Orz日記 by Akio Morita

_ [FreeBSD]SMTP-AUTH対応

プロバイダのOCNのOB25なメール中継サービスが、10月より順次SMTP-AUTH/暗号化必須となるとのことなので、メール送信のSMTP-AUTH対応作業を始めた

qmailのSMTP-AUTH/TLS拡張も検討したが、流石に保守があれな状況だし、そこまで設定すると全然簡単ではなくなるので、postfixに移行することに...

で、一応デフォルトのローカル配信系をpostfix化(ローカル配信系は同時立ち上げ可能、/etc/mail/mailer.confで/usr/bin/側のコマンドバックエンドを選択)実施

SMTP-AUTH over SMTPSでの送信テストを始めたが、TLSネゴシエーション後に RCPT TOコマンドへの応答で Sender address rejected: Access denied (in reply to RCPT TO command)で配信拒否される模様

どうやら、Envelope-FromがOCNのアドレスでないとお気に召さない様なのだが、何度か同一の設定でメールを送り出すと受け取って配信してくれるケースがあるのが謎

SMTPサーバーのv4アドレスは同じに見えるので、reversed proxyの先に微妙に設定の異なるSMTPサーバーでも並んでいるのかもしれない

Access deniedで蹴られると送信側のpostfixはそのままbounceしてしまうので、postfix側で送信時のEnvelope-From書き換えを仕込む

sender_canonical_classes = envelope_sender
sender_canonical_maps = regexp:/etc/postfix/envelope_sender_rewrite

当面、これで様子を見る

サーバー側の残作業は、SMTPDとPOPDの実装をqmailからpostfixへの切り替えることだが、Maildir監視用のmaildirwatchはどうしよう？

ports的にはmail/qmailにしか入っていない上にソースはdjb流なので切り出してコンパイルするのも面倒くさい…

_ [FreeBSD]SMTPD切り替え

SMTPDをqmail-smtpdから postfixへ切り替え及びオープンリレー検査を実施し、無事に作業終了

TLSサポートが無いとの警告がでるが、用途的に無くてもこまらないので、実装は先送り

あと、応答が早くなったけど、tcpserverの paranoid検査で遅かっただけか？

POP3Dはどうしよう？外部公開していないssh tunnel経由のメール取り込み専用なのだが…

_ [FreeBSD][Admin]djb系のソフトウェア

メンテナンスの都合で置き換えたいが、色々面倒そうなので現状をまとめておく

• daemontools
  • 幾つかのローカルサービスの起動管理が依存している
• clockspeed
  • sntpclock + clockspeedで local clockを同期中
  • NTPによる配信は、OpenNTPDで対応中
  • net/ntpによる集約も検討したが、local clockが閏秒入りの運用だと問題がでる(GPS同期系のコードが閏秒入りのlocal clockを想定していいないとか)
• djbdns
  • cache serverは、unboundに移行済み
  • tinydnsによるローカルな権威サーバーが稼働中
  • dnsip, dnsname等のresolver clientをshell scriptで使用中
    • 主要なものについては、hostコマンドのwrapper scriptで置き換え可能
    • dns/djbdns-toolsを使うという手もある
• qmail
  • qmail-popup/pop3dを、gnusのmail-source用にPOP3 serverとして運用中
    • dovecotに移行可能(APOP/POP over SSLのサポートも可能)
  • Maildirの確認用に maildirwatchを利用中
    • qmailのソースツリーから maildirwatchだけ切り出すのは面倒そう
  • maildirmakeはshell scriptで置き換え可能(使用頻度は低い)

_ [FreeBSD][Admin]recipient_delimiter運用

qmailの拡張アドレスを引き継ぐために、recipient_delimiterに-に設定しているので、-を含むユーザー名が使えなくなる

ただし、権限分離用の非属人アカウントの場合は、MAILER-DAEMONなどと同様に/etc/aliases経由で転送することは可能だが、終端としては使えない

`-'を含む属人アカウントがある場合の別解

recipient_delimiterを推奨通りに+に設定し、/etc/aliases経由でqmailから引き継ぐ拡張アドレスを全て転送する

foo-ext1   foo+ext1
foo-ext2   foo+ext2
bar-ext1   bar+ext1

上記の転送対象は、qmailが稼働していたホストで配信終端となるホームディレクトリを持つアカウントなので、getenv passwdからホームディレクトリを抜きだし、.qmail-*にマッチするファイルを探す簡単なshell scriptで網羅できるはず(システム側で転送している分は、/var/qmail/alias/内を捜索すれば良い)

_ [FreeBSD][Admin]qmail-popup/pop3dリプレース

gnusのフィード用の qmail-popup/pop3dをdovecotにリプレース

rc.d/dovecotは、複数の設定ファイルを与えると複数のdovecotを立ち上げてくれるので便利(ただし、base_dirの設定はインスタンス毎に変更しておく必要有り)

maildirwatchに関しては、PATH内にexec /var/qmail/bin/maildirwatchするだけのwrapper scriptを置いて、/var/qmail/binをPATHから外した

maildirwatchをqmailから切り出すか、同一機能をscriptで簡単に書ければ、uninstallできるのだが…