[postfix-jp: 904] Re: MTAの設定

[Mitsuru Ogino <ogino@xxxxxxxxxx>]

荻野と申します。

At Tue, 21 Dec 2004 18:44:30 +0900,
竹ノ内まり子 wrote:

> １、公開メールサーバがイントラネットのDNSを引くのはみっともない

えーと、DMZ たるものインターネットと内部ネットワークの間なのですから、
外部に見せない内部用 DNS を引くのはごく当たり前のように思うのですが、
私が変なのでしょうか。なぜみっともないと思われるのか伺いたいです。

ひょっとして内部ネットワークへの配送とかを外部に見える状態で DNS に登
録しているのがみっともないとかでしょうか？ そういうことなら私なら内部 
DNS 用のネームサーバを立てて、メールサーバ内に外部、内部のそれぞれを引
く DNS キャッシュサーバを dnscache を使って立てます。

イントラネットの DNS というのが、ネームサーバもイントラネット上にある
という意味なのか（だとしたらみっともないと思う理由が分かりません）、イ
ントラネットの DNS 情報をもったネームサーバが DMZ 上とかにあるという意
味なのか、それとも全然違う意味なのか分かりませんでしたので、とんちんか
んな返事かも知れませんが。


> ２、nfsマウントは避けたい

FireWall 越しの mbox 形式スプールの共有という意味で書かれているなら、
私なら避けるというか、避けろと教わりました。内部用のメールサーバが別に
あるのなら aliases なり .forward なりで転送してしまえば良いと思います
が、どうでしょうか。

# というか NFS マウントするメールサーバってなんでしょうか。POP or IMAP 
# 専用サーバでしょうか？ しかしイントラネット用 DNS を引いて配送するよ
# うにも読めますし...

ユーザが自分で使い分けたいのなら、FTP をホームに chroot する状態でイン
トラネット内からのみ接続を許可、login はできないようなシェルを設定して
おいて、転送したい人は FTP で .forward を自分で書くとかすれば利用者が
好きに設定できます。

社外に転送されるのがだめだとかそんな設定方法は面倒とかいうことも一般的
だと思いますので、Web サーバがあればそこに転送設定用の CGI を置いて、
その CGI が .forward を作成してメールサーバに FTP 転送（Perl のモジュー
ルなどを使用すればそれほど複雑ではありません）、メールサーバの FTP サー
バ（というか tcpwrapper や xinetd）は Web サーバからのみ接続を受け付け
るとかもできると思います。FTP を利用すると root 権限が不要とかパスワー
ドでの認証も同時にできるとかの利点もあります。通信経路の安全性は別に考
えなければいけませんが。似たようなものを以前お客さんに提供していました。



> nfsマウントが避けがたい状態であっても、DMZが内側のネームサーバを
> 引きにいくようなことは、今後したくありません。

思うに、ネットワークの構成とか、そもそもの動機とかの情報が不足している
のではないでしょうか。

ではでは。

--
荻野 充 (おぎの みつる) ... 「萩(はぎ)」にあらず
Key fingerprint = 7F26 5414 1805 F31B 1617  10B7 C117 07AE 1691 9BD1

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list