木曜日, 7月 27, 2006

reject_unlisted_recipient

 BBSで質問を受けた。退職したユーザー宛にメールマガジンを送ってくるサーバがS25Rの条件に引っかかってリトライを繰り返している。リトライのログを見ているのもわずらわしいが、User unknownを返すためにホワイトリスト登録するのもわずらわしい。そこで、クライアントアドレスチェックの前にUser unknownではねる方法はないだろうかということだった。
 私は方法を知らなかったのだが、その人があとで自分で解決して教えてくださった。次のように設定すればよい。

smtpd_client_restrictions =
  permit_mynetworks,
  reject_unlisted_recipient,
  check_client_access regexp:/etc/postfix/client_restrictions,
  reject_unknown_client

 私は、HELOアドレスが不正なアクセスと不正中継を要求するアクセスもついでに「554」ではねてしまおうと考えた。前回説明した、DRACによるPOP認証のデータベースの指定と併せると、次のような設定になる。

smtpd_client_restrictions =
  permit_mynetworks,
  check_client_access hash:/etc/mail/dracd,
  check_helo_access regexp:/etc/postfix/helo_restrictions,
  reject_unauth_destination,
  reject_unlisted_recipient,
  check_client_access regexp:/etc/postfix/client_restrictions,
  reject_unknown_client

 これで、私の拒絶ログソーティングスクリプトで表示されるのは、宛先アドレスが正しいアクセスだけになる。ホワイトリストに登録すべきホストを見つけるための監視がずいぶん楽になった。

0 件のコメント: