[postfix-jp:21] Re: client の制限方法

[YAMAGUCHI Kenji <yamk@xxxxxxxxxxxxxxx>]

山口＠ソフィアワークスです。

池田さん、久保さん、reply ありがとうございます。

> 池田＠名古屋大学です。

> >>期待した動作をしてくれないようです。つまり、通常通り connect されてしまいます。
> >>reject といった出力はされていないようです。
> 　smtpd_client_restrictions で map ファイルを指定する時には
> check_client_access が必要だと思います。つまり、
> 
> smtpd_client_restrictions = permit_mynetworks, reject_maps_rbl,
>     check_client_access hash:/etc/postfix/clients, permit
> 
> としなければいけないかと。

やってみましたが、check_client_access がある場合とない場合は
動作が同じようです。

また、connect は許した上で、RCPT コマンドを受けた時点で REJECT しています。
connect 自体を拒否するといったことはできないようですね。


> あとは、smtpd_helo_restrictions も指定しておくとよいかもしれません。

これも試してみました。smtp_helo_restriction を入れると、数々のメールサーバが
弾かれてエラーメールが続発したためすぐ止めました。メーリングリストの
サーバも結構設定いい加減なんですねえ(^_^;)。

HELO localhost.localdomain

とか。使用頻度が高い ML だったので、とりあえずこれを受信できないことには
困るので止めました…。管理者にはそのうち投げておこうと思います。



> 久保＠日本ボルチモアです。
> 
> > 今後のためにも、アヤシゲなアクセスのサイトからは、SMTP 接続そのものを
> > reject したいのですが、上のような状況でうまくやる方法があるでしょうか？
> 
> sendmailだと、CFのSPAMLIST使ってSMTP自体を拒否できますが、Postfixでは
> できないようです。
>あとは、smtpd_helo_restrictions も指定しておくとよいかもしれません。
 smtpd_client_restrictionsはあくまで、UCE の設定のためですのでこのような
> 用途には使えませんね。

やはり機能がないのですか…。
sendmail に戻すしかないのかな…。


> あと、maps_rbl_domains使って様子みてはどうでしょう。
> 
> maps_rbl_domains=
> rbl.maps.vix.com
> dul.maps.vix.com
> relays.mail-abuse.org
> relays.orbs.org
> spamips.shub-inter.net
> 
> うまく引っかかってくれれば、SMTP接続自体が拒否されると思います。

固定サイトならそれでもいいとは思いますが、今回の場合 PPP 接続で
どんどん動くため難しいし、大手プロバイダのアクセスポイントを MAPS_RBL
のブラックリストに登録申請するのは気が引けます…。

だからこそ自分で hash テーブルに登録できるかと思ったんですが、残念。

それにしてもそんなにその手の ANTI SPAM サイトあったんですか(^_^)。
MAPS_RBL と ORBS は知っていましたが。
表題の件とは無関係ですが、情報ありがとうございます。
これはこれで登録してみます。


…全部突っ込んだら送信がめちゃめちゃ遅くなりました(^_^;)。
問い合わせが時間かかりすぎてタイムアウトします。
適当に問い合わせサイトを減らしてみることにします。

---
ソフィアワークス
山口健史 (YAMAGUCHI Kenji)
E-Mail: yamk@xxxxxxxxxxxxxxx