext.hoge.comで中継を拒否
するのでmynetworksに含めていても大丈夫だと思いますが、ext.hoge.com自身が
外部へメールを送信する場合でもint.hoge.comを使う必要がありませんですし、
ext.hoge.comからint.hoge.comへ中継されるメールは、信頼できない可能性がある
外部からのメールですから、ext.hoge.comは信頼できない(する必要がない)サーバ
としてmynetworksに含めない方が安全だと思います。

# あるネットワーク帯から特定のアドレスを抜いた状態を設定するのは
# 面倒(時には現実的ではない)ですが

ext.hoge.comのmynetworksにisp.fuga.netを含めた場合ですが、この時
ext.hoge.comで最近のPostfixを使っていても"user@example.jp"@hoge.com宛の
メールをそのままint.hoge.comへrelayしてしまいます。
また同じように"user@example.jp"@ext.hoge.com宛のメールをuser@example.jp宛
のメールとしてisp.fuga.netにrelayしますので、isp.fuga.netをmydestinationに
含める場合は、isp.fuga.netが"user@example.jp"@hoge.comのようなアドレスを
拒否する事が必要です。
しかし、isp.fuga.netがsendmailを使用している場合、一般的な設定では
"user@example.jp"@hoge.com宛のメールをext.hoge.comにrelayして来ますし、
他のMTAはどのような動作をするかわかりませんので、問題がないか慎重に
評価する必要があると思います。
それよりは、isp.fuga.netをmynetworksに含めず、relay_domainsを指定する方が
簡単で安全だと思います。

-- 
いわもと こういち(sue@xxxxxxxxx/sue@xxxxxxxx)
# なるようになれ、明日もイケイケ♪
_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list

Follow-Ups
[postfix-jp: 456] Re: 外側と内側に対する中継を行う場合, zbv
References
[postfix-jp: 437] 外側と内側に対する中継を行う場合, zbv
[postfix-jp: 438] Re: 外側と内側に対する中継を行う場合, IWAMOTO Kouichi
[postfix-jp: 440] Re: 外側と内側に対する中継を行う場合, zbv

[検索ページ] [Postfix-JP ML Home]