本連載の総仕上げとして、アフターフォローや小ネタを含めたTipsを紹介する。最後はrelay-ctrl 3.1.1の導入方法やSMTP認証、そのほかの便利な技を集めてみた。
第2回 POP/IMAPサーバの構築と不正中継対策では、relay-ctrl-2.5の導入方法を紹介しました。しかし、配布元のhttp://untroubled.org/relay-ctrl/では現在relay-ctrl-3.1.1のみ入手可能となっており、2.5の入手は困難な状況となっています。そこで、あらためて3.1.1の導入方法を紹介します。
http://untroubled.org/relay-ctrl/からrelay-ctrl-3.1.1.tar.gzをダウンロードして展開します。同サイトではRPMによるバイナリパッケージも配布されているので、そちらをインストールすることも可能です。
# tar xvfz relay-ctrl-3.1.1.tar.gz |
インストール先やGCCのオプションなどの変更はconf-XXファイルで行います。必要な場合は修正します。また、/usr/local/manがないためにインストール時にエラーになる場合があります。あらかじめディレクトリを作成しておくか、conf-manファイルを編集して適切なパスを指定します。
引き続きmakeとインストールを行います。
# make |
続いて設定ファイルとディレクトリを作成します。
# mkdir /var/spool/relay-ctrl |
RelayをオープンにしたIPアドレスを記録したファイルの寿命を設定する場合は、/etc/relay-ctrl/RELAY_CTRL_EXPIRYファイルに、秒単位で記入します。
# echo '900' >
/etc/relay-ctrl/RELAY_CTRL_EXPIRY |
無条件にSMTP接続を許可するには、次のようにドメインでのみ許可します。現在のバージョンではIPアドレスでの指定はできなくなっています。
# echo ':allow,RELAYCLIENT='@ドメイン名''
>> /etc/relay-ctrl/RELAY_CTRL_RELAYCLIENT |
さらに、RelayをオープンにしたIPアドレスの記録を整理するプログラムを5分ごとに起動するようにします(5分でなくても構いません)。relay-ctrl-ageプログラムにより、RELAY_CTRL_EXPIRYで指定した保存期間を過ぎた記録を消去できます。
# crontab -e |
注:envdirを使用するには、daemontoolsをインストールしておく必要があります。daemontoolsについては、第9回 daemontoolsによるロギングとプロセス監視を参照ください。 |
最後にrcスクリプトを修正します。前回の「RPMでインストールしたい その1」で紹介したrcスクリプトを書き直したものを以下に掲載します。
#!/bin/sh |
リスト1 /etc/init.d/qmail(ファイルのダウンロード) 注:envdirを使用するには、daemontoolsをインストールしておく必要があります。 |
qmailサービスを起動してPOP Before SMTPの挙動を確認しましょう。メーラを使ってサーバに接続すると、/var/spool/relay-ctrl/allow/に記録ファイルが作成されているはずです。
# ls /var/spool/relay-ctrl/allow/ |
第2回 POP/IMAPサーバの構築と不正中継対策では、POP Before SMTPで不正中継を防ぐ方法を紹介しました。これ以外にも、SMTP認証を用いると不正中継を防げますが、これは送信者の身元保証を行う目的で導入するケースが多いようです。
http://www.qmail.org/top.htmlには、SMTP認証を実現するさまざまなパッチやアドインツールがあります。ここではCRAM-MD5によるパスワード確認ができるYAQSAP(Yet Another qmail SMTP AUTH Patch)を紹介します(注)。
http://members.elysium.pl/brush/qmail-smtpd-auth/で公開されているqmail-smtpd-auth patchだけではCRAM-MD5に対応できないため、cmd5checkpwも併せて導入します(平文パスワードでも構わない場合は、導入の必要はありません)。
YAQSAP SMTP認証を導入する前に注意しなくてはいけないのは、使用できるメーラが限られることです。あるユーザーはPOP Before SMTPで、このユーザーはSMTP認証でというような使い分けができないため、全ユーザーがSMTP認証に対応したメーラを使う必要があります。
また、メーラによって平文パスワードを使うもの、CRAM-MD5を使うものに分かれるため、こちらも想定しておく必要があります。平文パスワードを利用する場合は/etc/passwdファイルを使用できますが、CRAM-MD5形式の場合は独自の認証ファイルを用意しなければならないことにも注意しましょう。
ユーザーの範囲が絞れないようなSMTPサーバでSMTP認証を採用するのは現実的ではありません。そのような場合はPOP Before SMTPを使用するか、qmail-vidaのようなアドインツールを利用しましょう。
まず、http://members.elysium.pl/brush/qmail-smtpd-auth/からqmail-smtpd-auth-0.31.tar.gz、http://members.elysium.pl/brush/cmd5checkpw/からcmd5checkpw-0.22.tar.gzを適当な作業ディレクトリにダウンロードして展開します。
# tar xvfz qmail-smtpd-auth-0.31.tar.gz |
qmailをもう1度makeするため、qmailのソースディレクトリに移動します。移動後、qmail-smtpd-authディレクトリにあるファイルをコピーしてパッチを適用します。
# cd qmail-1.03のソースディレクトリ |
これ以降はqmailを通常どおりにインストールします。
次に、必要に応じてcmd5checkpwをインストールします。ダウンロードしたアーカイブを展開してmake作業を行います。
# tar xvfz cmd5checkpw-0.22.tar.gz |
/etc/passwdが使用できないため、専用の認証ファイルを用意します。パスワードは平文のままで構いません。ソースに含まれるpoppasswdを参考にします。
# vi /etc/poppasswd |
次に、ファイルのパーミッションを修正します。poppasswdには平文でパスワードが記入されているため、取り扱いに注意します。
# chmod 400 /etc/poppasswd |
平文パスワードを使用する場合は第2回 POP/IMAPサーバの構築と不正中継対策で紹介したcheckpasswordを使用します。
tcpserver -v -u [qmaildのUID] -g [nofilesのGID]-x /etc/tcp.smtp.cdb \ |
変更前 |
tcpserver -v -u [qmaildのUID] -g [nofilesのGID]-x /etc/tcp.smtp.cdb \ |
変更後 |
参考:
▼qmail-smtpd-auth
http://members.elysium.pl/brush/qmail-smtpd-auth/
▼cmd5checkpw
http://members.elysium.pl/brush/cmd5checkpw/
Copyright © ITmedia, Inc. All Rights Reserved.