[postfix-jp:03844] Re: 送信者 詐称対策がしたい

[Tomoyuki Sakurai <ml-postfix-jp@xxxxxxxxxxxxxxx>]

On Tue, 13 Jan 2004 11:49:30 +0900
shin-ml@xxxxxxxxxxxx wrote:

| 現在、Postfix-1系を使っています。

Postfix 2.xを強く勧めます。非常に柔軟な設定ができます。experimental
releaseはさらに強力です。experimentalでも安定性にはまったく問題がありま
せん。ちょくちょく変更がありますが。

| このごろ、送信者を当ドメインのアドレス（でたらめではなくてきちんと存在す
| るもの）をかたったSPAMが大量にくるようになりました。

実在するアドレスがenvelope fromに詐称されているspamがあちこちに送信され
ていて、DSNが押し寄せているということでしょうか。それとも、自ドメインあ
てのメッセージに実在するアドレスがFrom:やenvelope fromで使われているので
しょうか。

問題のメッセージのヘッダがあると話が速いかもしれません。

とりあえず、envelope fromが詐称されていて、認証したクライアント以外から
のメッセージが特定のenvelope fromだった場合に拒否するやり方を。もしかす
るとPostfix 1.xではこのまま当てはめることはできないかもしれません。

| 外部ネットワークからの詐称のメールを受信しないようにしたいのですが、どう
| そすれば良いでしょうか？　ご教授願えませんでしょうか。

main.cfに次のような指定をします。ここではユーザの認証にSASLを使っていま
すが、dracなどを使用している場合は適宜読み替えてください。

smtpd_recipient_restrictions =  permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unauth_destination,
                                check_sender_access hash:/path/to/access,
                                permit

拒否するアドレスを適当なファイル(ここでは/path/to/access)で指定します。

> cat /path/to/access
forged_user@example.com REJECT possible forgery.

データベースファイルに変換します。

# postmap hash:/path/to/access

> ls /path/to/access*
access
access.db

もし不安であれば、最初はREJECTではなく、450でも返すようにするといいかも
しれません。意図した動作をすることが確認できたら、550やREJECTに変更しま
しょう。

最初の2行でユーザを認証しますので、reject_unauth_destinationの後ろに
check_sender_accessを指定すれば、正規のユーザのメッセージは中継され、認
証されていないSMTPクライアントからのメッセージのenvelope fromが
forged_user@example.comだった場合は、拒否します。ユーザがきちんと認証を
行っていれば、reject_unauth_destinationより後ろの条件は外部のMTAを相手に
することになります。絶対に存在しないアドレスであれば、
reject_unauth_destinationより前に指定してもよいでしょう。

Postfixをpcreサポートを有効にしてコンパイルしていれば、Perlの正規表現を
accessに使用できます。postconf -mの実行結果にpcreがあればOKです。

> postconf -m
sdbm
cidr
pcre
regexp
environ
proxy
btree
unix
hash
pgsql
tcp

ちなみに、(header|body)_checksはsmtpd_*_restrictionの結果にかかわらず、
すべてのメッセージに適用されますので、注意が必要です。
--
Tomoyuki Sakurai - Tomi -
mailto:ml-postfix-jp@xxxxxxxxxxxxxxx