mailをファイヤーウォール内に転送する Ver.2

VineLinux3.1にバージョンアップをした祭に、Postfixもバージョンがあがりました。
ここでは、Postfix2.*について記述します。
手法
外部にメールサーバを出しておくとクラックされて、いたずらをされるおそれがあります。
そこで、外側にメールサーバを置き自分のサイトのメールのみ内側にあるメールサーバに転送します。
図式             
aaa.aaa.aaa.aaa/29   bbb.bbb.bbb.0/24
	              ||     +-- client
	              ||     |
	intnet ---- router --+-- smtp server
	______________||
	      DMZ     ||  Fier wall

PC名
router = dmz.hogehoge.nu                外側のメールサーバ
smtp server = mail.intra.hogehoge.nu    内側のメールサーバ

Postfixの設定
 VineLinuxの場合、ほとんどの設定は出来ています。

1:main.cfの設定 for router
デフォルトから変更した点だけを書き出します。

---- /etc/postfix/mail.cf ----
myhostname = dmz.hogehoge.nu
mydomain = hogehoge.nu
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname, $mydomain, linux.$mydomain, localhost.$mydomain
local_recipient_maps =
mynetworks_style = subnet
mynetworks = aaa.aaa.aaa.aaa/29, bbb.bbb.bbb.0/24, 127.0.0.1/8
relay_domains = hogehoge.nu, intra.hogehoge.nu
smtpd_recipient_restrictions = regexp:/etc/postfix/550error.txt, permit_mynetworks, reject_unauth_destination

transport_maps = hash:/etc/postfix/transport
alias_maps = hash:/etc/aliases

smtpd_client_restrictions = permit_mynetworks,reject_rbl_client,permit
---- EOF ----
赤字の所は、Ver1.*と2.*の違いです。

/////// その1 「local_recipient_maps =」 ///////
2.0よりセキュリティが向上して、デフォルトでは「登録されていないユーザはエラー」となりました。
もちろんこの手法はよいのですが、今回は内側に転送させる為、外側にはユーザ登録はいたしません。そこで、「登録していないユーザも許可」という意味で、イコールより右側には何も記述いたしません。つまり、何でも良いと言うことです。
しかし、それではあんまりなので、relay_domains という所に、外側と内側のドメインを設定しました。指定以外はだめだという意味です。

/////// その2 「reject_unauth_destination」 ///////
不正中継を防ぐ為に、RBLを使っています。前までは、reject_maps_rbl を使っていたのですが、バージョンがあがり「reject_unauth_destination」に変わりました。

warning: support for restriction "reject_maps_rbl" will be removed from Postfix; use "reject_rbl_client domain-name" instead
上記のエラーがでたら使ってください。
/////// その3 「alias_maps = hash:/etc/aliases」 ///////
aliasを定義している所ですが、makeするときに NIS が有るとこのエラーが出るようです。実害はないのですが、出ていると本当のwarningを見落としそうなので、停止さるために設定します。

warning: dict_nis_init: NIS domain name not set - NIS lookups disabled
上記のエラーがでたら使ってください。
/////// その4 「reject_rbl_client」 ///////
踏み台にされないように競っていた所も変更されていました。前までは「check_relay_domains」を使っていましたが、バージョンがあがり「reject_unauth_destination」に変わりました。

warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
上記のエラーがでたら使ってください。


完了!             2005/01/08記述

Let's PC の Topに戻る
ホームページのTopに戻る