【Vine Linuxで自宅サーバー】Postfixにフィルタをかける（不正中継の防止）

フィルタをかけて、メールの受け取り拒否と不正中継の防止

まずはじめに、/etc/postfix/header_checks というファイルを作成します。

メールヘッダの文字列で受け取り拒否

＠　コレ作った # vi /etc/postfix/header_checks　←　設定ファイル作成

　i キー（入力モード）

※ 赤字の部分は例ですので各自の環境に合わせて変更してください。

X-Mailer:
大量配信を目的とした特殊なメーラーや、バージョン等に特徴のあるメーラーを受け取り拒否するように設定。

＠　コレ除外(自分考えに元づいて)　　/^X-Mailer:.*ＤＭ　Ｍａｉｌｅｒ/i REJECT
＠　コレ除外(自分考えに元づいて)　　/^X-Mailer:.*＊ＡＳＡＹＡＮ/i REJECT

Subject:
ウィルスメールや勧誘、広告メールのタイトルとして記載されている文字列を記載します。

＠　コレ除外(Yahooサマに元づいて)　　/^Subject:.*Re:Sample/ REJECT
＠　コレ除外(Yahooサマに元づいて)　　/^Subject:.*Re:Document/ REJECT

From: と Return-Path:
それぞれ受け取り拒否したいメールアドレスを記載します。
メールアドレスの一部としてホスト名や、ドメイン名や、ドメインネームを指定すると、その文字列を含む物全て拒否します。

<#.*@.*>はそれぞれメールアドレスが含まれていない場合に適応されます。

＠　コレ除外(自分考えに元づいて)　　/^From:.*<#.*@.*>/ REJECT
＠　コレ除外(ｻｰﾁに元づいて)　　/^From:.*@hotomail.com/ REJECT
＠　コレ除外(ｻｰﾁに元づいて)　　/^From:.*email.it/ REJECT

＠　コレ除外(自分考えに元づいて)　　/^Return-Path:.*<#.*@.*>/ REJECT
＠　コレ除外　　/^Return-Path:.*@msn.com/ REJECT

name
添付ファイルの拡張子を記述します。
特定の拡張子の添付があるメールの受け取りを拒否できます。

＠　コレ除外 /name=.*\.scr/ REJECT
＠　コレ除外 /name=.*\.pif/ REJECT
＠　コレ除外 /name=.*\.exe/ REJECT

Data
グリニッジ標準時を利用して海外からのメールを拒否（日本は+0900）

＠　コレ除外 /^Date:.*-0500/ REJECT
＠　コレ除外 /^Date:.*-0600/ REJECT
＠　コレ除外 /^Date:.*-0700/ REJECT
＠　コレ除外 /^Date:.*-0800/ REJECT
＠　コレ除外 /^Date:.*-0900/ REJECT
＠　コレ除外 /^Date:.*+0800/ REJECT

Received
メールヘッダのReceived行を非表示化する場合下記を追加

＠　コレ除外 /^Received:/ IGNORE

記載したら Esc キー（コマンドモード）:wqで保存

次に /etc/postfix/body_checks と言うファイルを作成します。

メール本文の文字列で受け取り拒否

＠　コレ作った # vi /etc/postfix/body_checks　←　設定ファイル作成

　i キー（入力モード）

本文文字列
メール本文に含まれる、マルチビジネスのお決まり文句や、ＵＲＬ、メールアドレス、電話番号、住所等の一部を記載すると効果大です。

＠　コレ除外(Yahooサマに元づいて)　　/^(|[^>].*)diamond.exec.ws/ REJECT
＠　コレ除外(Yahooサマに元づいて)　　/^(|[^>].*)090-1111-11/ REJECT
＠　コレ除外(Yahooサマに元づいて)　　/^(|[^>].*)615-0042/ REJECT
＠　コレ除外(Yahooサマに元づいて)　　/^(|[^>].*)mail.od.ua/ REJECT

記載したら Esc キー（コマンドモード）:wqで保存

次に/etc/postfix/recipient_checks.regというファイルを作ります。

ユーザー名@ドメイン名、又はユーザー名@ホスト.ドメイン名といった、FQDNに従ったメールアドレス以外の受け取りを拒否します。

＠　コレ作った # vi /etc/postfix/recipient_checks.reg　←　設定ファイル作成

　i キー（入力モード）

＠　コレ書いた　　/[@!%].*[@!%]/ 550 Please use user@domain address forms only.

記載したら Esc キー（コマンドモード）:wqで保存

次に/etc/postfix/main.cfを編集します。

# vi /etc/postfix/main.cf　←　設定ファイル編集

　i キー（入力モード）

＠　コレ除外(自分考えに元づいて)　　header_checks = regexp:/etc/postfix/header_checks　←　#を外して有効に

＠　コレ除外(自分考えに元づいて)　　body_checks = regexp:/etc/postfix/body_checks　←　追記

最下部に以下を追記していきます。
　,カンマの付け忘れに注意してください。

’　なってた　smtpd_helo_required = yes

’　なってた　disable_vrfy_command = yes

外部ブラックリストに登録されているメールの受け取り拒否
smtpd_client_restrictions =
                permit_mynetworks,　←　※1
＠　コレ書いた　　reject_rbl_client sbl-xbl.spamhaus.org,　←　※２
		permit　←　※４

※５ 外部ブラックリスト（RBL）にて受信拒否した場合の応答を変更（下記詳細を見て必要な場合のみ）
＠　入れなかったmaps_rbl_reject_code = 550
＠　入れなかったdefault_rbl_reply = $rbl_code <$recipient>: Recipient address rejected: User unknown in local recipient table

＠　Bbssは二個あったでｺﾒﾝﾄｱｳﾄした717行辺り　　smtpd_recipient_restrictions =
		permit_mynetworks,　←　※1
＠　コレ書いた　　regexp:/etc/postfix/recipient_checks.reg, ← ※６
＠　コレ書いた　　reject_non_fqdn_recipient,　←　※７
＠　コレ除外(ｴﾗｰの話題もあるしrejectにしてる)　　reject_unauth_destination　←　※８

smtpd_sender_restrictions =
		reject_unknown_sender_domain,　←　※９
＠　コレ書いた　　reject_non_fqdn_sender　←　※１０

記載したら Esc キー（コマンドモード）:wqで保存

# /etc/rc.d/init.d/postfix restart　←　設定終了後にPostfix再起動

※　header_checks、body_checks、recipient_checks.reg　等のファイルのみ編集してもPostfix を再起動する必要があります。

上記設定の詳細

※1
permit_mynetworks
自ネットワークに対して無条件で接続許可

※２
reject_rbl_client sbl-xbl.spamhaus.org
スパムハウスのSBLとXBLでスパムとオープンプロキシを排除

※４
permit
上記の条件にマッチしなければ許可

※５
maps_rbl_reject_code = 550
default_rbl_reply = $rbl_code <$recipient>: Recipient address rejected: User unknown in local recipient table
smtpd_client_restrictionsの部分の記述だけではRBLにてメール排除していることがスパマーに知られてしまいます。
RBLでスパムを排除した際のエラーコードとエラーメッセージを設定しておく事で、あて先ユーザーが存在しない為に
発生したエラーに見せかけます。
ただしこの設定では、メールログにも同じ記述が記載されるので、ユーザー不在かスパム排除か区別できなくなります。

区別する為に目印をエラーメッセージの末尾の「table」を「tabeles」等に変更しておけば、それをキーワードにRBLにて
排除されたログを見つけることが可能です。

上記設定をしてRBLにて排除されたログを確認するには

# grep -i tables /var/log/maillog　←　メールログから「tables」を含むログを抽出
Mar 22 17:02:57 Linux postfix/smtpd[26076]: 70644BA2B3: reject: RCPT from unknown[124.42.3.211]: 550 <xxxx@1-max.net>: Recipient address rejected: User unknown in local recipient tables; from=<info@mail.yuytt.com> to=<xxxx@1-max.net> proto=SMTP helo=<mail.yuytt.com>

※６
regexp:/etc/postfix/recipient_checks.reg
FQDNに従ったメールアドレス以外の受信拒否

※７
reject_non_fqdn_recipient
受信者がFQDNに従ったメールアドレス以外拒否

※８
reject_unauth_destination
$mydestination, $inet_interfaces, $virtual_maps, $relay_domains のパラメータ値に
リストされたアドレス宛かチェックし、それ以外は拒否

※９
reject_unknown_sender_domain
未解決ドメインの受け取り拒否

※１０
reject_non_fqdn_sender
送信者がFQDNに従ったメールアドレス以外拒否

不正中継テストを行う

上記のフィルタの設定が終われば、実際に不正中継されないか下記のどちらかでテストします。

NETWORK ABUSE CLEARINGHOUSE - Mail relay testing にて不正中継されないかチェックする。

Address to test: に取得したドメイン名か、確認くんでIPを調べてIPアドレスを入力。

次に Test for relay をクリックします。

17 種類のチェックが行われ、問題が無ければ、最下部に All tests performed, no relays accepted. と表示されます。
もし不正中継される様であればその時点でテストはストップします。

有限会社長崎ネットワークサービス　にて不正中継されていないかチェックする。

メールアドレスに取得したドメイン名かメールアドレスを入力。

次に調査をクリック

問題なければ合格と表示されます。

外部ブラックリスト（RBL）に登録されているかチェック

もし、ある特定の企業や友人からのメールが受信できない場合はブラックリストに登録されていないかチェックしてください。
また、特定の人のみメール送信できない場合も自分のホストが登録されていないかチェックしてください。

Black list DB checkにて、外部ブラックリスト（BRL）にSMTP(メール送信のサーバー）のホスト名かIPアドレスが
登録されているか調べる事が可能です。

ドメイン又はIPアドレスを入力して「クリエ送信」をクリックすれば結果が表示されます。

登録されていませんと表示されれば問題ないです。

もし登録されている場合は、サーバー設定を見直し（セキュリティー強化）を行って、削除の依頼を行ってください。