qmailをより使いこなすTips(便利な小技編)実用qmailサーバ運用・管理術(最終回)(1/2 ページ)

本連載の総仕上げとして、アフターフォローや小ネタを含めたTipsを紹介する。最後はrelay-ctrl 3.1.1の導入方法やSMTP認証、そのほかの便利な技を集めてみた。

» 2002年11月19日 00時00分 公開
[鶴長鎮一@IT]

relay-ctrl-3.1.1を使いたい

 第2回 POP/IMAPサーバの構築と不正中継対策では、relay-ctrl-2.5の導入方法を紹介しました。しかし、配布元のhttp://untroubled.org/relay-ctrl/では現在relay-ctrl-3.1.1のみ入手可能となっており、2.5の入手は困難な状況となっています。そこで、あらためて3.1.1の導入方法を紹介します。

relay-ctrlの取得とインストール

 http://untroubled.org/relay-ctrl/からrelay-ctrl-3.1.1.tar.gzをダウンロードして展開します。同サイトではRPMによるバイナリパッケージも配布されているので、そちらをインストールすることも可能です。

# tar xvfz relay-ctrl-3.1.1.tar.gz
# cd relay-ctrl-3.1.1/

 インストール先やGCCのオプションなどの変更はconf-XXファイルで行います。必要な場合は修正します。また、/usr/local/manがないためにインストール時にエラーになる場合があります。あらかじめディレクトリを作成しておくか、conf-manファイルを編集して適切なパスを指定します。

 引き続きmakeとインストールを行います。

# make
# ./installer

 続いて設定ファイルとディレクトリを作成します。

# mkdir /var/spool/relay-ctrl
# mkdir /var/spool/relay-ctrl/allow
# chmod 700 /var/spool/relay-ctrl
# chmod 777 /var/spool/relay-ctrl/allow
# mkdir /etc/relay-ctrl
# echo "/var/spool/relay-ctrl/allow" > /etc/relay-ctrl/RELAY_CTRL_DIR

Relayの設定

 RelayをオープンにしたIPアドレスを記録したファイルの寿命を設定する場合は、/etc/relay-ctrl/RELAY_CTRL_EXPIRYファイルに、秒単位で記入します。

# echo '900' > /etc/relay-ctrl/RELAY_CTRL_EXPIRY

 無条件にSMTP接続を許可するには、次のようにドメインでのみ許可します。現在のバージョンではIPアドレスでの指定はできなくなっています。

# echo ':allow,RELAYCLIENT='@ドメイン名'' >> /etc/relay-ctrl/RELAY_CTRL_RELAYCLIENT

 さらに、RelayをオープンにしたIPアドレスの記録を整理するプログラムを5分ごとに起動するようにします(5分でなくても構いません)。relay-ctrl-ageプログラムにより、RELAY_CTRL_EXPIRYで指定した保存期間を過ぎた記録を消去できます。

# crontab -e

*/5 * * * * /usr/local/bin/envdir /etc/relay-ctrl /usr/local/bin/relay-ctrl-age
注:envdirを使用するには、daemontoolsをインストールしておく必要があります。daemontoolsについては、第9回 daemontoolsによるロギングとプロセス監視を参照ください。

rcスクリプトの作成

 最後にrcスクリプトを修正します。前回の「RPMでインストールしたい その1」で紹介したrcスクリプトを書き直したものを以下に掲載します。

#!/bin/sh
#
# qmail: /var/qmail
PATH=/var/qmail/bin:/usr/local/bin:/bin:/usr/bin

[ -f /var/qmail/rc ] || exit 0

case "$1" in
  start)
        # Start daemons.
        echo "Starting qmail."
        csh -cf '/var/qmail/rc &'
        #For SMTP
        envdir /etc/relay-ctrl relay-ctrl-chdir \
        tcpserver -v -u 108 -g 502 0 smtp \ ←qmaildのユーザーID:108、nofilesのグループID:502の場合
        relay-ctrl-check /var/qmail/bin/qmail-smtpd 2>&1 | /var/qmail/bin/splogger smtpd 3 &
        #For POP3
        envdir /etc/relay-ctrl relay-ctrl-chdir \
        tcpserver -v 0 pop3 /var/qmail/bin/qmail-popup ホスト名.ドメイン名 /bin/checkpassword \ ←環境に合わせて書き換え
        relay-ctrl-allow /var/qmail/bin/qmail-pop3d Maildir 2>&1 | /var/qmail/bin/splogger pop3d 3 &
        echo
        touch /var/lock/qmail
        ;;
  stop)
        # Stop daemons.
        echo "Shutting down qmail."
        PID=`/bin/ps -aefw | grep qmail | awk '{print $2}'`
        if [ ! -z "$PID" ] ;  then
            /bin/kill ${PID} 1> /dev/null 2>&1
        fi
        echo
        rm -f /var/lock/qmail
        ;;
  *)
        echo "Usage: S99qmail {start|stop}"
        exit 1
esac
リスト1 /etc/init.d/qmail(ファイルのダウンロード
注:envdirを使用するには、daemontoolsをインストールしておく必要があります。

 qmailサービスを起動してPOP Before SMTPの挙動を確認しましょう。メーラを使ってサーバに接続すると、/var/spool/relay-ctrl/allow/に記録ファイルが作成されているはずです。

# ls /var/spool/relay-ctrl/allow/
210.XXX.XXX.XXX (POP3で接続されたクライアントのIPアドレス)

SMTP認証を実現するには

 第2回 POP/IMAPサーバの構築と不正中継対策では、POP Before SMTPで不正中継を防ぐ方法を紹介しました。これ以外にも、SMTP認証を用いると不正中継を防げますが、これは送信者の身元保証を行う目的で導入するケースが多いようです。

 http://www.qmail.org/top.htmlには、SMTP認証を実現するさまざまなパッチやアドインツールがあります。ここではCRAM-MD5によるパスワード確認ができるYAQSAP(Yet Another qmail SMTP AUTH Patch)を紹介します()。

注:ほかにも、qmailとcheckpasswordにSMTP認証とAPOP対応のPOP認証を追加するqmail-vidaがあります。qmail-vidaは滝澤氏(編注)が提供しており、バーチャルドメインと仮想ユーザーが管理できるなど、機能も盛りだくさんです。今回は紹介を見送りましたが、今後の有望株です。
qmail-vida(http://www.emaillab.org/djb/qmail-vida/

編注:qmail-vidaの作者を「D. J. Bernstein氏」としておりましたが、正しくは滝澤氏(TAKIZAWA Takashi)でした。お詫びするとともに、訂正させていただきます。(2002/11/19)

SMTP認証の注意点

 http://members.elysium.pl/brush/qmail-smtpd-auth/で公開されているqmail-smtpd-auth patchだけではCRAM-MD5に対応できないため、cmd5checkpwも併せて導入します(平文パスワードでも構わない場合は、導入の必要はありません)。

 YAQSAP SMTP認証を導入する前に注意しなくてはいけないのは、使用できるメーラが限られることです。あるユーザーはPOP Before SMTPで、このユーザーはSMTP認証でというような使い分けができないため、全ユーザーがSMTP認証に対応したメーラを使う必要があります。

 また、メーラによって平文パスワードを使うもの、CRAM-MD5を使うものに分かれるため、こちらも想定しておく必要があります。平文パスワードを利用する場合は/etc/passwdファイルを使用できますが、CRAM-MD5形式の場合は独自の認証ファイルを用意しなければならないことにも注意しましょう。

 ユーザーの範囲が絞れないようなSMTPサーバでSMTP認証を採用するのは現実的ではありません。そのような場合はPOP Before SMTPを使用するか、qmail-vidaのようなアドインツールを利用しましょう。

YAQSAPの導入

 まず、http://members.elysium.pl/brush/qmail-smtpd-auth/からqmail-smtpd-auth-0.31.tar.gz、http://members.elysium.pl/brush/cmd5checkpw/からcmd5checkpw-0.22.tar.gzを適当な作業ディレクトリにダウンロードして展開します。

# tar xvfz qmail-smtpd-auth-0.31.tar.gz

 qmailをもう1度makeするため、qmailのソースディレクトリに移動します。移動後、qmail-smtpd-authディレクトリにあるファイルをコピーしてパッチを適用します。

# cd qmail-1.03のソースディレクトリ
# cp qmail-smtpd-auth-0.31ディレクトリ/*.* .
# patch < auth.patch

 これ以降はqmailを通常どおりにインストールします。

 次に、必要に応じてcmd5checkpwをインストールします。ダウンロードしたアーカイブを展開してmake作業を行います。

# tar xvfz cmd5checkpw-0.22.tar.gz
# cd cmd5checkpw-0.22/
# make
# make install

 /etc/passwdが使用できないため、専用の認証ファイルを用意します。パスワードは平文のままで構いません。ソースに含まれるpoppasswdを参考にします。

# vi /etc/poppasswd
ユーザー名1:パスワード
ユーザー名2:パスワード
.....

 次に、ファイルのパーミッションを修正します。poppasswdには平文でパスワードが記入されているため、取り扱いに注意します。

# chmod 400 /etc/poppasswd
# chmod a+s /bin/cmd5checkpw

 平文パスワードを使用する場合は第2回 POP/IMAPサーバの構築と不正中継対策で紹介したcheckpasswordを使用します。

rcスクリプトの修正

tcpserver -v -u [qmaildのUID] -g [nofilesのGID]-x /etc/tcp.smtp.cdb \
    0 smtp /var/qmail/bin/qmail-smtpd &
変更前

tcpserver -v -u [qmaildのUID] -g [nofilesのGID]-x /etc/tcp.smtp.cdb \
    0 smtp /var/qmail/bin/qmail-smtpd ドメイン名 /bin/cmd5checkpw /bin/true &
変更後

参考:
qmail-smtpd-auth
http://members.elysium.pl/brush/qmail-smtpd-auth/
cmd5checkpw
http://members.elysium.pl/brush/cmd5checkpw/

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

@IT

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。