[debian-users:23714] Re: From & to によるアクセス制限

[ikari <ikari@xxxxxxxxx>]

すばやい回答ありがとうございます碇です。

備前さんwrote:
> > qmailの仕様ですとrcpthostsに書かれているhostからしかアクセスを
> > 許可しないようですが、地方の拠点ごとに違うプロバイダなどを使っている為
> > IPを特定できません。
> 
> アクセス許可云々が何を指しているのか今ひとつ不明確ですが、
メールサーバーの名前をmxといたしますと
不特定多数のIPアドレスからmx.pca.co.jpにSMTP,POPの接続を許可したいという事です。
> rcpthosts に書かれたドメイン部を持つアドレスあてのメールは中継し、そう
> でないドメイン部を持つアドレスへの中継は拒否します。
> http://www.jp.qmail.org/ はご覧になりましたよね?
はい、よく読んでみたつもりですがやはり仕様なんですね。(当然の仕様なきがしてきま
した)
> > また、このやり方が明らかにsecurity上まずい事は私も承知しています。
> > From ヘッダの偽造をされればSPAMの踏み台にされてしまう事は承知しているのですが、
> > 他に代替え案が思い付きません。
> その通り。これは非常に危険です。その危険が第三者にも及ぶことを考えれば、
> っこの選択肢は事実上 *なし* と考えた方がいいと思います。
はいわかりました、この選択肢を放棄します。
> ダイヤルアップホストなど不特定IPアドレスからの中継を制御したいのでした
> ら、
> 
>     - POP before SMTP
>     - SMTP AUTH
> 
> あたりが定番でしょう。前者は vpopmail を使えばできそうですし(設定ファ
> イルにそれっぽい項目があるし、ソースにもそれっぽいことをしているところ
> がある)、後者はqmail-smtpd にパッチをあてればできるようです。もっとも
> 後者はMUAが対応していないとどうにもなりませんが。
> 
>     http://www.inter7.com/vpopmail/
>     http://members.elysium.pl/brush/qmail-smtpd-auth/
ありがとうございます大変勉強になりました。
恥ずかしながら、これらの方法を私は知りませんでした。
分かりにくい文章の中から文意を汲み取っていただいて、しかも私の欲している
情報をお教えいただいて恐縮です。

きかわださんwrote:
>qmail + vpopmail で pop before smtp できます。
>vpopmail のコンパイル地に --enable-roaming-users=y とすればオーケーです。
>現状トラブルは出ていませんが、運用中、過去２度ほど vpopmail にセキュリティ
>ホールが見つかったので注意を払っておく必要がある気がします。
貴重な体験談ありがとうございます。

このような基本的な事にお応えいただいてどうもありがとうございました。
さっそく明日からtestに入ろうと思います。
-- 
**************************************
    碇 永志  PCA(株) ikari@xxxxxxxxx
**************************************