Postfixのmynetworksの設定方法とは?

前へ 次へ
このQ&Aのポイント
  • Postfixのmynetworksには、DMZのネットワークアドレスを設定する必要があります。
  • LAN 内のSMTPには、送信元のセグメントのアドレスも含める必要があります。
  • NAT環境で特に設定する必要がある項目について詳しく教えてください。
回答を見る
  • ベストアンサー

Postfixのmynetworksのアドレス

教えてください。 以下のようなメール環境を構築しなければならないです。 http://postfix.robata.org/ouyou.html を参考にさせていただきました。 INTERNET ー ROUTER ー FW ー DMZ内 SMTP ー LAN 内 SMTP&POP FWでNATをします。 外部からのメールは、DMZのSMTP(postfix)で受信し、 LAN内のSMTP(postfix)に、ドメイン宛のメールを内部転送します。 内部から外部へのメールはLAN内のSMTP(postfix)からFWを通って直接外部ヘ送ります。 3点気になっていることがあります。 1点目は、DMZ内 SMTPのmynetworksには、DMZのネットワークアドレスだけ指定すればいいのでしょうか? NAT前のグローバルIPのネットワークアドレスは書かなくていいのでしょうか? 2点目は、LAN 内 SMTPに書くmynetworksには同じくLANのネットワークアドレスだけでいいでしょうか。 送信するLANのクライアントがSMTPとは違うセグメントにある場合(ルーティングされてくるセグメント)は、 その送信元のセグメントのアドレスも含めれば良いでしょうか? NAT環境で特に必ず設定しなければならないものがありましたら教えていただけないでしょうか。 よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.1

mynetworksが何に使用されているかを考えればおのずと答えは出ると思います。 特殊なことを必要としていない限り、mynetworksにグローバルアドレス帯は入れない方が安全と思います。 (とくにその影響を理解していないのであれば) もっといえば、最初は127.0.0.1/32だけから始め、動作確認しながら「必要であれば」追加するというアプローチの方が安全です。例えばLAN内のMTAにDMZのMTAのアドレスを書くとか。 NAT環境で「特に」設定しないとMTAとして機能しないというものは思いつきませんが、しいて言えばヘッダーでプライベートIPがばれてしまうのが嫌ならマスクするとか、DNS的な正・逆引きに気を付けるとかでしょうか。

ymoshimoshi
質問者

お礼

ありがとうございます。参考にさせていただきます。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Linux系OS

関連するQ&A

  • Postfix 内部から内部の認証

    現在、Dovecot+Postfix+Cyrus-sasl+MySQLを利用して社内メールサーバーを構築しています。 送信テストをしていたところ、SMTP Auth認証のところでつまづいています。 内部→外部 外部→内部 は問題なく認証を通るのですが、どうしても 内部→内部 が認証をすり抜けてしまいます。 テスト方法としてはLAN内のPCからOutlookを使用して「パスワードなし」「認証なし」の状態でLAN内の別のユーザーに対してメールを送信できてしまいます。 つまり、内部の成りすましが可能な状態です。 これを制御するためには、postfix側の設定だと思い、色々調べてはいるのですが、中々うまくいきません。 自分としては下記の設定でいけそうだと思ったのですが、ダメでした。 #mynetworks = 127.0.0.0/8, 192.168.10.0/24 mynetworks = 127.0.0.0/8 smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = yes #smtpd_recipient_restrictions= permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination smtpd_recipient_restrictions = permit_sasl_authenticated,reject_unauth_destination ご指摘頂けたらと思います。

  • NAT設定について

    どなたか、YAMAHAルータの設定についてご存知の方教えてください。 以下のような構成があります。 1本のインターネット回線があり、FWでNAT変換したいです。 1.WAN⇔DMZへの変換 2.LAN上のPCやメールサーバからの直接外部へのメール送信 WAN ⇔RTX1200 ⇔FW⇔DMZ(wwwサーバ、DNS、メールサーバ(内部転送用)) ⇔ LAN(メールサーバ(内部転送受け取り、外部直接送信)、PC) YAMAHAにnat descriptorというNAT関係の設定があるのですが、必要なのでしょうか。

  • POSTFIX 特定のメールアドレスへの送信を許可

    CentOS,Postfixを使用しております。 これまでローカルネットワークからの送信のみで運用しておりまして、 main.cfの設定を以下のようにしております。 mynetworks_style = subnet それで今回ローカルネットワーク内の別サーバーにメール転送するようにしたいのですが 特定のメールアドレスのみ受信するように設定することは可能でしょうか? mynetworks 設定はアクセス元のドメインを設定するという認識でして 宛先による制御はできないものかと考えております。

  • postfixのmynetworksの設定について

    現在、専用レンタルサーバにてpostfixの運用を開始しようとしています。 その際の mynetworks の設定ですが、純粋に自社サーバであれば、ローカルのIPアドレス(192.168~等)を入れたりしますが、レンタルサーバであれば、一旦グローバルのインターネット環境に出るので、自社のグローバルIPアドレスを入れるものなのでしょうか? 環境として、3拠点でこのレンタルサーバのpostfixを利用しようとしています。 一般的な考えで結構ですので、mynetworks に3拠点のグローバルIPアドレスを記入するもの なのでしょうか? もしくは、0.0.0.0/8 をいれ、SMTP認証をかけるものなのでしょうか? 現在テスト段階ですが、1拠点のグローバルIPアドレスを入れ、その1拠点のメール送信等はできますが、この設定でセキュリティ上問題ないのか疑問になりましたので質問させて頂きました。 お手数ですがよろしくお願いします。

  • Postfixの設定について

    LAN内にメールサーバA(postfix稼働)を構築し、 LAN内の各サーバからのメールは、全てメールサーバAを経由して、 外部の宛先へ送信されるように設定を行いたいと考えております。 各サーバはMSP(Mail Submission Program)としてsendmailが稼働しており、 /etc/mail/submit.cfを修正し、メールサーバAへメールが転送されるようになりましたが、 各サーバのログに「stat=Deferred: Connection refused」が出力され、メールが送信できておりません。 各サーバからtelnetを利用してメールを送信した場合は、正常に送信できております。 postconf -n の出力は以下の通りです(一部抜粋してあります) home_mailbox = Maildir/ inet_interfaces = all manpage_directory = /usr/share/man message_size_limit = 10485760 mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain, mydomain = aaaaa.net myhostname = aaaaa.net mynetworks_style = subnet newaliases_path = /usr/bin/newaliases.postfix queue_directory = /var/spool/postfix relay_domains = $mydestination, bbbbbbb.ne.jp ← 外部へ送信する際のアドレス relayhost = [mail.aaaaaaaaa.ne.jp]:587 ← ISPのメールサーバを指定 smtp_sasl_auth_enable = yes smtp_sasl_mechanism_filter = LOGIN, CRAM-MD5, PLAIN smtp_sasl_password_maps = hash:/etc/postfix/authinfo smtp_sasl_security_options = noanonymous smtpd_banner = $myhostname ESMTP unknown smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = $myhostname unknown_local_recipient_reject_code = 550 原因が分かる方がいれば、ご教示いただければと思います。 どうぞ宜しくお願いいたします。

  • postfixでのrelay制御

    非常に初歩的な質問でもうしわけありません。 postfixで、接続を許可する指定を、main.cf の mynetworks = 192.168.0.0/24, 127.0.0.0/8 のような形で内部LANのみ、接続を許可しておりますが、 逆に、すべてのnetwork(他インターネット経由)から の接続を許可するにはどのように設定すればよろしい のでしょうか? セキュリティの話もできればアドバイスいただけると うれしいです。 現在の環境は、 回線:ADSL 192.168.1.1 ルータ 192.168.1.2 メールサーバ DDNSで取得しているドメイン:xxx.yyy.zzz postfix-1.1.11-11 redhat9.0です。

  • Postfixで外部にメールが送れません

    まるごとServerをレンタル(root権限あり)しました。 今までQMailを使ってサーバーの運営をしていたのですが、今回はPostfixで運営する事になりました。 hogehoge.jp(仮名です)というドメインを取得し、DNSにも登録しHPは見る事が出来る状態です。 メールの設定をしているのですが、このサーバーをSMTPとしてメーラーに設定し、このサーバー外のドメイン宛(例えば、fugafuga@gmail.comなど)にメールを送信しようとするとはじかれてしまいます。 サーバー内部のドメイン(バーチャルホスト)宛にはちゃんと送受信出来ます。 外部からのメールもキチンと振り分けられて取得できます。 以下はメールのログです。 ------------------------------------------------- May 16 22:54:06 www postfix/smtpd[23767]: connect from xxx.yyy.bbiq.jp[***.***.***.***] May 16 22:54:06 www postfix/smtpd[23767]: NOQUEUE: reject: RCPT from xxx.yyy.bbiq.jp[***.***.***.***]: 554 5.7.1 <fugafuga@gmail.com>: Relay access denied; from=<hoge@hogehoge.jp> to=<fugafuga@gmail.com> proto=ESMTP helo=<[127.0.0.1]> May 16 22:54:08 www postfix/smtpd[23767]: disconnect from xxx.yyy.bbiq.jp[***.***.***.***] ----------------------------------------------------- ちなみにターミナルを使って内部から fugafuga@gmail.comにmailコマンドでメールを送信したときはちゃんと送信出来ました。 これは何が原因でしょうか? main.cfのうち関係ありそうなのを列挙します。 inet_interfaces = all mydestination = $myhostname, localhost.$mydomain, localhost mynetworks_style = subnet mynetworks = 168.100.189.0/28, 127.0.0.0/8 smtpd_client_restrictions = permit_mynetworks,reject_unknown_client,permit 他に提示したほうがいい情報があれば教えてください。 よろしくお願いします。

  • DMZ上へのメールサーバ(SMTPとPOP)構築について

    現在メールサーバはASPを利用しており、社内に環境はありません。 今回、社内に設置してあるFWに、DMZを新設して、 そこにメールサーバを設置しようとしています。 通常なら、DMZにはSMTPサーバ(メールリレーサーバ)のみ設置し、 POPサーバ(Exchange等)は社内LANに設置する方法がセキュリティ的にも 妥当かと思いますが、今回の用件としては、どうしてもインターネット上からの、 メール参照が必須となります。 (インターネット上からDMZ上のPOPサーバにPOPしに来る) 要は、自宅からメールが見たいということになります。 そこで、FWに空ける穴としては、下記追加を想定しておりますが、 問題等あればご指摘願いますでしょうか。 Untrust⇒DMZ ・・・SMTP(25)、POP3(110)を許可 Trust⇒DMZ ・・・SMTP(25)、POP3(110)を許可 ※なお、SMTPサーバ、POPサーバはPostfixでの構築です。

  • Postfixで送信ができない

    /var/log/syslog 10:33 solaris postfix/smtp[18719]: [ID 947731 mail.crit] fatal: open database /etc/postfix/saslpasswd.db: No such file or directory 10:34 solaris postfix/master[18715]: [ID 947731 mail.warning] warning: process /usr/libexec/postfix/smtp pid 18719 exit status 1 10:34 solaris postfix/master[18715]: [ID 947731 mail.warning] warning: /usr/libexec/postfix/smtp: bad command startup -- throttling となっているのですがsaslpasswdはあります。saslpasswd.dbにするために何かコマンドを打つ必要があるのでしょうか? また、後に出ているsmtpのエラーがよくわかりません、参考になるサイトなどご紹介いただけると幸いです /etc/postfix/main.cf alias_maps = dbm:/etc/mail/aliases command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/libexec/postfix debug_peer_level = 2 inet_interfaces = all mail_owner = postfix mail_spool_directory = /var/spool/mail mailq_path = /usr/bin/mailq manpage_directory = /usr/local/man mydestination = $myhostname, localhost myhostname = solaris mynetworks = 192.168.1.2, 127.0.0.0/8 myorigin = $myhostname newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix relayhost = [192.168.1.3]:587 sample_directory = /etc/postfix sendmail_path = /usr/lib/sendmail setgid_group = postdrop smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/saslpasswd smtp_sasl_security_options = noanonymous smtpd_banner = $myhostname ESMTP $mail_name unknown_local_recipient_reject_code = 550 /etc/postfix/saslpasswd [192.168.1.3]:587 username:password

  • ネットワーク構成について(中・上級者向け?)

    お世話になっております。 ネットワークの設計について質問させてください。 ちょっと長くなりますが、よろしくお願いします。 下記のようなネットワークを構築するとします。 ・インターネットからWEB(サーバ)へのアクセス ・内部セグメントからインターネット閲覧 インターネット | | |210.0.0.1/24(global) ルータ |210.0.1.1/24(global) | | |210.0.1.2/24(global) FW――――――――――――WEB 210.0.2.1/24(global) |192.168.0.1/24(private) | |【192.168.1.0/24(NWアドレス)】 | 内部セグメント 【質問1】 このようなネットワーク(IPアドレス)構成はありますか? 【質問2】 このような構成でルータ~FWセグメントにglobalIPを振るメリット・デメリトットを教えてください。 個人的にprivateIPでも構わないのではないかと考えています。 【質問3】 このような構成でFW~WEBセグメントにglobalIPを振るメリット・デメリトットを教えてください。 個人的にprivateIPでも構わないのではないかと考えています。 【質問4】 このような構成で、インターネットからWEBサーバにアクセスの設定を行う場合、下記設定になりますか? ルータ設定:インターネット~WEB間ルーティング(インターネットからWEB(サーバ)へのアクセスのため) FWの設定:インターネット~WEB間ルーティング(インターネットからWEB(サーバ)へのアクセスのため) 内部セグメントからルータに向けてのNAT設定(内部セグメントからインターネット閲覧のため) 以上、よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する