DKIM（ディーキム）は、そのメールが正規のメールサーバから送信されたか否かを識別するための技術です。仕組みとしては、送信側でメールに電子署名を行い、受信側でそのメールの電子署名を検証することによってメールサーバの正当性をチェックします。そこで今回は、OpenDKIM を利用して、Postfix を DKIM に対応するための設定方法をまとめてみました。 DKIM 設定の概要 送信側のメールサーバで電子署名（以下「署名」と表記します）に必要な秘密鍵と公開鍵を作成し、この秘密鍵を使ってメールサーバで署名を行うように設定します。一方、ペアの公開鍵はメールドメインを管理しているDNSサーバのTXTレコードに登録しておきます。そして、受信側のメールサーバはこの公開鍵を使って署名の検証を行います。 このように設定しておけば、下図の迷惑メール送信者のメールサーバから、送信元のメールアドレスを偽ったメー

iptablesで特定ユーザ以外のSMTP通信をブロックし、SPAMの踏み台になるのを防ぐ方法 2015/1/6 2015/1/6 CentOS, サーバ管理, セキュリティ サーバに侵入されてしまった時、非常によくあるのが「SPAMの踏み台にされる」ことです。 運良く(運悪く?)SPAMをバラ撒いているプログラムを発見出来ればいいのですが、「SPAMの踏み台にされている疑いがある 1が、そのプログラムは特定出来ない」というのが一番嫌なケースかもしれません。 なぜこのようなことが起こるのかと言うと、次のような2つの問題があるからです。 1. すべてのユーザが外部のTCP 25番ポートに通信出来てしまう。 2. ユーザが外部と通信した時のログが残らない。 この2点を解決すれば、 1. PostfixやSendmailなどの、限られたMTAのみが外部のTCP 25番ポートと通信出来る。MTA経

Postfix Advent Calendar です。 Postfix の設定や Tips、内部構造等 Postfix に関することならなんでもどうぞ。

SPF（センダー・ポリシー・フレームワーク）は、送信元のメールアドレスが詐称されていないかの正当性を検証する仕組みです。メールサーバを構築するにあたって、 Amazon Route 53 に SPFレコードを登録しました。 SPFの仕組み SPFの仕組みとしては、DNSサーバに正規のメールサーバのIPアドレスを登録しておき（これをSPFレコードといいます）メールを受け取ったメールサーバはこのSPFレコードを参照し、送信元のメールアドレスが詐称されていないことを確認します。 下の図では、SPFレコードに登録されている正規のメールサーバから送信されたメール（MAIL FROM：sample@apar.jp）は認証OKになりますが、SPFレコードに登録がない迷惑メール送信者のメールサーバから送信されたメールは認証NGとなります。 参考資料：SPF（Sender Policy Framework）

これは Postfix Advent Calendar 2014 の11日目の記事です。 サブミッションスパムという、盗んだアカウントを使って、botから送信認証を行ってスパムを出すというスパム送信手段があります。 これをされると、自分のメールサーバから大量のスパムが出されるため、各種DNSBLに登録されてしまい、このメールサーバからのメールが届かなくなったり、メールキューが爆発したり、バウンスメールが大量に届いてスプールが爆発したり、とろくなことがありません。 2年半前にこれがすごい流行った時があり、メールサーバ管理者の方には、痛い目にあった方も結構いるのではないでしょうか。 その時にサブミッションスパムについての解説を書いたエントリーです。 「サブミッションスパム」による5/15〜16のメール障害の解説と対策 - モーグルとカバとパウダーの日記 さて、2年半前に起きてその後どうなったか

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? この記事は、Postfix Advent Calendar 2014　12日目の記事です。 Postfixの証明書設定、認証について自分が調べた事を書きます。 目次 主な項目としては、 SMTPSのサーバ証明書設定と認証設定 SMTPSのクライアント認証設定 その他アレコレ 環境 どうせなら新しいほうがいいだろうと検証環境は、 OS: Centos7 Postfix: postfix-2.10.1-6.el7.x86_64 SELINUX: Enforcing(石川さんありがとう) Firewalld: tcp25,tcp587,tcp

構成 Docker で動作するメールサーバを構築する。 構成は以下。 yuanying/postfixadmin, yuanying/postfix, yuanying/dovecot という三つのイメージを用意して、 実際にはコンテナを三つ起動する。 アカウントやドメインの管理は postfixadmin を利用して MySQL 上にデータを置く。 以下は固定。 MySQL 実行コンテナ名: mysql データベースプロバイダ: mysql データベースポート: 3306 データベース名: postfix データベースユーザ: postfix 管理者メールアドレス: admin@${domain} MySQL は別コンテナで起動しているが、もうすで用意されている物とする。 yuanying/postfixadmin さくっと Dockerfile を書く。 Dockerfile # do

send-mail: warning: inet_protocols: IPv6 support is disabled: Address family not supported by protocol send-mail: warning: inet_protocols: configuring for IPv4 support only postdrop: warning: inet_protocols: IPv6 support is disabled: Address family not supported by protocol postdrop: warning: inet_protocols: configuring for IPv4 support only CentOS6.2の環境でPostfixを運用していると、上記メッセージが届く場合があります。 注：2013/0

Postfix Advent Calendar 2014の 20日目の記事です。 0.はじめに 2011年3月11日(金)未曽有の大地震「東北地方太平洋沖地震」が発生しました．その後，大規模な停電が発生．その後も２年程度は発電能力の不足による計画停電が政府および電力会社が通知されていました． 震央に近かった東北大学ではドメインが消失してしまった．東北大学の失敗は，tohoku.ac.jpの root DNSが学内にすべてあった事です．(現在ではSINETのセカンダリDNSサービスで多重化されているようです。) DNSの消失が長時間にわたると，該当ドメインに送られてきたメールがロストしてしまいます．ロストを防止するには，DNSを遠隔地に分散設置し，メールサーバも遠隔地に分散設置する必要があります．メールサーバだけ多重化しても意味はありません．DNSを多重化してこそ意味があります． DNSの多

Boids Mail 使ってみてくれるとありがたいけど、明日サービス中止から全メール流出まで何が起こるか分かりません。 作ろうと思った経緯とこのサービスの使い道 迷惑メールがうざい。 インターネットができた当初の牧歌的な時代ならともかく、私のアドレスを知っているだけで世界中の誰もが私にメッセージを送れる、電子メールというシステムが時代遅れなのだと思う。TwitterのDMやLINEなどたいていのコミュニケーションツールは受信を許可した相手しかメッセージは送れないし、後から許可を取り消すことができる。とはいえ、これらの新しいコミュニケーションツールは公開されたプロトコルではなく、どこかの会社のサービスなので、限られた人とのやり取りには使えても、ウェブサービスに登録するときなどはあと10年は電子メールを使い続ける必要がありそう。 Gmailでは、(元のアドレス)+(任意の文字列)@gmail.

これはPostfix Advent Calendar 2014の10日目の記事です。 Postfixは2.3からmilterという仕組みをサポートしました。milterとは「mail filter」の略で、送信したメールまたは受信したメールになんらかの処理を行う仕組みです。もともとはSendmailが作った仕組みですが、Sendmail・Postfix以外のMTAでもサポートしているMTAがあります。 Postfix 2.3でのmilterサポートは限定的な機能のみのサポートでしたが、Postfix 2.6ではSendmailとほぼ同等の機能をサポートしています。SendmailとPostfixでマクロ（後述）名が違うなど一部非互換な部分もありますが、SendmailでもPostfixでも同様に使えます。 Postfixユーザーの人にとっては、milterでどのようなことができるか、con

前回はPostfixをインストールしてメール送信できるようにしたが、そのまま送ると差出人がユーザ名@ホスト名 (前回の例では、hoge@localhost.localdomain)となってしまいます。 自分だけに送るのであれば、これでも良いのですが、他の人に送る場合、PCメールは迷惑メールフォルダに入ってしまいます *1。 迷惑メールフォルダに入るだけなら、 送信者に迷惑メールフォルダも確認するように注意を促せばいい *2 のですが、携帯のメールアドレスに送る場合はなりすまし規制が厳しいので弾かれてしまい、メールが届かない場合があります。しかも、弾くのは携帯キャリア側なので、送る側のメールログを見ても正常に送信できていることがあるので事象を把握するのが難しいです。 そのまますんなり受信してくれればありがたいのですが、近年増加するスパムメールやなりすましメールのせいでメール事業者や携帯キャリ

前回独自ドメインのメールアドレスを作成してレンタルサーバーからメールが送れるように設定しました。 今回はRaspberri Piからこのメールアドレスを使ってメールを送れるようにPsotfixの設定を行います。受信はセキュリティ設定とかが大変なのでレンタルサーバーに任せることにします。 プロバイダのメールやGmailを使ってRaspberry Piからメールを送信する場合の設定も記載しているので参考にどうぞ。(ただしこちらは普段使っていないので送信できることを確認したのみです) 参考URL Lab Notebook: お便利サーバー.com なんでRaspberry Piからメールを送れるようにするかというと、Piサーバー上で動いているサービスプログラムからログやエマージェンシーの情報をメールで送りたい場合があるからです。 これらサービスは主にmailコマンドでメールを送ることになりますが

作業費半人日以下だったか、そもそも無料だったか忘れたけど、メールサーバを立てろとか言われて作業したら ftp 鯖もとか web 鯖も！とか ftp はアクセスしたルートディレクトリが document_root になってない！とか文句いわれまくって相当ビキビキしながら作業したの鯖が spam の踏み台にされてました。なお初期構築作業だけで、保守とかいらねえよ黙れみたいな感じだった。 お金ないから postfix には SSL 証明書いれないもん！とかむちゃくちゃ言ってたはずなので、正直聞いた時はざまあｗｗｗｗｗｗみたいな感想しか出ませんでした、なんで皆月額保守費ケチって信用を失うんだろう？5万10万出せって言ってるわけじゃねーのになあ。安くしたいなら gmail でも使えばいいじゃない。 愚痴ここまで。 postfix 乗られた！どうする？ まずサービスを止めましょう。 [root@loc

PostfixからSESにメールを投げる方法は2種類ある - STARTTLSを使用する方法 - SMTPsを使用する方法 Postfix自体の設定はSMTPsを使う方がシンプルであるが、 SMTPsを使用する場合はStunnelという別のデーモンが必要になる。 STARTTLSはPostfixだけ(別のモジュールは使うが・・・)の設定で使用できるので、 今回はSTARTTLSを使う方式を選んだ。 STARTTLSを使用する場合のメールの流れ -----------Webサーバ--------------- |webアプリ,cron,etc... -> Postfix | -> SES -> 宛先 ---------------------------------- ↑ この通信でSTARTTLSする 前提 Verified Sendersの設定は済んでいる SMTP Settingsにて