1  /var 溢れと postfix のエラーメール

今朝方にどうも attack を受けたらしく、 /var/log/mail.log が肥大して /var が溢れたようだ。Maildir を /var とは違うパーティションの /home に配送しているのでメールロストは無かったが、Postfix からエラーメールが大量に届いていた。

Subject: Postfix SMTP server: errors from xxx.jp[219.xx.xx.xx]
--

Transcript of session follows.

 Out: 220 one.init.org ESMTP Postfix
[snip]
 In:  MAIL FROM: <fuckinspam@example.com>
 Out: 452 4.3.1 Insufficient system storage

Session aborted, reason: lost connection

Insufficient system storage がなぜ出るのか気づかなくてしばらく色々さまよってしまったが、apt の cache 削除と logrotate をかけて対処。どうも daily/weekly の logrotate が正しく回っていない感じだが、何故だろう。

1  postfix で submission (587/tcp) を待ち受ける

最近 Outbound port 25 Block を適用する ISP が増えてきた。うちは固定IPで運用しているが、万が一ブロックされた場合でも他 ISP からうちの MTA を経由してメール送信ができるように submission port (587/tcp) を空けておくことにする。と言っても /etc/postfix/master.cf に以下の行を追加して /etc/init.d/postfix reload するだけ。

submission inet n - - - - smtpd

jail の有無などで多少設定に違いがあるが、基本的には同じファイルにある smtp の設定と揃えておけば良いと思う。利用時には SMTP-Auth 等、認証を忘れずに。

2  RelayHost + SASL Auth で ISP の MTA を経由した送信を行う

なお自分のサーバが動的IPアドレスである等の理由でサーバからの送信時に OP25B によるブロックを受ける場合は、ISP のメールサーバに対して Client SASL の設定をして認証可能にした上で relayhost として利用するといいようだ。

1  apt-get update && upgrade

postfix の upgrade 無事終了。pcre と tls も問題無く上がった模様。 1.1 から 2.0 への変更なので何か問題が出るかと思ったけど、今のところ master.cf を新しいものに置き換えたくらいで main.cf には特に変更無し。現状問題なく動いているように見えます。うちのメールサーバの利用者や、私宛てにメールを送信した人などで不具合が出た人がいたら教えてください。

と言ってもメールが駄目だった場合はどこで教えればいいんだろうか。コメント機能を実装しとけば良かった。ボチボチやろうかな。

2  postfix の starttls 設定

postfix-tls は smtp-auth (sasl) を使うためだけに入れていたのだが、postfix-tls package は自動で ssl 証明書の設定などはしてくれないらしい。courier-imapd-ssl はインストール時に mkimapdcert コマンドが imapd.pem を作ってくれるので、postfix-tls の方も勝手に作ってくれるかと思ってしまった。幾らなんでも堕落のしすぎ。
まぁ暗号化してくれると言っても クライアント → 自分のSMTPサーバ までであり、その先は普通は平文で飛ぶのでさほど意味があるわけではないのだが、smtp-auth を plain で行う場合にはパスワードの暗号化という意味で重要になる。認証を cram-md5 等で行う手もあるが、この場合にはサーバ側の sasldb2 等の中に平文のパスワードが保存されていなければならないため、一寸気持ちが悪い。と言うことで Postfix で TLS を参考に設定を済ませ、postfix から starttls が使えるようにした。

3  wanderlust の設定

クライアントの Wanderlust には (setq wl-smtp-connection-type 'starttls) を追加しておく。しかし Debian の wl-beta パッケージには starttls コマンド、及び starttls.el(c) が含まれていないようで、単独の deb も見当たらない。とりあえず starttls-0.9.tar.gz を普通に持ってきて展開し、自分の HOME の下にいれておく。後で deb 化しよう。ともあれ、smtp と imap で STARTTLS での暗号化通信が出来ているようだ。