[postfix-jp:03649] Re: relayhost について

["IWAMOTO, Kouichi" <sue@xxxxxxxxx>]

岩本といいます。

前のメールは書きかけで送ってしまったので、無視してください。

On Sun, 09 Nov 2003 23:08:22 +0900
postfix_general <postfix_general@xxxxxxxxxxx> wrote:

> ※example.comが実際に、外と繋がっているメールサーバです。
>  example.comにメールをリレーしないと外には送信できないのですが、特定の
> ユーザだけ外に送信できるようすることが目的です。

Postfix FAQにある“サイト外にメールを送信できるユーザを制限したい”
 (http://www.kobitosan.net/postfix/jhtml/faq.html#relay_restrict)
と同じような事がしたいのですね。

上記には“特定のユーザのみ外部に送信できなくする設定”が書いてあり、
“特定のユーザのみ外部に送信できるようにする設定”は自分で考える事に
なっていますが、下手に設定すると不正中継を許してしまうので、
正しい設定例を書いてみます。
# 偉そうな事書いていますが、実際に設定してテストしたわけではないので
# ミス等がありましたらつっこんでください

まず覚えておいて欲しい事ですが、エンベロープの送信者アドレスや
ヘッダのFromアドレスは容易に偽る事ができます。
これから書く設定はエンベロープの送信者アドレスによって制限する方法
なので、エンベロープの送信者アドレスに許可されているアドレスを設定
する事によって、許可されていないユーザからも送信できてしまいます。
より厳密に制限を行いたい場合は、SMTP-AUTHやPOP befor SMTPを使用する
事も検討してください。

また、以下の条件を仮定しています。
・Postfixのバージョンは2.0.0以降
・mynetworksが適切に設定されている(外部メールサーバが含まれない)
・許可されていないユーザは、mydestinationおよびrelay_domainsにある
  アドレスにのみ送信できるようにする

以下は実際の設定例です。

[main.cf]
smtpd_recipient_restrictions =
 	permit_auth_destination,
 	check_sender_access hash:/usr/local/etc/postfix/permitted_users,
 	reject

[permitted_users]
foo1@foo.example.com 	permit_mynetworks

以下は簡単な説明です。

| smtpd_recipient_restrictions =
|  	permit_auth_destination,
mydestinationやrelay_domains宛のメールは許可する。

|  	check_sender_access hash:/usr/local/etc/postfix/permitted_users,
送信者の制限として、permitted_usersの内容を実施する

|  	reject
これまでの条件に当てはまらない場合は拒否する。

| [permitted_users]
| foo1@foo.example.com 	permit_mynetworks
送信者がfoo1@foo.example.comの場合、接続元IPアドレスを確認し、
mynetworksに含まれる場合は中継を許可する。

サイト独自のアクセス制限がある場合は、上記の設定を元にして
付け加えて見て下さい。

-- 
いわもとこういち(sue@xxxxxxxxx)
# なるようになれ、明日もイケイケ♪