世界認識の旅 / Postfix

spam 対策
1. 現象1
手順
不正中継チェック
1. テスト
2. 参考
Tips
プログラム起動の注意点
参考文献

Sitemap | Profile | タグ一覧

最近の更新
ドライランのありがたみを改めて知る	2024/04/04
伊豆半島	2024/03/31
お出かけチェックリスト	2024/03/29
Ruby	2024/03/27
Kubernetes	2024/03/22
音楽データをDisplayAudioで聞く	2024/03/09
Redmine	2024/02/05
git	2024/02/02
経済	2024/01/08
どうする家康	2023/12/17
MX-Linux	2023/11/06
國體関連学-休学のご連絡	2023/08/13
Debian	2023/08/02
CentOS	2023/06/13
Dell-XPS13	2023/05/23
ベルト	2023/05/18
SourceForge	2023/04/17
確定申告	2023/02/19
さらば「まぐまぐ」	2023/01/09
風猷縄学	2022/11/23

[+] [-] 1. spam 対策

[+] [-] 1.1. 現象1

Jan 8 20:42:22 ip-172-31-32-18 postfix/smtp[32750]: CDF2E3EE15: host gmail-smtp-in.l.google.com[74.125.204.26] said: 421-4.7.0 [54.199.176.128 15] Our system has detected an unusual rate of 421-4.7.0 unsolicited mail originating from your IP address. To protect our 421-4.7.0 users from spam, mail sent from your IP address has been temporarily 421-4.7.0 rate limited. Please visit 421-4.7.0 https://support.google.com/mail/?p=UnsolicitedRateLimitError to 421 4.7.0 review our Bulk Email Senders Guidelines. u3si17206311pgj.300 - gsmtp (in reply to end of DATA command)

[+] [-] 2. 手順

(お名前.com)

ログイン
ドメイン設定 >
DNSレコード設定を利用する
SPFレコードの設定
1. 入力
  TYPE: TXT
  VALUE: v=spf1 ip4:##.##.##.## ~all
2. 追加、保存

参考: https://powerbiz.jp/abiz/spfrecord/archives/7763/

$ grep 'Our system has detected' /var/log/mail.log | ruby -ane 'printf("%s %s\n", $F[0], $F[1])' | uniq -c
     64 Dec 31
    164 Jan 1
    225 Jan 2
    266 Jan 3
    289 Jan 4
    227 Jan 5
     61 Jan 6
    191 Jan 6
    325 Jan 7
    328 Jan 8
    176 Jan 9
    317 Jan 10
    383 Jan 11
    247 Jan 12

SPF verification site: https://www.kitterman.com/spf/validate.html

あまり直ってない？ https://www.stak.jp/?p=46 が正解？

[+] [-] 2.1. 対策

https://support.google.com/a/answer/33786?hl=ja によると

DKIM, DMARC, SPF の3つを併用する必要があるとのこと。

[+] [-] 2.2. 現象2 change.org -> wtech.jp -> gmail が以下で怒られる

Jan 12 12:43:31 ip-172-31-32-18 postfix/smtpd[1041]: disconnect from SOME.DOMAIN[##.##.##.##] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7 Jan 12 12:43:32 ip-172-31-32-18 postfix/smtp[1046]: 23A7E3E87C: to=<...>, orig_to=<...>, relay=gmail-smtp-in.l.google.com[108.177.97.27]:25, delay=0.86, delays=0/0.01/0.39/0.46, dsn=5.7.1, status =bounced (host gmail-smtp-in.l.google.com[108.177.97.27] said: 550-5.7.1 Unauthenticated email from SOME.DOMAIN is not accepted due to domain's 550-5.7.1 DMARC policy. Please contact the administrator of change.org domain 550-5. 7.1 if this was a legitimate mail. Please visit 550-5.7.1 https://support.google.com/mail/answer/2451690 to learn about the 550 5.7.1 DMARC initiative. x3si17368758pgj.493 - gsmtp (in reply to end of DATA command)) Jan 12 12:43:32 ip-172-31-32-18 postfix/cleanup[1044]: 02E913E881: message-id=<#########>

https://blog.jicoman.info/2014/09/postfix_aliases_envelope_from/ 辺り

[+] [-] 2.2.1. SPF softfail を起こしていた

spf=softfail (google.com: domain of transitioning SOME-SENDER@SOME.DOMAIN does not designate RELAY.IPD as permitted sender) smtp.mailfrom=SOME-SENDER@SOME.DOMAIN

対策をググる:

https://blog.jicoman.info/2014/09/postfix_aliases_envelope_from/ で @wtech.jp に書き換え

[+] [-] 2.3. DKIM

spam 扱いされているので対応

$ sudo apt install opendkim opendkim-tools

/etc/opendkim.conf:

TODO

/etc/default/opendkim: (default のまま)

/etc/postfix/main.cf:

# DKIM
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891


$ opendkim-genkey -t -s mail -d wtech.jp
$ sudo mv mail.private /etc/dkimkeys/dkim.key
$ sudo chown opendkim:opendkim /etc/dkimkeys/dkim.key


$ sudo systemctl restart opendkim
$ sudo systemctl restart postfix

DNS txt に mail.txt の中身を登録

[+] [-] 2.4. DMARC

色々試したが change.org の email の更新はうまく行かず。諦めた。

[+] [-] 2.5. 参考

https://help.ubuntu.com/community/Postfix/DKIM

[+] [-] 3. 不正中継チェック

default で不正中継は off になっている。

[+] [-] 3.1. テスト

$ telnet relay-test.mail-abuse.org

[+] [-] 3.2. 参考

http://www.postfix-jp.info/origdocs/antispam.html

[+] [-] 4. Tips

[+] [-] 4.1. (Ubuntu)マシンブート時の postfix 自動起動を止める

$ sudo update-rc.d -f postfix remove

[+] [-] 4.2. queue 制御

$ mailq                           # list mail queue
$ sudo postsuper -d ALL           # queueに溜まっている全メッセージを削除
$ sudo postsuper -d ALL deferred  # deferred queueに溜まっている全メッセージを削除

[+] [-] 4.3. example.com 用の設定

$ vi /etc/postfix/main.cf
#myhostname = XXX.XXX.XXX   -> myhostname = example.com
$ /etc/rc.d/init.d/postfix stop
$ /etc/rc.d/init.d/postfix start

[+] [-] 4.4. root への mail を自動転送

sendmail 互換。/etc/aliases に

root: [MYNAME]

を書き、newaliases(1) を実行。

[+] [-] 5. プログラム起動の注意点

(2006/09/12) 某プロジェクトではまった点についてメモする。

Vine Debian
実行ユーザ fml アプリケーションユーザ
実行ユーザ設定個所 /etc/postfix/main.cf の default_privs = fml の行「alias や include の file ownerの権限で配送が行われる」というPostfix の機能を使用している。
プログラムの指定 /etc/aliases に:
mlerr_man: "|アプリスクリプトパス"
/etc/postfix/main.cf で:
allow_mail_to_commands = alias,forward,include
とし、まず include を許可する。次に /etc/aliases に:
mlerr_man: :include:/usr/local/memberportal/etc_mp/mlerr_rpt.inc
とし、mlerr_rpt.inc の中で
"|/usr/local/memberportal/sbin_mp/mlerr_man"
と記述し、mlerr_rpt.inc の owner を希望する実行ユーザにしておく。

	Vine	Debian
実行ユーザ	fml	アプリケーションユーザ
実行ユーザ設定個所	/etc/postfix/main.cf の default_privs = fml の行	「alias や include の file ownerの権限で配送が行われる」というPostfix の機能を使用している。
プログラムの指定	/etc/aliases に: mlerr_man: "\|アプリスクリプトパス"	/etc/postfix/main.cf で: allow_mail_to_commands = alias,forward,include とし、まず include を許可する。次に /etc/aliases に: mlerr_man: :include:/usr/local/memberportal/etc_mp/mlerr_rpt.inc とし、mlerr_rpt.inc の中で "\|/usr/local/memberportal/sbin_mp/mlerr_man" と記述し、mlerr_rpt.inc の owner を希望する実行ユーザにしておく。

こうして比較してみると、Debian の設定の方がすぐれているようだ。

[+] [-] 6. 参考文献

http://acorn.zive.net/~oyaji/mail2/postfix.htm

Generated by juli 2.3.2

TYPE:	TXT
VALUE:	v=spf1 ip4:##.##.##.## ~all