qmail サポート対象外とします

今年から qmail をサポート対象外とします。

■ qmailとは

qmail とは、ライフサイクルを終えた旧式のメールサーバーです。
1998年に本家が開発サポートを終了しており、その後は有志によってのみ追加機能パッチなどが細々と出ておりましたが、さすがに昨今の時流には対応できていない過去の遺物になっています。
新しい驚異には対応できずセキュリティホール等の修正パッチもリリースされないため、特別な事情がない限り qmail は避けるべきです。

■ qmail の保守・障害対応について

2019年1月末をもって、当サービスでは保守・障害対応をしないこといたしました。
しかしながらどうしてもという事情がある方のために環境構築だけは特別料金で請け負う形を残しておきました。

・qmail/vpopmail/qmailadmin 構築

(メールサーバーをqmailにしバーチャルメール環境を追加します。ただしアフター保守・障害対応の対象外)
費用についてはこちらの料金表を参照ください。

GoogleのGmailのIPv6逆引き判定が迷惑な問題

前に、SPFレコードでドメインの正当性を判定する方法が逆にスパムを増長させる問題について書きましたが、今回はさらに突っ込んでGoogleのGmailの厳しい判定が迷惑な問題について書きます。

参考)

一括送信ガイドライン – Gmail ヘルプ
https://support.google.com/mail/answer/81126

Googleだけに限ったことではないですが、Gmailはシェアが多いのでトラブルが目立ちます。

トラブルというのは【Gmailに送ると届かない】という問題です。
これはGmailが、迷惑メール対策として判定が厳しいためです。

Googleは最近、自分たちのガイドラインに【何が何でも従わせる】という強引なやり方をするようになりました。
事実、Googleのガイドラインに従わないメールはリジェクト(受信拒否)されるトラブルが多く、最近 Gmail / G Suite(旧 Google Apps)のメールに関して問い合わせが多いです。
仕事の取引先からの必要なメールでもGoogleのガイドラインに反していると届きません。
迷惑メールフォルダに振り分けられるならまだしも、勝手にリジェクトされて気付かないままになります。

続きを読む

SPFで迷惑メール判定が逆にスパムを増長させる問題

SPFレコードでドメインの正当性を判定する方法が逆にスパムを増長させる問題について書きます。

#SPFレコードとは送信ドメインを認証の一種で、詳しくはネットで調べてください。
#独自ドメインを持っている人はSPFを知らずに済ますことはできません。
(特にGoogleのせいで知らないでは済まなくなってしまいました)

参考)

SPF(Sender Policy Framework): 迷惑メール撲滅委員会
http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/

SPF レコードについて – G Suite 管理者 ヘルプ
https://support.google.com/a/answer/33786?hl=ja

一括送信によるメール返送 – G Suite 管理者 ヘルプ
https://support.google.com/a/answer/168383

Googleだけに限ったことではないですが、メールをサービスするプロバイダの傾向として、SPFレコードの設定を(なにがなんでもやれと)強制するような動きがここ数年で強まっています。

続きを読む

自己署名SSLサーバー証明書の作成

自己署名のSSLサーバー証明書の作成方法を書きます。

前提条件として OpennSSL は普通に使える環境であるものとします。

■ 自己署名のSSLサーバー証明書とは

通常 SSLサーバー証明書は然るべき認証局(VeriSignとかジオトラストとか)が発行し、それには電子署名が施されており、コモンネーム(運用するFQDN=フルドメイン名)が確かなものであると証明します。
この電子署名を認証局にやってもらわずに自分で OpennSSL の機能で施すことが自己署名です。

自己署名の証明書は信頼性に欠けるとしてブラウザなどのクライアントソフトウェアではエラーや警告メッセージが表示され、フィッシングサイト、怪しいサイトであるような印象を与えます。
しかしながらデータの暗号化という観点だけを見れば認証局が署名したものと全く同等であり、暗号化の観点でセキュリティは劣りません。
ですからデータの暗号化が目的なだけなら自己署名でよい場合もあります。
続きを読む

バーチャルメールのジレンマ

ブラウザでメールアドレスが簡単に追加/削除できるバーチャルメールシステム。
便利ですが、これを導入すると別のことが制限されることもあります。

まず「バーチャルメール」とは何のことか説明します。

・バーチャルメールボックス
・バーチャルメールアドレス
・バーチャルメールシステム

こんな言い方で使われることが多くどれも微妙に違いますが、どれも概ね同じ類の話をするとき使う言葉で、バーチャルメールのメールボックス、メールアドレス、システムを指しています。

「バーチャルメール」とは?

メールのPOPユーザーがFTPユーザー(UNIXアカウントのユーザー)でなく仮想的なユーザー(大抵メールアドレスそのもの)でメールアドレスを送受信できることを大雑把に総称してそう呼びます。

これを当たり前と思っている人のほうが増えてきたような気がしますのであえて少し解説します。
続きを読む

PostfixAdminでバーチャルメールの構築

postfix/dovecotのメールサーバーで、従来の方式「FTPユーザーがメール受信ユーザー」という環境からバーチャルメール環境に切り替える方法について書きます。
バーチャルメールの運用ツールは PostfixAdmin 1択です。
他によいツールを知りません。
そして、PostfixAdminを使用するにはデータベース MySql が必要です。

前提条件としてpostfix/dovecotでメールを送受信できる環境まで設定済みとします。
postfix/dovecotのインストールと設定については postfix 2.3.x の設定dovecot ver.1系と2系の違い を参照してください。

■ PostfixAdmin インストール

(0) 事前準備

mysql に postfixデータベース、専用のpostfixユーザーを作成しておく必要があります。
(データベースは空でよいです)

データベース名: postfix
ユーザー名    : postfix
パスワード    : xxxxxxxxxxxx

メールボックスにアクセスするバーチャルユーザーを作成します。
後でいくつかの設定ファイルにユーザーID、グループIDを記述するため、ここで決めておきます。
使っていない番号なら何でもよいのですが、ここでは ユーザーID = 600、 グループID = 600 とします。

# mkdir /home/vmailbox
# groupadd -g 600 vuser
# useradd -g vuser -u 600 -d /home/vmailbox -s /sbin/nologin vuser
# chown vuser:vuser /home/vmailbox
# chmod 771 /home/vmailbox

続きを読む

postfix 2.3.x の設定

CentOS/RHELのデフォルトのMTA(Mail Transfer Agent) (またはSMTPサーバーとも呼びます)である postfix のインストールと設定について書きます。

■ postfix 2.3.x (yum配布版rpm)

CentOS6ならデフォルトで postfix 2.3 以上のバージョンです。
CentOS5ならyumだと違ったかもしれません。

postfix は、2.3 以上のバージョンを使いましょう。
理由は【mysql対応】しているからです。
mysql対応していれば後で postfixadmin (バーチャルメールボックスに対応させるツール) が使えるからです。
(postfixadminについては今回は割愛します)

(1) インストール

# yum install postfix

(2) ファイル構成

ファイルは複数ありますが、メインの設定は main.cf です。
サブミッションポートを使用可能にする場合、master.cf を修正します。

/etc/postfix/
	access
	canonical
	generic
	header_checks
	main.cf     ... メインの設定ファイル
	master.cf   ... コマンドの拡張などの設定
	relocated
	transport
	virtual     ... バーチャル配送定義

続きを読む

dovecot ver.1系と2系の違い

CentOS/RHELのデフォルトのPOP3/IMAP4メールサーバー dovecot がメジャーバージョンアップしました。
ある日 yum update でOSのモジュールアップデートをすると、dovecot がバージョン 1.xから 2.0 になりました。

このメジャーバージョンアップ、とんでもないことに、設定ファイルの数、構成が変わったのです。
今まで1つだった設定ファイルの数が増え、サブフォルダに用途別に配置されるようになりました。
どのファイルに何の設定を書くか仕様ががらっと変わってしまいました。
焦ります。こういうバージョンアップはできれば止めて欲しいものです。

ここに、バージョン1系と2系の設定ファイルの違いについてまとめます。

■ dovecot 1.x

(1) インストール

# yum install dovecot

(2) ファイル構成

設定ファイルは1つだけです。

/etc/dovecot.conf

続きを読む

自宅サーバーOP25B対策

自宅サーバーでメールサーバーを立てる場合のOP25B対策設定(Postfix編)です。

■ OP25B対策とは?

インターネット接続プロバイダによってはOP25Bというのが施されています。

OP25B(Outbound Port 25 Blocking)とは、インターネット接続プロバイダが、自社のメールサーバー以外のポート25を使おうとするユーザーを自社の回線レベルで遮断するものです。
これによって、迷惑メール送信業者が自分を追跡されないようにプロバイダ以外のサーバーを使うという行為を規制するわけです。

ところで、これは自宅サーバーでメールサーバーを立てる場合に大きな障害となります。
ルーターでポート25を開けても、それで外側(インターネット)から内側(自宅サーバー)には繋がりますが、内側(自宅サーバー)から外側(インターネット)へは出られません。
自宅サーバーのポート25からメールが出せないのですからメールサーバーとして機能しないことになり困ります。

そこで、自宅サーバーでメールサーバーを立てる場合にOP25B対策という少々特殊な設定を行う必要が出てきます。

OP25B対策はプロバイダによって若干の設定調整が必要かもしれません。
大手プロバイダの有名どころOCNなどがその代表なのですが、OCNだと

(1)OCN以外サーバーの25ポートを使ってメール送信できない
  Connection timeout になる

(2)OCNのメールサーバーを使うときFromの判定が厳しい
  ※接続元のサーバー名が存在しない場合など
  554 5.7.1:Sender address rejected のエラーになる

この(2)は、自宅サーバーのhostnameの設定がいい加減だと駄目だということにもなりますので注意が必要です。
Postfixが@マークの後ろにデフォルトのホスト名を付ける場合に、DNSで引けないホスト名を付けるとプロバイダーのSMTPサーバーからリレー拒否されます。

■ Postfix OP25B対策設定

さて、PostfixのOP25B対策設定の方法です。
続きを読む