Postfix Frequently Asked Questions

Up one level | Postfix FAQ

Postfix 警告およびエラーメッセージ
POP や IMAP の問題
特定のオペレーティングシステムでの問題
設定例
Sendmail との非互換性
数百の Postfix プロセスを走らせる
Postfix のパフォーマンス
ネットワーク経由でのメール受信
メールの中継
リモート配送
ローカル (非バーチャル) 配送
メーリングリスト
バーチャルドメイン
アドレスの書き換え
コンテンツフィルタリング
他の配送方法: UUCP, FAX, etc.
Postfix キューのメンテナンス
Postfix のコンパイルとインストール

Postfix でうまく使えるソフトウェアの例:

Cyrus IMAP は IMAP および POP3、KPOP を実装し、最新版では TLS もサポートしています。このソフトウェアは独自のプライベートメールデータベースシステムを実装しています。初心者向きではありません。
Courier-Imap は POP3 と IMAP を提供し、SSL 越しのアクセスをサポートします。このソフトウェアは Maildir 式のメールボックス形式 (1ファイルに1メッセージ、qmail と同じ形式) のみをサポートします。
Qpopper は POP3, TLS (SSL) をサポートし、伝統的な UNIX 式のメールボックス形式 (1ファイルに複数のメッセージ、それぞれのメッセージは "From sender date..." で始まる) を使います。

スタンドアロンマシン

インターネットに直接アクセスできるスタンドアロンマシンでは、Postfix は設定の変更なしにすぐに動くはずです。少なくとも、それが Postfix のソースコードをダウンロードした時のインストールされる状態です。マシンがファイアウォールのあるイントラネット内にあったり、短時間だけダイアルアップで接続されるのであれば、関連するセクションを参照して下さい。

ワークステーションとサーバ

このセクションでは、ワークステーション・サーバ環境について記述します。ここでは全てのシステムはメールを user@domain として送信し、 user@hostname 宛のメールを受け取るものとします。サーバは user@domain 宛のメールも受け取ります。

Postfix は全てのパラメータがまともなデフォルト値を持つため、以下の文章では上書きする物のみを示します。特に、Postfix は自分と同じサブネットワークからのメールのみを中継します。ネットワークやマシンが非常に低速もしくは高速であれば、master.cf (inetd.conf といくぶん似ています) をチューンする必要があります。

ワークステーション:

    /etc/postfix/main.cf:
        myorigin = $mydomain

サーバ:

    /etc/postfix/main.cf:
        myorigin = $mydomain
        mydestination = $myhostname, localhost.$mydomain, $mydomain

このような環境で、メールスプールディレクトリが NFS で共有されているか、ユーザがメールボックスに POP でアクセスするか、ユーザが自分のワークステーションでメールを受けるかのいずれかでしょう。後者の場合、それぞれのユーザはメールをそれぞれのワークステーションに転送するようにサーバにエイリアスを持ちます:

Server:

    /etc/aliases:
        joe:    joe@joes.workstation
        jane:   jane@janes.workstation

エイリアスデータベースが /etc/aliases にないシステムもあります。あなたのシステムでの場所を探すには、postconf alias_maps コマンドを実行します。

Null クライアント

Null クライアントはメールの送信のみできるマシンです。ネットワークからはメールを受け取らず、ローカルへの配送も全くおこないません。 Null クライアントでは、メールボックスへのアクセスは典型的には POP または NFS を使います。

次の例では、メールは user@domain として送信され、全てのメールはローカルドメインを受け持つメールサーバに転送されます。

    /etc/postfix/main.cf:
        myorigin = $mydomain
        relayhost = $mydomain
        local_transport = error:local delivery is disabled

    /etc/postfix/master.cf:
        Comment out the SMTP server entry
        Comment out the local delivery agent entry

メールは全て user@nullclient ではなく user@domain として送信されるため、user@nullclient 宛のメールアドレスに対するメールサーバの特別な設定は必要ありません。

イントラネットでの Postfix の利用

ファイアウォール内のネットワークのホストで Postfix を設定する最も簡単な方法は、全てのメールをイントラネットメールゲートウェイに送り、メールゲートウェイに転送を任せるようにするものです。

メールを user@domain として送ります。これはオプションですが、ユーザがマシンを難なく替えることができるため、非常にお勧めです。
```
    /etc/postfix/main.cf:
        myorigin = $mydomain
```
ローカルマシンへのメールを除く全てのメールをイントラネットメールゲートウェイに転送します:
```
    /etc/postfix/main.cf:
        relayhost = $mydomain
```
これはあなたの組織がローカルドメイン用に内部 MX レコードを構築していることを想定しています。
あなたのイントラネットが MX レコードを内部で使用していなければ、イントラネットメールゲートウェイ自身を指定する必要があります:
```
    /etc/postfix/main.cf:
        relayhost = host.my.domain
```
あなたのイントラネットが DNS を内部で使用していなければ、同様に DNS 検索も止める必要があります:
```
    /etc/postfix/main.cf:
        disable_dns_lookups = yes
```
上のようにする代わりに、イントラネットメールをイントラネットメールゲートウェイを経由せずに直接配送するように Postfix を設定することができます。この場合、relayhost を指定してはいけません。
インターネットドメインへのデフォルトのルーティング情報をtransport テーブルで指定し、transport テーブル検索をおこないます。
```
    /etc/postfix/transport:
        my.domain               :
        .my.domain              :
        *                       smtp:gateway.my.domain

    /etc/postfix/main.cf:
        transport_maps = hash:/etc/postfix/transport
```
重要: main.cf に relayhost を指定しないでください。内部の配送先宛のメールも relayhost に渡されてしまいます。
システムが db の代わりに dbm ファイルを使っていれば、dbm:/etc/postfix/transport を指定します。Postfix がどのマップ形式をサポートしているかを見るには、postconf -m コマンドを使います。
transport テーブルを編集したら、毎回 postmap /etc/postfix/transport コマンドを実行して下さい。
変更を反映するには、postfix reload コマンドを実行します。

ファイアウォール上での Postfix の利用

注意: この文章は Postfix のバージョン 2.0 以降で使えます。 Postfix のバージョンを調べるには、postconf mail_version コマンドを実行します。

ファイアウォールマシン上の Postfix を、my.domain 宛のメールを内部のゲートウェイマシンに転送し、*.my.domain 宛のメールを拒否するように設定する方法は？　問題は標準の relay_domains メール中継制限では my.domain を指定すると *.my.domain へのメールも許してしまうことです。

domain.com 宛のメールを内部のマシンに向けるために、 transport テーブルを指定します。
ローカルシステムがあらゆる場所にメールを送れ、リモートシステムが user@domain.com だけにメールを送れるように、明示的に smtpd_recipient_restrictions と mynetworks の設定をします。
(スパマーからの配送できないメールでキューが埋め尽くされないようにするために) 存在するユーザを指定してください。
受信者情報を維持するのが実用的でなければ、 local_recipient_maps = を指定します。
```
/etc/postfix/main.cf:
    myorigin = domain.com
    mydestination = domain.com
    local_recipient_maps = hash:/etc/postfix/recipients
    transport_maps = hash:/etc/postfix/transport
    mynetworks = 12.34.56.0/24
    smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination
    local_transport = error:local mail delivery is disabled on this machine

/etc/postfix/transport:
    domain.com   smtp:inside-gateway.domain.com   forwards user@domain.com

/etc/postfix/master.cf:
    local 配送エージェントをコメントアウト
```
システムが db の代わりに dbm ファイルを使っていれば、dbm:/etc/postfix/transport を指定します。Postfix がどのマップ形式をサポートしているかを見るには、postconf -m コマンドを使います。
transport テーブルを編集したら、毎回 postmap /etc/postfix/transport コマンドを実行して下さい。
設定の変更後は postfix reload コマンドを実行してください。

ダイアルアップマシンでの Postfix の利用

このセクションは多くの時間接続が切れているダイアルアップ接続に当てはまります。常時接続のダイアルアップ接続は、代わりにワークステーションとサーバセクションを見てください。

自分自身のホスト名を持っておらず (動的 IP 割り当て)、必ず user@your-isp.com としてメールを送るのであれば、次のセクションの user@domain としてメールを送る際に、あるユーザはローカルに配送したいも検討すべきです。

全ての外行きメールをプロバイダ経由にします。
マシンがほとんどの時間接続されていないのであれば、Postfix がメールを到達が難しい場所へ配送する機会はあまり多くありません。メールを常時接続されたマシンへ送るのがよいでしょう。
```
    /etc/postfix/main.cf:
        relayhost = smtprelay.someprovider.com
```
SMTP メールの自動配送をしたくない (オンデマンドダイアルアップ IP のみ)
通常、Postfix は都合が良い時に外行きのメールを配送しようとします。マシンがオンデマンドダイアルアップ IP を使っていれば、あなたが新しいメールを送信したり、Postfix が遅延メールを配送しようと試みるたびにシステムは電話の呼び出しをします。このようなコールがなされるのを防ぐには、自動 SMTP メール配送を禁止します。
```
    /etc/postfix/main.cf:
        defer_transports = smtp (オンデマンドダイアルアップ IP を使うシステムのみ)
```
SMTP クライアントの DNS 検索を使わない (ダイアルアップ LAN のみ)。
ほとんどの時間切り離された LAN を通して Postfix を使ってメールを配送したい人もいるでしょう。このような状況下では、メール配送は Postfix の SMTP クライアントが標準に準拠するために送信先および受信元の DNS 検索をしようとする際に遅延に苦しめられるでしょう。このような遅延を防ぐには、全ての SMTP クライアントの DNS 検索を使わないようにします。
```
    /etc/postfix/main.cf:
        disable_dns_lookups = yes (ほとんどの時間切り離された LAN を通した配送のみ)
```
DNS 検索を使わない場合、relayhost として IP アドレスまたは一つまたはそれ以上に解決されるホスト名のどちらかを指定しなければいけません (DNS 検索を使用不可にすると、Postfix は MX 検索を行ないません)。
インターネットへの接続が確立された時にメールキューを一掃する。
次のコマンドを PPP または SLIP ダイアルアップスクリプトに加えます:

/usr/sbin/sendmail -q (インターネットに接続される時毎回)

sendmail コマンドの正確な場所はシステムに依存します。UNIX の一部のバージョンでは /usr/lib/sendmail を使って下さい。
キューがフラッシュされたかどうかを見るには、このようなシェルを使います:
```
    #!/bin/sh

    # Start deliveries.
    /usr/sbin/sendmail -q

    # Allow deliveries to start.
    sleep 10

    # Loop until all messages have been tried at least once.
    while mailq | grep '^[^ ]*\*' >/dev/null
    do  
        sleep 10
    done
```
メールの自動配送を使用しないのであれば、新たにポストされたメールをキューから出すために、ダイアルアップ接続が確立している間、時々上のコマンドを実行する必要があります。

Postfix で "sendmail -v" コマンドが使えません

sendmail -v が実際のメール配送をしないと苦情をいう人がいるかも知れません。

Postfix のような分散されたメールシステムでは、実装するのは困難です。 Sendmail とは違い、Postfix のメール配送プロセスはどれもユーザによる制御下では動きません。代わりに Postfix はユーザプロセスに親子関係のないデーモンプロセスがメールを配送します。これは非常にさまざまな、環境変数やシグナルハンドラ、その他 UNIX の親プロセスから子プロセスへ渡すプロセスの性質による、潜在的セキュリティ問題をなくします。

Postfix はお互いにサブシステムを隔離するために複数のプロセスを使います。配送エージェントがユーザプロセスと直接やりとりするのは Postfix を普通のメーラよりも安全にしようとしてきた努力をふいにしてしまいます。

Postfix が "delayed mail" 警告を送りません

Sendmail を使っていた時は、4時間後にメールの配送が遅れているというメールが常に送信者に戻ってきました。

Postfix が "delayed mail" 通知を4時間後に送るようにするには、次のように指定します:

    /etc/postfix/main.cf:
	delay_warning_time = 4h

Postfix ではメールの遅延通知はデフォルトではおこないません - 常に大量のメールを受け取ることになってしまうので。

Postfix がメールを複製します

Postfix がメッセージを複製してしまうことに苦情をいう人がいるかもしれません。これはあるメッセージが同じユーザに届く複数のアドレスに送られると常におこります。例えばこのような場合です:

一つのメッセージがあるユーザとそのユーザを含むエイリアスに送られます。そのユーザは1通を直接受け取り、もう1通をエイリアスを通して受け取ります。
一つのメッセージが同じユーザをリストしている複数のエイリアスに送られます。ユーザはそれぞれのエイリアスから1通ずつメールを受け取ります。

これが「正しい」動作であると主張する人さえいます。おそらくは期待や慣れの問題でしょう。

これは Postfix を遅くすることでのみ「修正できます」。上の例では、 Postfix は配送を始める前に、まず完全に全ての配送リストを展開する必要があります。設計では Postfix は異なる配送先へのメールは並列に配送し、ローカルも例外ではありません。これが Postfix が sendmail よりも速い理由です。

Postfix が配送リストの全てのメンバーにメールを送信します

Postfix が送信者も含めた配送リストの全てのメンバにメールを送信することに苦情をいう人もいるでしょう。デフォルトでは sendmail は送信者を配送リストから削除します。Sendmail は "metoo" フラグが明示的にオンになっている時のみ送信者にメールを送ります。

Wietse は Postfix の実装が「正しい」動作だと信じており、sendmail のデフォルトの動作は sendmail がエイリアスループを避けるのにあいまいなアルゴリズムを使っていた時の暗い部分の名残ではないかと疑っています。

Postfix が owner-list エイリアスを無視します

通常、ローカルのエイリアス foo に対応するエイリアス owner-foo がある場合、Postfix はメッセージの送信者ではなく owner アドレスに配送エラーを報告します。

しかし、Postfix の作為的な実装による結果、owner-foo エイリアスはエイリアス展開が終わった後のみにしか効果がありません。

コマンドやファイルへの配送を含む、エイリアス展開中に起こった配送問題は元のエンベロープの送信者アドレスに報告されます。

理由は、送信者アドレスが置き換えられていることを知らない Postfix キューマネージャによりバウンスが送られるためです。

この制限は Postfix ローカル配送エージェントが配送できないメールを取り扱う方法を変えることで修正されるでしょう。

"fatal: open database /etc/aliases.db" が意味するのは？

DB ファイルは Berkelaey DB ライブラリによって保守されています。上記のメッセージは次のどれかを意味します:

存在するファイルが期待されたファイルフォーマットではありません。この理由は以下のいずれかです:
- ファイルが Berkeley DB バージョン 1 で作成されていて、あなたはバージョン 2 か 3 を使っている (もしくはその逆)。
- ファイルが "btree" 形式でかかれていて、Postfix が "hash" 形式を期待している (もしくはその逆)。
問題を修正するには、 root で次のコマンドを実行して下さい:
```
    # newaliases
```
これは Postfix が期待する形式の aliases.db を作成します。
または全く違う問題かも知れません。newaliases を実行した結果が長さ 0 の aliases.db ファイルであれば、次の問題により苦しめられています。
- Postfix は Berkeley DB バージョン X 用のファイルを #include したのに対し、Berkeley DB バージョン Y のオブジェクトライブラリをリンクしてコンパイルされました。ここで、X と Y は違うバージョンの Berkeley DB ライブラリです。
これを修正するには、Berkeley DB ライブラリを適切にインストールします。例えば、RedHat version 7.0 は Berkeley DB version 3 オブジェクトライブラリをデフォルトで使用していますが、/usr/include/db.h ファイルはデフォルトではインストールされていません。正しく Postfix を構築するには、db3-devel パッケージをインストールしなければいけません。
正しくインストールされたシステムでは、<db.h> ファイルをインクルードし、-ldb でリンクすることで同じバージョンの Berkeley DB ライブラリからファイルをアクセスします。

sendmail が set-uid root ファイルパーミションになっているか、set-uid root プロセスから走っています

伝統的に、UNIX の sendmail コマンドは set-uid root パーミションでインストールされます。Sendmail 以外の多くの MTA でさえも set-uid root sendmail コマンドとともに出荷されます。 Postfix ではこれに当てはまりません。Postfix sendmail コマンドは set-uid されないように設計されています。

不幸なことに、Linux システムには自動的にファイルパーミションを Sendmail の sendmail コマンドに想定された状態に「修復する」 linuxconf という役に立つユーティリティを持つものがあります。 Postfix の sendmail 実行ファイルの set-uid ビットをリセットした時でさえ、うれしいことに linuxconf は再びオンにしてくれます。

SuSE システムでは、ファイルパーミション修正ユーティリティは SuSEconfig と呼ばれます。他の Linux システムは異なる名前を使うかも知れません。通常のマイレージなどの免責事項が適用されます (訳注: 環境によってコマンド名などが違うので、各自の状況に応じて対応して下さいの意)。

解決策

Rask Ingemann Lambertsen の解決策は特に効果的です :-)
```
# /etc/rc.d/init.d/linuxconf stop && rpm --erase linuxconf 
```
Matthias Andree によると、SuSe へのバンドエイド修正は /etc/permissions.local に次の行を加えます:
```
/usr/sbin/sendmail root.root 755
```
そして、/etc/rc.config で PERMISSIONS_SECURITY の最後に local があるか確かめます。例:
```
CHECK_PERMISSIONS=set
PERMISSION_SECURITY="secure local"
```

sendmail: unable to find out your login name

このメッセージは UNIX パスワードファイルに存在しないユーザ ID を持つプロセスからのメールを送信する時にログに記録されます。Postfix はこの情報をエンベロープ送信者アドレスを設定するために使います。

エンベロープ送信者アドレスは、メッセージで From: ヘッダアドレスが指定されない場合のデフォルト値にもなります。

修正するには、sendmail コマンドラインでエンベロープ送信者アドレスを指定します:

sendmail -f user@domain ...

数百の Postfix プロセスを FreeBSD で走らせる

Postfix プロセスを何百も走らせると、カーネルは結果的にファイルハンドルを使い果たします; その後、ソケットを使い果たします。

次のカーネルパラメータをブート時に設定するには、次の行を /boot/loader.conf ファイルに追加します (これは FreeBSD 4.4 で確認しました):

kern.ipc.maxsockets="5000"
kern.ipc.nmbclusters="65536"
kern.maxproc="2048"
kern.maxfiles="16384"
kern.maxfilesperproc="16384"

FreeBSD 4.2 では、最後の3つのパラメータが /boot/loader.conf からではセットできません。オープンするファイルの制限をセットするには、 root で次のコマンドを実行してください。

# sysctl -w kern.maxfiles=16384
# sysctl -w kern.maxfilesperproc=16384

FreeBSD 4.2 では、kernel 設定ファイルで異なる maxusers をして kernel を再コンパイルすることによってのみ、kern.maxproc をセットすることができます。

数百の Postfix プロセスを Linux で走らせる

Postfix のプロセス数を何百にまで増加させると、カーネルは結果的にファイルハンドルを使い果たします; その後、プロセススロットを使い果たすでしょう。

次の情報はカーネルのバージョンに依存します。

/etc/sysctl.conf を持つ Linux システムでブート時にパラメータを設定するには、次の行を加えます:

fs.file-max = 16384
kernel.threads-max = 2048

実行時にカーネルパラメータを設定するには、次のコマンドを root で実行します:

# echo 16384 > /proc/sys/fs/file-max
# echo 2048 > /proc/sys/kernel/threads-max

数百の Postfix プロセスを Solaris で走らせる

数百のプロセスを走らせるためには、プロセス毎のオープンファイル制限を調整する必要があるかも知れません。 Solaris FAQ によると、Solaris 2.4 またはそれ以降では /etc/system に次の行を加えます:

* set hard limit on file descriptors
set rlim_fd_max = 4096
* set soft limit on file descriptors
set rlim_fd_cur = 2048

数千の Postfix 配送エージェントを走らせる

千以上の配送エージェントを使う Postfix を走らせるためには、 FD_SETSIZE 定数を適切な値にしてソフトウェアを再コンパイルする必要があります。

% make tidy
% make makefiles "CCARGS=-DFD_SETSIZE=2048"
% make

メールが incoming キューにとどまります

メールが incoming キューにたくさんたまっていても、Postfix は外行きの SMTP 配送を少ししか実行しません。なぜもっと SMTP クライアントを動かさないのでしょう？

問題は以下のうちの一つかもしれません。

到達が困難なサイト (Hotmail, Yahoo など) にメールを送ろうとしています。解決策: (並列接続数を多くしたり、接続タイムアウトを短くするなど) 特別扱いする transport マップのエントリを作ります:

/etc/postfix/main.cf:
    transport_maps = hash:/etc/postfix/transport
    deadbeats_destination_concurrency_limit = 50

/etc/postfix/transport:
    hotmail.com       deadbeats:
    yahoo.com     deadbeats:

/etc/postfix/master.cf:
    deadbeats   unix  -   -   n   -   -   smtp
        -o smtp_connect_timeout=5 -o smtp_helo_timeout=5

少数の内部メールハブ宛で入ってくるメールと、インターネットに出て行くメールとの競合が起こっています。Postfix バージョン 2 では、これはあまり問題にならないはずです。しかし、一つだけの内部メールハブがダウンすると、Postfix は接続のタイムアウトで膨大な時間を無駄に費やすことになり、全体としてパフォーマンスは落ちます。解決策は内部向けの relay transport の接続タイムアウトを短くします。
```
/etc/postfix/main.cf:
    mydestination = my.own.host.name
    relay_domains = my.corp.domain
    relay_transport = relay

/etc/postfix/master.cf:
    relay   unix  -   -   n   -   -   smtp
        -o smtp_connect_timeout=2 -o smtp_helo_timeout=2
```
メール受信のためにディスクの I/O が飽和し、そのために Postfix キューマネージャが要求を処理する十分な機会が得られません (たくさんの SMTP サーバプロセスが一つだけのか弱いキューマネージャとディスクアクセスで競合します)。
より速いディスクを使うか、ロギングやメールキュー、メールボックスに別のディスクドライブを使うことで問題を解決します。
現在のところの解決策は、一つのマシンに複数の IP アドレスを設定し、それぞれの IP アドレス毎に一つずつ Postfix を走らせます。それぞれの Postfix はキューディレクトリを共有できませんが、メールボックスディレクトリの共有は可能です。
単にそれぞれの Postfix を異なる設定ディレクトリで動かします:
```
    # postfix -c config_directory start
```
それぞれの main.cf ファイルは扱うべきインターフェースに依存する、異なる $myhostname の設定を持ちます。
```
    /my/own/main.cf:
        queue_directory = /my/own/queue/directory
        myhostname = foo1.my.domain
        inet_interfaces = $myhostname
```

入ってくる SMTP 接続に対する Postfix の応答が遅い

質問:

私の Postfix サーバは遅過ぎます。SMTP ポートに telnet で接続すると (telnet hostname 25)、応答が40秒後に返ります。その一方で、POP ポートに telnet すると (telnet hostname 110) 遅延なく応答が返ります。

回答:

1) より多くの SMTP サーバプロセスを走らせるように、Postfix を設定する必要があります。master.cf ファイルの smtpd エントリを編集してプロセス数制限を調節するか、main.cf ファイルの default_process_limit 設定を増やします。更新を有効にするには、 postfix reload コマンドを実行してください。
2) ネームサービスに問題があります。
Postfix は C ライブラリルーチン gethostbyname() および gethostbyaddr() を SMTP クライアントのホスト名を見つけるためにコールします。これらのライブラリルーチンは、要求を満たすためにいくつかのシステム設定ファイルを使います。これらは実際、Postfix の制御外の理由で DNS の呼び出しにたどり着くかもしれません。
システムによって、これらの制御ファイルは /etc/nsswitch.conf、 /etc/svcorder、/etc/host.conf や他の名前になっています。これらのファイルは C ライブラリルーチンがローカルの /etc/hosts を DNS の前か後、どちらに使うかを指定します。

Postfix が SMTP クライアントのログを IP アドレスで取ります

Postfix サーバが SMTP クライアントの接続のログを解決したホスト名ではなく数字の IP アドレスで取ります。nslookup を使うとアドレスは名前に解決されます。

セキュリティを上げるために chroot jail の中で Postfix サーバを動かしていて、いくつかの設定ファイルが足りないか、情報が間違っているのでしょう。"postfix check" コマンドを実行すると、どのファイルの情報が間違っているか報告されます。例:

warning: /var/spool/postfix/etc/resolv.conf and /etc/resolv.conf differ
warning: /var/spool/postfix/etc/localtime and /etc/localtime differ

chroot jail の中で動かすには、Postfix SMTP クライアントとサーバはシステムの設定ファイルのコピーを Postfix キューディレクトリに必要とします。正確なファイルのリストはシステムにかなり依存しますが、少なくとも次のものは必要になるでしょう:

    /var/spool/postfix/etc/resolv.conf
    /var/spool/postfix/etc/services

もちろんこれらのディレクトリとファイルは root が所有し、postfix ユーザがアクセスできなければならないので、ディレクトリはモード 0755、ファイルは 0644 である必要があります。

詳細は Postfix の配布ソースコードにある examples/chroot-setup ディレクトリ内のファイルを見て下さい。

warning: xxx.xxx.xxx.xxx: address not listed for hostname yyy.yyy.yyy

Postfix は自身のジャンクメール及びメールリレー制御にホスト名を使います。これは理論的にはジャンクメール及びメールリレー制御をパスさせるために、誰かが偽の DNS 情報を設定するように動機づけられる可能性があります。

Postfix が SMTP クライアントのホスト名を SMTP クライアント IP アドレスで検索する際には、Postfix は SMTP クライアントの IP アドレスが SMTP クライアントのホスト名にリストされているかもチェックします。

SMTP クライアント IP アドレスが SMTP クライアントホスト名以下に挙げられていなければ、Postfix は SMTP クライアントのホスト名は SMTP クライアント IP アドレスに属していないと結論づけ、SMTP クライアントホスト名を無視します。この警告はなぜ SMTP クライアントがジャンクメールもしくはメールリレーチェックで止められたか、又は止めなかったかをわかるように、ログに記録されます。

SMTP クライアントの DNS レコードを管理する人にコンタクトし、それぞれの IP アドレスに PTR レコードが必要であり、この PTR レコードに A レコードがマッチすることが必要であると説明してもよいでしょう。

一つの IP アドレスが複数の PTR レコードを持ち得るという RFC を読む人もいますが、それは PTR レコードを今以上に使いにくくします。いずれにせよ、一つの IP アドレスに複数の名前を持たせることは、 SMTP クライアントのホスト名を見つける問題を悪化するだけです。

モバイルユーザ宛のメールの中継をしたい

あるマシンで Postfix をセットアップしましたが、これを通してメールを中継できるインターネットユーザのグループを選びたいのです。 IP アドレス (すなわち動的 IP の人々の 256 ブロック) またはホスト名 (whatever.dialup.isp.com) のどちらかを中継のベースにしたいです。

最も好ましい方法は、ユーザに古いプレーン SMTP ではなく、ある認証プロトコルを通してメールを送信してもらうことです。

次に良い方法は古い単純な SMTP を使い、例えば "please login via POP before using SMTP" スキームでユーザを先に認証する方法です。この場合、なんらかのソフトウェアがクライアントの IP アドレス情報を持つ Postfix 互換のアクセステーブルを保守します:

    /etc/postfix/main.cf:
        smtpd_recipient_restrictions =
            permit_mynetworks
            check_client_access hash:/etc/postfix/client_access
            reject_unauth_destination

    /etc/postfix/client_access:
        4.3.2.1         OK
        5.4.3.2         987654321

システムが db ファイルの代わりに dbm ファイルを使っているのであれば、hash の代わりに dbm を指定します。 Postfix がどのマップタイプをサポートしているかを知るには、 postconf -m コマンドを使います。

注意: ソフトウェアの中には hash ファイルの代わりに btree ファイルを使うものがあります。その場合、それに応じて上の check_client_access 制限も合わせる必要があります。

あまり好ましくない方法は、クライアントの IP アドレス (例えば、 256 ブロック) や DNS ホスト名 (例えば whatever.pop.isp.com) に基づくものです。IP/DNS ベースのリレーアクセス制御を使うのであれば、同じ ISP の顧客が誰もあなたのマシンにスパムを向けないことを祈りなさい。そうでなければ、あなたはインターネットワイドのブラックリストに名前を連ねるでしょう。

最も好ましくないのは送信者アドレスに基づく方法です。あなたのサイトからメールを受け取ったことがある人がだますのは、つまらないほど簡単です。もし送信者アドレスアクセス制御を使っていれば、あなたのユーザのアドレスをスパマーが見つけないことを祈りなさい。

    /etc/postfix/main.cf:
        smtpd_recipient_restrictions =
            permit_mynetworks
            check_client_access hash:/etc/postfix/client_access
            check_sender_access hash:/etc/postfix/sender_access
            reject_unauth_destination

    /etc/postfix/client_access:
        11.22.33                OK
        dialup.isp.com          OK

    /etc/postfix/sender_access:
        joe@my.domain           OK
        blow@my.domain          OK

サイト外にメールを送信できるユーザを制限したい

あるユーザはインターネットにメールを送信できて、それ以外はできないようにするには、どのように Postfix を設定するのですか？　アクセスできないユーザには一般にバウンスメッセージを受け取らせたい。このようなアクセス制限が必要かどうかは議論しないで下さい。私の決定ではないので。

Postfix はユーザごとの制限をサポートしています。制限は SMTP サーバにより実装されています。こうして、ポリシーを破ろうとしたユーザは、SMTP サーバによりメールが拒否されます。このように:

554 <user@remote>: Access denied

この実装は2つの検索テーブルを使います。一つにはどのユーザがどこにメールを送ることができるかを定義し、もう一つにはどの配送先がローカルかを定義します。これをあるユーザだけは外部の配送先にメールの送信を許され、大半は制限されるようにスキームを変更することは読者に演習として残します。

この例では DB/DBM ファイルを想定していますが、これは LDAP や SQL でも可能です。

    /etc/postfix/main.cf:
        smtpd_recipient_restrictions =
            check_sender_access hash:/etc/postfix/restricted_senders
            ...other stuff...

        smtpd_restriction_classes = local_only
        local_only = check_recipient_access hash:/etc/postfix/local_domains, reject

    /etc/postfix/restricted_senders:
        foo@domain      local_only
        bar@domain      local_only

    /etc/postfix/local_domains:
        this.domain     OK      matches this.domain and subdomains
        that.domain     OK      matches that.domain and subdomains

smtpd_restriction_classes 変数は Postfix が chroot jail に入る前に /etc/postfix/local_domains.db を開けるようにするために存在します。つまり、単なる実装の産物です。

このスキームはユーザを認証しないため、いくつかの方法でバイパスできてしまいます:

外部の配送先へメールを送信する権限を持っている他の誰かとしてメールを送ることによって。
制限の少ないメールリレーホストを通して自分自身でメールを送ることによって。

Postfix をリモートサイトの MX ホストとして設定したい

ある他のドメインのセカンダリ MX である場合に必要な設定は次の通りです:

    DNS:
        the.backed-up.domain.tld        IN      MX 100 your.machine.tld

    /etc/postfix/main.cf:
        relay_domains = $mydestination the.backed-up.domain.tld
        smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination

the.backed-up.domain.tld を MYDESTINATION にリストアップしないでください。

ある他のドメインのプライマリ MX である場合には次の設定も必要です:

    /etc/postfix/main.cf:
        transport_maps = hash:/etc/postfix/transport

    /etc/postfix/transport:
        the.backed-up.domain.tld       relay:[their.mail.host.tld]

リモートメールが全て「Host not found, try again」といってキューにたまります

リモートアドレスのメールサーバに接続すると、次のようになります:
    Jul 14 12:45:38 myhostname postfix/qmgr[2246]: 74FBF30501:
        from=<sender@sender.domain> size=309 (queue active)
    Jul 14 12:45:39 myhostname postfix/smtp[2349]: 74FBF30501:
        to=<recip@recip.domain> relay=none, delay=3944,
        status=deferred (Name service error for domain recip.domain
        type=MX: Host not found, try again)
しかし、ホスト名の nslookup はうまくいきます。

いくつかの異なる問題があり得ます。

まず第一に、ホスト名の nslookup の結果は見当違いかもしれません。 Postfix はまず MX レコードの検索を要求します。よって、nslookup テストはまず MX レコードの問い合わせで始めるべきです。 DNS サーバによっては、壊れていて、存在しない MX レコードの問い合わせに対し応答しないものもあります。
次に、特権ユーザで nslookup を実行した場合、そのテストは有効ではありません。Postfix DNS 検索はシステムファイルやディレクトリの間違ったパーミションのために失敗することが知られています。例えば、 /etc/resolv.conf の world read 権限がないというのは、初心者の共通した失敗です。
Postfix master.cf ファイルをチェックして下さい。SMTP クライアントが chroot されて走っている場合、Postfix キューディレクトリの中にいくつかのファイルが必要です。配布ソースの examples サブディレクトリに例があります。FAQ のネームサービストラブルの項目も参照してください。

メールがいつもタイムアウトやロストコネクションになって送れません

時々メールが "timed out while sending endof data -- message may be sent more than once" または "lost connection after DATA" といって失敗します。ネットワークが停止したり、システムがクラッシュします。あなたがこのことでできることはあまりありません。たいていは自然に問題はなくなります。

しかし、いつもメール配送が失敗するのを目撃する場合には、他の問題を抱えているかも知れません: 壊れたパス MTU 発見プロトコル。もしくは壊れた PIX ファイアウォールかも知れません。

Cisco PIX "fixup protocol smtp" バグ

バージョン 5.2(4) または 6.0(1) より古いソフトウェアを動かしている Cisco PIX firewall にはバグがあります。

バグ ID は CSCds90792 です。"fixup protocol smtp" 機能はメールの最後の "." と "CRLF"が別々のパケットで送られる場合に正しく扱えません。

"fixup protocol smtp" が有効になった Cisco PIX に隠されたメーラを認識する方法は？　バージョン 5.1 もしくはそれ以降については、 fixup protocol smtp コマンドは SMTP バナーの文字を "2", "0" および "0 SPACE" 文字を除いてアスタリスクに変えます。

このようなフィルタに隠されたメーラに接続すると、次のように見えます:

220 **************************************0******0*********20 ****200**0*********0*00

IP path MTU discovery

簡単な背景はこのようなものです。SMTP プロトコルでは、HELO, MAIL FROM そして RCPT TO コマンドとその応答はかなり短いものです。 sendmail は最近まで ESMTP コマンドパイプラインを実装していなかったため、古いバージョンの Sendmail に話しかける時には、全てのコマンドと全ての応答は別々のパケットで送られます。

しかしメッセージ本体はいくつかのデータグラムとして送られ、それぞれのデータグラムはローカルネットワークの MTU に依存しますが、たいてい 1kbyte またはそれよりいくぶん大きいものです。

いつもタイムアウトでメールが失敗するのであれば、パス MTU 発見を実装した最近の UNIX マシンを送信機で動かしているのではないかと思います。これはマシンが LAN 上を送るパケットと同じ大きさのパケットを、 IP DON'T FRAGMENT ビットを立てることで中間のルータがそのネットワークにとってパケットが大き過ぎることを理由にフラグメントさせることを妨げて、マシンに送らせてしまいます。

メッセージがどのネットワークパスに従うかによって、途中のルータが ICMP MUST FRAGMENT メッセージでパケットが大き過ぎるといって応答するものもあります。通常は送信側のマシンがパケットを細かく分割して再送します。

しかし、これは送信側マシンに近い側のあるルータが、ある種の攻撃からシステムを保護しようとする誤った試みで、このような ICMP フィードバックメッセージを破棄してしまうと破綻します。この場合、 ICMP フィードバックメッセージは送信側マシンに到達することはなく、接続はタイムアウトします。

これは間違った設定のパケットフィルタの後ろにある web サーバで起こる問題と同じ設定問題です: 小さな画像/ファイルは損なわれずに送られますが、大きな画像やファイルはサーバが MUST FRAGMENT ICMP フィードバックメッセージを見ないためにタイムアウトします。

回避方法: 送信側マシンで、パス MTU 発見を使用しないようにします。メールは出ていきますが、もちろん他のみんなが依然苦しむでしょう。パス MTU 発見を使用不可にするには？　Solaris には ndd コマンドがあります; 他のシステムは動いているシステムのカーネルパラメータを制御するための sysctl のような別の方法を使います。

回避方法: 受信側マシンで、小さい MTU を設定します。例えば、 PPPoE (PPP over Ethernet) を使う人はたいてい ethernet のデフォルトの 1500 よりも少し小さな MTU を選ばなければいけません。

修正: ICMP MUST FRAGMENT メッセージを破棄するルータを見つけ、責任者に設定を修正するように説得します。

Postfix が全ての MX アドレスを試しません

メール配送時に、Postfix は優先度順に MX アドレスを全て試行し、 SMTP を話す最初のサーバで止めます。しかし、いったん SMTP グリーティングを受け取ると、配送が失敗しても Postfix は次の MX ホストに移ろうとはしません。

これは Postfix が SMTP 接続キャッシングを実装するときに最終的に解決されます。

"fatal: unknown service: smtp/tcp" が意味するのは？

Postfix /etc/postfix/master.cf ファイルが Postfix SMTP クライアントが chroot 環境内で走ることを指定しています。しかし、このモードでの操作に必要なファイルが /var/spool/postfix 以下にインストールされていません。

chroot 操作はシステムへの侵入者に対する重要な壁を作ります。

2つの解法があります:

/etc/postfix/master.cf で chroot を使用できなくします (そして終わったら postfix reload を送ります)。
chroot 操作に必要なファイルをインストールします。方法は配布ソースコードの examples/chroot-setup ディレクトリ内にあります。

メール配送が "unknown mail transport error" といって失敗します

これは egrep や less という友達に出会う機会です。 Postfix の進展や失敗を含めた動作は、典型的には /var/log/maillog という名前のログファイルに記録されます。あなたのマシンの Postfix の動作が記録されている場所を見つけるには、/etc/syslog.conf ファイルを調べます。

"unknown mail transport error" の原因を見つけるには、次のコマンドをタイプします:

egrep '(warning|fatal|panic):' /var/log/maillog | less

fatal や panic のラベルがついたメッセージには特に注意を払って下さい。これらは Postfix が幸せに動くために取り組まれる必要がある、破壊的な失敗を記述しています。fatal のラベルが付けられた問題は、設定ファイルやファイルの権限などを調整することで、あなたが修正します。panic のラベルが付けられた問題は Postfix の作者が Postfix のソースコードを変更することで修正します。

Root のメールが誰にも配送されません

ローカルメールの配送に procmail (または他のコマンド) を使っていると、Postfix はメールをルートとして配送しません。代わりに procmail (や他のもの) を nobody として実行します。いつかきっと Wietse は外部コマンドを root で走らせるほど十分に Postfix を信頼するようになるでしょう。

解決策: (異常な条件を除いて) root としてログインすることを考えないのと同様に、root でメールを受け取らないようにします。

実在するユーザに向けた root のメールエイリアスを作ります。
```
/etc/aliases:
    root:       you
```
エイリアスデータベースの更新後は毎回 newaliases コマンドを実行します。

"biff_notify: Connection refused" が意味するのは？

デフォルトでは、Postfix ローカル配送エージェントはローカルユーザに新着メールを通知しようとします。この機能は comsat ネットワークサービスを利用しており、これは多くの UNIX システムでパフォーマンスやセキュリティの問題から off になっています。

その Postfix 警告メッセージは comsat ネットワークサービスが off になっていて、新着メール通知が失敗したことを意味しています。

Postfix 配送エージェントの comsat クライアントコードを使用不可にするには、次のように指定します:

/etc/postfix/main.cf:
    biff = no

注意: 最近のバージョンの procmail も biff 通知を発行します。完全に biff を黙らせるには procmail 設定ファイルも更新する必要があるでしょう。

comsat ネットワークサービスを使用可能にするには、 inetd.conf ファイル内の対応するエントリのコメントを外します。

"NIS domain name not set - NIS lookups disabled" が意味するのは？

この警告メッセージは NIS (Network Information Service) が有効になっていないことを意味します。全く問題ありません。Postfix が前もってこのことを知るのはかなり困難です。

Postfix local 配送エージェントの NIS クライアントコードを無効にするには、main.cf ファイルの対応するセクションを更新し、エイリアスファイルの形式によって次のどれか一つを指定します:

/etc/postfix/main.cf:
    alias_maps = $alias_database

これは、ローカルのエイリアスデータベースが定義されていれば、 Postfix がそれだけを使うように強制します。

Postfix が "User unknown in local recipient table" といってメールを拒否します

Postfix 2.0 では、ローカルユーザやアドレスを持つテーブルを全て local_recipient_maps パラメータにリストアップすることで、 Postfix SMTP サーバに存在するローカルユーザを知らせることを求められます。使っている Postfix のバージョンを知るには、 postconf mail_version コマンドを使います。

local_recipient_maps 設定のデフォルトは、デフォルトの Postfix local 配送エージェントを使うことを想定しています:

    /etc/postfix/main.cf:
        local_recipient_maps = $alias_maps, proxy:passwd.byname

master.cf で Postfix SMTP サーバを chroot して走らせるようにしているのであれば、proxy: 部分が必要です。作者による配布物については、Postfix はどのデーモンも chroot しません。

ローカル受信者テーブルは受信者アドレス (user@domain) および受信者名 (アドレスから domain を引いたもの) で検索されます。 Postfix は検索結果の見え方を気にしないので、Postfix が理解するどのフォーマットのデータベースでも使うことができます。

Postfix が不正にローカルメールを拒否するのを止めるには:

Postfix SMTP サーバを chroot して動かしているのであれば、上の例で示したように、Postfix proxymap サービスを使ってシステムのパスワードデータベースにアクセスする必要があります。代わりの方法は簡単ですが実用的ではありません: passwd ファイルのコピーを chroot jail の中 (典型的には /var/spool/postfix/etc) にコピーします。
local 配送エージェントの luser_relay 機能を有効にするのであれば、下に示すように local_recipient_maps 機能を無効にしなければいけません。
/etc/passwd にないユーザ宛のメールを受信するのに、 local 配送エージェントの mailbox_transport 機能や fallback_transport 機能を使うのであれば、そのユーザを local_recipient_maps にリストアップするか、下に示すように local_recipient_maps 機能を無効にする必要があります。
master.cf や main.cf の local_transport 設定で local 配送エージェントを再定義するのであれば、 local_recipient_maps にローカル受信者をリストアップするか、下に示すように local_recipient_maps 機能を無効にしなければいけません。

local_recipient_maps 機能を無効にするには、次のように指定します:

    /etc/postfix/main.cf:
        local_recipient_maps =

この設定では、Postfix SMTP サーバは知らないローカル受信者宛のメールを拒否しません。

user@domain としてメールを送る際に、あるユーザはローカルに配送したい

user@domain.tld としてメールを送るには、どのドメイン名ががドメインを持たないアドレスに付加されるかを指定します:
```
/etc/postfix/main.cf:
    myorigin = domain.tld
```
root や postmaster のような、一部のユーザをローカルで受け取るには、デフォルトでない配送先を持つバーチャル検索テーブルを指定します:
```
/etc/postfix/main.cf:
    virtual_alias_maps = hash:/etc/postfix/virtual

/etc/postfix/virtual:
    root        root@localhost
    postmaster  postmaster@localhost
```
システムが db ファイルの代わりに dbm ファイルを使っているのであれば、hash の代わりに dbm を指定します。 Postfix がどのマップタイプをサポートしているかを知るには、 postconf -m コマンドを使います。
virtual テーブルを編集したら、毎回 postmap /etc/postfix/virtual コマンドを実行して下さい。
変更を反映するには、postfix reload コマンドを実行します。

Maildir 形式のメールボックスをサポートしたい

Maildir は Daniel Bernstein によって qmail とともに紹介された、特定の1メッセージ1ファイルの構成です。maildir形式の配送にするには、例えば、次のように指定します:

    /etc/postfix/main.cf:
        home_mailbox = Maildir/

どんな相対パス名も / で終わると maildir 配送にします。 home_mailbox の値がユーザのホームディレクトリのパス名に付加されます。

maildir フォーマットは .forward ファイルを通した配送でもサポートされています。/file/name/ を配送先として指定して下さい。最後に / がつくと maildir 配送をします。

システムのローカル配送に procmail を使いたい

警告: この方法で procmail を使うのであれば、root 宛のメールを実在のユーザに転送する root へのエイリアスを作らなければいけません。FAQ の "Root のメールが誰にも配送されません" のエントリを参照して下さい。

全てのメールボックス配送を procmail が行なうように指定します。例えば:
```
    /etc/postfix/main.cf:
        mailbox_command = /path/to/procmail

    /etc/postfix/main.cf:
        mailbox_command = /path/to/procmail -a $EXTENSION
```
できることなら、 $ や "、IFS、&& のようなシェルのメタ文字やビルドインを使うのは避けて下さい。 Postfix が負荷の大きなシェルプロセスを使わざるを得なくなります。しかし、procmail はブタであり、シェルを回避して得られるものはあまりありません。
変更を反映するには、postfix reload コマンドを実行します。

Postfix は環境変数を使って情報を提供します。中身は検閲されます。空白を含む、シェルで特別な意味を持つ可能性がある文字はアンダースコアで置き換えられます。

DOMAIN
受信者アドレスの @ の右側の文字列。
EXTENSION
オプションのアドレス拡張部分。
HOME
受信者のホームディレクトリ。
LOCAL
受信者アドレスの @ の左側の文字列、例えば $USER+$EXTENSION。
LOGNAME
受信者のユーザ名。
RECIPIENT
受信者アドレス全体、$LOCAL@$DOMAIN。
SENDER
完全な送信者アドレス。
SHELL
受信者のログインシェル。
USER
受信者のユーザ名。

"warning: cannot access UNIX password database" が意味するのは？

このメッセージは、例えば Postfix SMTP サーバが UNIX パスワードデータベースにアクセスできないときにログに記録されます。

Postfix SMTP サーバを chroot して動かしているのであれば (master.cf 参照)、Postfix proxymap サービスを使ってシステムのパスワードデータベースにアクセスする必要があります。代わりの方法は簡単ですが実用的ではありません: passwd ファイルのコピーを chroot jail の中 (典型的には /var/spool/postfix/etc) にコピーします。
```
    /etc/postfix/main.cf:
        local_recipient_maps = proxy:unix:passwd.byname $alias_maps ...
```
chroot している場合でもそうでない場合でも、ディレクトリに world 実行権があり、passwd ファイルや (/etc/nsswitch.conf や /etc/nsswitch.conf に参照される libnss*.so* のように) 必要な補助ファイルに world read 権があることを確認してください。

醜い Delivered-To: ヘッダを取り除きたい

Postfix がメールに醜い Delivered-To: メッセージヘッダをつけたと苦情をいう人がいるかもしれません。デフォルトでは、 Postfix はこのヘッダを、メールを転送する時とファイル (メールボックス) やコマンドに配送する時に付加します。目的はできるだけ早く、つまりそれが起こる前にメールの転送ループを止めることです。しかしヘッダは醜いのは疑いようもありません。

解決策、戦いの兆候から Delivered-To: ヘッダをオフにするまで:

幸い、多くのメールユーザエージェントはユーザ毎またはシステム全体にわたる、Delivered-To: ヘッダを伏せるように設定できる設定ファイル (例えば ~/.mailrc や /usr/lib/Mail.rc) を持っています。
メーリングリストでは、リスト発信者が外行きのメールに現れるべきではない「秘密の」エイリアスを使う時に、Delivered-To: が得られてしまいます。お勧めの解決策は、正規表現ベースのフィルタを SMTP ポートに使うことです。
```
    /etc/postfix/main.cf:
	smtpd_recipient_restrictions = 
	    ... regexp:/etc/postfix/access_regexp ...
	smtpd_recipient_restrictions = 
	    ... pcre:/etc/postfix/access_regexp ...

    /etc/postfix/access_regexp:
	/^(.*)-outgoing@(.*)/   554 Use $1@$2 instead
```
POSIX 正規表現サポート (regexp) は最近の UNIX システムではデフォルトで使えます。Perl 互換正規表現サポート (pcre) はオプションです; Postfix ソースディレクトリのトップにある PCRE_README ファイルを参照して下さい。
prepend_delivered_header 設定パラメータは Delivered-To: が付加される時を制御します。デフォルトの設定は command, file, forward (翻訳: コマンドへの配送、ファイルへの配送、そしてメールの転送時に Delivered-To: を付加します) です。 メール転送時に Delivered-To: をオフにするのはお勧めできません。

FAQ の Majordomo での approve コマンドの問題の項目も参照して下さい。

Postfix で majordomo の "approve" コマンドが動きません

Postfix のローカル配送エージェントはメール転送ループを防ぐために、 Delivered-To: メッセージヘッダを付加します。majordomo メーリングリストでは、モデレータがリストに送られた投函を承認したい時に Delivered-To: が邪魔をします。Postfix システムはメールがループしていると主張します。

今のところ、推奨する回避方法は以下にマッチするあらゆるヘッダを取り除くように approve スクリプトを編集することです:

    /delivered-to/i

はい、これはモデレータが自分が何をしているか知っていることを想定しています。

あまりお勧めしない回避方法は、majordomo のようなコマンドへの配送時には Delivered-To: を挿入しないことです。 FAQ の醜い Delivered-To: ヘッダを取り除きたいというエントリを参照して下さい。

Postfix が MAIL FROM / RCPT TO "| command" のメールを受け取ります

Postfix では | や / は aliases や .forward ファイル、:include: ファイルに現れる時のみ特別な意味を持ちます。メールアドレスでは特別な意味を持ちません。

10年以上前の脆弱なシステムへのメールを受け取らねばならない場合、潜在的に危険な MAIL FROM や RCPT TO コマンドを拒否する regexp フィルタを慎重に設定します。

    /etc/postfix/main.cf:
        smtpd_sender_restrictions =
            regexp:/etc/postfix/envelope-regexp
            reject_unknown_sender_domain
        smtpd_recipient_restrictions =
            regexp:/etc/postfix/envelope-regexp
            permit_mynetworks
            reject_unauth_destination

    /etc/postfix/envelope-regexp:
        /[/|]/  REJECT

しかし、/ を持つ全てのエンベロープアドレスを拒否してしまうと、 X.400 アドレス構造があらわに残っている単純な X.400 - インターネットアドレスマッピングで問題を引き起こします。

メッセージヘッダの中身に関しては、header checks 制限に関するドキュメントも参照してください。これらの制限はコマンド・ファイルを宛先とする攻撃に対する保護に使われます。例えば、Errors-To: や Return-Receipt_To: メッセージヘッダなど。

メールの内部配送リストを保護したい

内部の email 配送リストを実装したいのです。all@our.domain.com のようなもので、これは従業員全てへのエイリアスです。始めはエイリアスマップを使おうと考えたのですが、"all" が「外部」からアクセス可能になってしまい、これは望みません... :-)

Postfix はアドレス毎のアクセス制御を実装できます。次に続くのはクライアントの IP アドレスをベースにしており、IP スプーフィングを受けやすいです。

    /etc/postfix/main.cf:
        smtpd_recipient_restrictions =
            hash:/etc/postfix/access
            ..the usual stuff...

    /etc/postfix/access:
        all     permit_mynetworks,reject

さて、あなたのマシンが全てのインターネットメールを直接インターネットから受け取る時にはこれで十分でしょう。もしネットワークがオフィスよりも少し大きいと、それはうまくいきそうにありません。例えばバックアップ MX ホストが外から来たメールのクライアント IP アドレスを「ロンダリング」すると、信頼するマシンから来たようにメールが見えるでしょう。

一般的な場合には、二つの検索テーブルが必要です: 一つは保護する必要がある配送先のリストを持つテーブルで、もう一つは保護した配送先へメールの送信が許されたドメインのリストを持つテーブルです。

次に続くのは送信者の SMTP エンベロープアドレスをベースにしたもので、 SMTP 送信者のスプーフィングをうけやすいです。

    /etc/postfix/main.cf:
        smtpd_recipient_restrictions =
            hash:/etc/postfix/protected_destinations
            ..the usual stuff...

        smtpd_restriction_classes = insiders_only
        insiders_only = check_sender_access hash:/etc/postfix/insiders, reject

    /etc/postfix/protected_destinations:
        all@my.domain   insiders_only
        all@my.hostname insiders_only

    /etc/postfix/insiders:
        my.domain       OK
        another.domain  OK

冗長な smtpd_restriction_classes は Postfix が chroot jail に入る前にどの検索テーブルを開くかを知るために必要です。単なる実装の産物です。

SMTP の送信者アドレスをかたるだけでよいので、この簡単なスキームは過去のものになっています。

内部リストが小さければ、おそらくモデレートする意義が増すでしょう。

Postfix が "User unknown in virtual alias table" といってメールを拒否します

回答: virtual_alias_domains パラメータで指定されたテーブルにバーチャルドメイン名をリストアップしていますが、受信者名が virtual_alias_maps で指定されたテーブルにリストアップされていません。

Postfix virtual(8) メールボックス配送エージェントを使って配送したいのであれば、代わりに virtual_mailbox_domains パラメータで指定されたテーブルにバーチャルドメイン名をリストアップします。

Postfix が "User unknown in virtual mailbox table" といってメールを拒否します

回答: virtual_mailbox_domains パラメータで指定されたテーブルにバーチャルドメイン名をリストアップしていますが、受信者名が virtual_mailbox_maps で指定されたテーブルにリストアップされていません。

それぞれのユーザがローカルまたはリモートの実在するアドレスにエイリアスされる、Postfix の virtual(5) エイリアスドメインとして配送したいのであれば、代わりに virtual_alias_domains パラメータで指定されたテーブルにバーチャルドメイン名をリストアップします。

Postfix が知らないバーチャルユーザ宛のメールを拒否しません

知らないバーチャルユーザ宛のメールが "mail loops back to myself" といって失敗します

Postfix がバーチャルドメイン宛のメールを "relay access denied" といって拒否します

解決策:

virtual(5) マニュアルページにあるバーチャルエイリアスドメインを指定します。
virtual(8) マニュアルページにあるバーチャルメールボックスドメインを指定します。

Postfix の virtual マップでコマンドやメーリングリスト、/file/name への配送が動きません

簡単な回答: メールをローカルの Postfix エイリアスに向け直すような "突き抜け" バーチャルエイリアスを設定します。

    /etc/postfix/main.cf:
        virtual_alias_maps = hash:/etc/postfix/virtual

    /etc/postfix/virtual:
        listname@virtual.tld            listname
        owner-listname@virtual.tld      owner-listname
        listname-request@virtual.tld    listname-request

    /etc/aliases:
        listname: "|whatever"
        owner-listname: user@domain
        listname-request: "|whatever"

これはバーチャルアドレス listname@virtual.tld など宛のメールをローカルアドレス listname@your.domain.tld などに向け直します。そしてこれらのローカルアドレス宛のメールは Postfix local 配送エージェントによって外部コマンドやファイルなどに配送されます。

長い回答:

コマンドは適切な権限で実行されねばならないため、ファイルやコマンドへのメール配送はセキュリティに敏感な操作です。 Postfix ローカル配送エージェントのように root 権限を持つソフトウェアしかコマンドの権限をセットできません。

セキュリティ上の理由から、Postfix は root 権限の利用をできるだけ避けようとしています。特に Postfix virtual マッピングは特権を持たないデーモンによりおこなわれるため、virtual マップに見られるコマンドを実行したり指定されたファイルに配送する安全な方法がありません。

バーチャルドメインをメールボックスで受け取りたい

質問: 元の受信者情報を損なわずに一つのメールボックスで一つのドメイン宛のメール全てを受け取る方法は？　Postfix の Delivered-To: メールヘッダにはメールボックスのオーナーしかなく、メールが送られたバーチャルアドレスは書いてありません。

回答: Postfix は元の受信者アドレスを X-Original-To: メッセージヘッダに記録します。

例外つきでアドレスをマスカレードしたい

外部の組織の人達にはそれぞれの内部ホスト名のついたアドレスよりも user@company.com の形式のアドレスしか見えないことが望まれます。これはアドレスマスカレーディングでできます。

アドレスマスカレーディングはメールゲートウェイでのみ使うことを意図しています。

ゲートウェイを通る全てのメールを user@my.domain から来たように見せるには、次のように指定します:
```
    /etc/postfix/main.cf:
        masquerade_domains = $mydomain
```
ゲートウェイは、アドレスマスカレードをしようとする前に全てのアドレスを FQDN 形式にするために、 append_dot_mydomain と append_at_myorigin をオンにすべきであることに注意して下さい。

場合によっては、あるユーザやホストをマスカレードの例外にしたいかもしれません。

ある users、例えば root をマスカレードの例外にするには、次のように指定します:
```
    /etc/postfix/main.cf:
        masquerade_exceptions = root
```
ある hosts をマスカレードの例外にするには、 masquerade_domains をこのように書きます:
```
    /etc/postfix/main.cf:
        masquerade_domains = somehost.my.domain otherhost.my.domain $mydomain
```
上の順番が重要であることに注意して下さい: somehost.my.domain のような例外は $mydomain の先に記述しなければいけません。
この方法で例外扱いしたい特定のホストのメールが始めに user@my.domain として生成されると、これを例外にすることが難しいのはいうまでもありません。

通常は、変更を反映するには postfix reload コマンドを実行します。

"Error: too many hops" が意味するのは？

短い回答: このメッセージはメールがループしているかもしれないということを意味します。Postfix コンテンツフィルタを使うようにしてからこれを見るようになったのであれば、メールが繰り返しフィルタにかかるような間違いを犯しています。これは content_filter= や header_checks=、body_checks= を適切に使うことで直せます。

長い回答: このメッセージには Received: メッセージヘッダが多すぎます。 Received ヘッダは Postfix (などの MTA) がメッセージを受信したときに毎回加えられます。Received: メッセージヘッダが多いということはメールがループしていることを示します。

サイドコメント: Eメールは IP フォワーディングループを避けるのに使われるのとは対照的なテクニックを使います。IP では送信者が IP ヘッダのフィールドに TTL (time to live, 有効期間) を設定します。このフィールドはルータ毎に減らされます。TTL がゼロになるとパケットは破棄され ICMP エラーメッセージが送信者に返されます。

Using UUCP over TCP

この問題は「一つのメールボックス内のドメイン」解法に関して誰かが質問するといつもあがってくるものです。手始めの情報として、以下に挙げたガイドを参照してください。

Jim Seymour の UUCP over TCP を使うためのガイド。
Craig Sanders の SSL-encrypted UUCP over tcp using stunnel を使うためのガイド。

インターネット- UUCP ゲートウェイを設定したい

これはインターネット上にあり、全てではなく一部の非ローカルメールを UUCP で配送するマシンを設定する方法です。UUCP のみのホストの設定は FAQ エントリの UUCP のみを参照して下さい。

UUCP を通して到達したメールから送信者アドレスを抜き出して Postfix の sendmail コマンドにメールを提供する rmail プログラムが必要です。ほとんどの UNIX システムには rmail ユーティリティがついてきます。困ったら Postfix のソースコードの auxiliary ディレクトリにバンドルされたものを試してみて下さい。いつか Postfix は独自の rmail コマンドを持つかも知れません。
例えば some.domain 宛のメールを UUCP で uucp-host という名前のホストに配送するには、次のように指定します:
```
    /etc/postfix/transport:
        some.domain     uucp:uucp-host
        .some.domain    uucp:uucp-host
```
詳細は transport マニュアルページを参照して下さい。
transport テーブルを編集したら、毎回 postmap /etc/postfix/transport コマンドを実行して下さい。
transport テーブルの検索を使います:
```
    /etc/postfix/main.cf:
        transport_maps = hash:/etc/postfix/transport
```
システムが db ファイルの代わりに dbm ファイルを使っているのであれば、hash の代わりに dbm を指定します。 Postfix がどのマップタイプをサポートしているかを知るには、 postconf -m コマンドを使います。
メールの配送方法を UUCP を使った配送と定義します:
```
    /etc/postfix/master.cf:
        uucp      unix  -       n       n       -       -       pipe
          flags=F user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
```
これは uux コマンドを走らせ、next-hop ホスト名 (uucp-host) と受信者をコマンドを実行する前に置き換えます。uux コマンドはシェルの助けなしに実行されるため、シェルのメタ文字に関する問題はありません。
some.domain をあなたのサイトがメールを転送するドメインのリストに加えます。
```
    /etc/postfix/main.cf:
        relay_domains = some.domain $mydestination ...
```
詳細は relay_domains 設定パラメータの記述を参照して下さい。
変更を反映するには、postfix reload コマンドを実行します。

UUCP をデフォルトの配送方法にしたい

これは全てのメールを UUCP リンクで中継する方法です。UUCP と SMTP の間のゲートウェイになるマシンの設定は FAQ エントリのインターネットから UUCP へを参照して下さい。

transport テーブルは必要ありません。
全てのリモートメールを uucp メール配送を通して UUCP ゲートウェイホスト、uucp-gateway へ送るには、次のように指定します:
```
    /etc/postfix/main.cf:
        relayhost = uucp-gateway
        default_transport = uucp
```
メールの配送方法を UUCP を使った配送と定義します:
```
    /etc/postfix/master.cf:
        uucp      unix  -       n       n       -       -       pipe
          flags=F user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
```
これは uux コマンドを走らせ、next-hop ホスト名 (uucp-host) と受信者をコマンドを実行する前に置き換えます。uux コマンドはシェルの助けなしに実行されるため、シェルのメタ文字に関する問題はありません。
変更を反映するには、postfix reload コマンドを実行します。

FAX マシンにメールを送りたい

以下の情報は Joerg Henne によるものです:

ここでは Postfix と HylaFax で <fax number>@fax.our.domain スキームを使っています。ここで使った設定:

    /etc/postfix/master.cf:
        fax       unix  -       n       n       -       -       pipe
            flags= user=fax argv=/usr/bin/faxmail -d -n ${user}

    /etc/postfix/transport:
        fax.your.domain   fax:localhost

    /etc/postfix/main.cf:
        transport_maps = hash:/etc/postfix/transport
        fax_destination_recipient_limit = 1

master.cf ファイルの 1 というプロセス制限は同時に複数の要求を扱えない fax ソフトウェアで必要です。その他には影響ありません。

fax_destination_recipient_limit エントリ (by Simon, Mr. Simix) は複数の送信先をコマンドラインで指定できない FAX ソフトウェアの場合に必要です。他への影響はありません。

注意: fax.your.domain を DNS で広めないように気をつけて下さい :-)

Postfix キューからメッセージを削除したい

postsuper コマンドに Postfix メッセージキューファイルを削除するオプションがあります。mailq 出力から得られるであろうキュー id、 ABCDEF を持つメッセージを削除するには、次のように使います:

# postsuper -d ABCDEF

大量のファイルを消すには、次のように使います

# postsuper -d - < filename-with-queue-ids

通常は Postfix システムが動いている最中にこれをおこなっても安全です。しかし、間違ったキューファイルを削除してしまう可能性がわずかにあります。状況は次のようになります:

Postfix がメッセージを終えたため、postsuperが削除を想定したメッセージを Postfix キューマネージャが削除します。
新しいメールが到着し、新しいメッセージに postsuper が削除しようとするメッセージと同じキュー ID が与えられます。この削除したキュー ID を再利用する可能性は 2**15 回に 1 回の確率です (システムクロックが1秒以内に区別できる、異なるマイクロ秒の値)。
postsuper は削除すべき古いメッセージの代わりに新しいメッセージを削除します。

Postfix キューを移動したりリストアしたい

Postfix キューファイルを単にあるファイルシステム (やバックアップ) から別のファイルシステムにコピーするのは安全ではありません。その理由は、キューファイル名は Postfix incoming, active そして deferred キューディレクトリに渡ってユニークでなければならないためです。2つのキューファイルが同じファイル(ベース)名を持っていると、ファイルをキューディレクトリ間で移動する時にキューファイルのうち1つが失われるかもしれません。

Postfix はキューファイル名をその inode 番号と日時のマイクロ秒部分から名付けます。こうして、キューファイルに他の inode 番号に基づく名前がついていると、わずかながらファイル名が別のキューファイルとぶつかる可能性があります。

以下の文章は他のマシンやバックアップからのキューファイルのリストアの、異なる2つの方法を記述しています。

方法 1: Postfix キューが空で、Postfix release 20010525 以降を動かしている場合

Postfix が動いていれば止めます。
```
# postfix stop
```
mailq コマンドを実行します。何らかの出力があればこの方法を実行しないで代わりに 方法 2 を使ってください。
```
# mailq
```

キューファイルを適切な場所にコピーまたはリストアしてください。

# cd /var/spool/postfix
...restore maildrop, incoming, active, deferred, defer, bounce here...

postsuper コマンドを実行してください。子のコマンドはファイル名がメッセージファイルの inode 番号にマッチするようにキューファイル名を変更します。
```
# postsuper
```

方法 2: Postfix キューが空でなかったり、Postfix release が 20010525 より前のものを動かしている場合

Postfix が動いていれば止めます。
```
# postfix stop
```
キューファイルをコピーする時にキューファイル名の衝突を避けるには、かわりに maildrop ディレクトリに incoming、active および deferred キューファイルをリストアします。
```
# cd /var/spool/postfix/maildrop
...restore incoming, active, deferred here...
```
maildrop ディレクトリ以下にリストアしたファイルと衝突するおそれがあるため、この作業中にはローカルで新しいメールを送信しないでください。
2000年の後期の時点で、Postfix キューは全てハッシュ化 (例えばファイル ABCDEF は A/B/ABCDEF に保管されます) されたため、さらにサブディレクトリからファイルを移動する必要があります。
```
    # find incoming active deferred -type f -exec mv '{}' . ';'
    # rm -rf incoming active deferred
    # postfix start
```
Postfix が起動されると、maildrop ディレクトリからキューファイルが取り出されて、適切なキューファイル名が与えられます。

Undefined symbols: ___dn_expand, ___res_init etc.

質問: Postfix をビルドした時に、次のようなエラーが出ました:

    ld: Undefined symbol
       ___dn_expand
       ___res_init
       ___res_search
    *** Error code 1

回答: BIND バージョン 8 のインクルードファイルと違うバージョンのリゾルバライブラリが混在しています。

修正: 正しいインクルードファイルを使います。例:

    make makefiles CCARGS="-I/usr/include".

Undefined symbols: dbm_pagfno, dbm_dirfno etc.

質問: Postfix をビルドした時に、次のようなエラーが出ました:

    Undefined                       first referenced
     symbol                             in file
       dbm_pagfno                          ../lib/libutil.a(dict_dbm.o)
       dbm_dirfno                          ../lib/libutil.a(dict_dbm.o)

回答: /usr/include/ndbm.h を使う代わりに、あなたは Postfix を互換性のないサードパーティファイル、典型的には /usr/local/include/ndbm.h を使ってビルドしています。

修正: サードパーティの ndbm.h インクルードファイルを取り除きます。

サードパーティの DB ライブラリを使いたい

古い dbm UNIX データベースには、たくさんの情報を蓄えようとする時に、いくつかの制限があります。ハッシュの衝突数が多くなってエントリが単一のディスクブロックで合わなくなると、制限が破綻します。より新しい db データベースはこのような制限で苦しみません。これは 4.4BSD や Linux システムの標準です。

Postfix を db をサポートしない UNIX で db とともにビルドするには、www.sleepycat.com にある Berkeley DB ソースコードを使うことができます。 Postfix を Sleepycat の Berkeley DB とともにコンパイルする方法の説明は Postfix 配布ソースコードにある DB_README ファイルを参照して下さい。

IRIX における IP から文字列への変換に関する問題

質問:: クリーンなディスクに IRIX 6.5.7m を特別なオプションやソフトウェアをつけずにインストールすると、次の問題でつまづきます; inet_ntoa() 関数がコールされるたびに INADDR_NONE (malformed request?) を返すようにみえます。
回答:

Compaq メールブラックホール問題

Compaq Tru64 UNIX の設定によっては、Postfix がメールを受け取っても何も起こらないことがあります。メールは mailq コマンドでも現れません。

Postfix はメッセージを受け取ったことを示すためにキューファイルに実行ビットをセットします。キューファイルが実行ビットを持たない限り、 Postfix は「メールはまだ受信中」として無視します。

拡張セキュリティが有効になっていると、Compaq Tru64 UNIX はスーパーユーザ以外が実行ビットをキューファイルに立てようとするのを認めないという機能を持ちます。不幸にも、Postfix はそのような試みが失敗したことを知らされず、メールがブラックホールに消えたように見えてしまいます。

Postfix は実行ビット以外のビットを使うように変更できますが、それは同様に他のシステムで失敗するかも知れません。他の可能性はスーパーユーザ以外でも実行ビットをファイルに立てることを許可し、Postfix キューファイルシステムを noexec オプションや同等なものをつけてマウントすることです。

Too many connections

このメッセージは MYSQL サーバにより出されたものです。扱える接続数を増やす必要があります。覚えておくべきこと: virtual や canonical マップは全ての smtpd および cleanup プロセスによりアクセスされます。

write queue file: No such file or directory

write queue file: Unknown error 4294967289

メッセージが message_size_limit 設定を越えた場合に、 ReiserFS は誤ったエラーコードを報告します。結果として、Postfix SMTP サーバは "file too large" ではなく "queue file write error" を SMTP クライアントに報告します。クライアントは期限が来るまで同じ E メールを何回も送り続けます。

Up one level | Postfix FAQ

Postfix Frequently Asked Questions

目次

Postfix 警告およびエラーメッセージ

設定例

Sendmail との非互換性

数百の Postfix プロセスを走らせる

Postfix のパフォーマンス

ネットワーク経由でのメール受信

メールの中継

リモート配送

ローカル (非バーチャル) 配送

メーリングリスト

バーチャルドメイン

アドレスの書き換え

コンテンツフィルタリング

他の配送方法: UUCP, FAX, etc.

Postfix キューのメンテナンス

Postfix のコンパイルとインストール

特定のオペレーティングシステムでの問題

Compaq での問題

IRIX での問題

POP や IMAP の問題