ArchWiki - 利用者の投稿記録 [ja]

OpenDMARC

2016-11-13T04:59:48Z

Trileg: ArchWikiのスタイルに沿うように，微細な修正をしました

[[Category:メールサーバー]]
[[en:OpenDMARC]]
Domain-based Message Authentication, Reporting and Conformance (DMARC) はメール転送のポリシーです。一般的なメールプロバイダによってサポートされています。DMARC は [[SPF]] と [[openDKIM|DKIM]] に依存します。DMARC は送信されるメールのポリシーを提供し、受信したメールがポリシーに適合しているか確認します。ポリシーは DNS TXT レコードを使って公開されます。TXT レコードについては[[#レコード|レコード]]セクションで説明しています。ポリシーの検証はデーモンで行います。デーモンの設定については[[#バリデータ|バリデータ]]セクションで説明しています。詳しい情報は [https://datatracker.ietf.org/doc/draft-kucherawy-dmarc-base/ ドラフト] を見てください。

== レコード ==
レコードは {{ic|<nowiki>v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@example.org;ruf=mailto:forensik@example.org;adkim=s;aspf=r</nowiki>}} のように、メインドメインの {{ic|_dmarc}} サブドメインとして TXT レコードに入力します。

{| class="wikitable"
! タグ名 !! 目的 !! 例
|-
|v || プロトコルのバージョン || v=DMARC1
|-
|pct || フィルタリングするメッセージの割合 || pct=20
|-
|ruf || フォレンジックレポートを報告するための URI || ruf=mailto:authfail@example.com
|-
|rua || アグリゲートレポートを報告するための URI || rua=mailto:aggrep@example.com
|-
|p || 組織的ドメインのポリシー || p=quarantine
|-
|sp || サブドメインのポリシー || sp=reject
|-
|adkim || DKIM のアライメントモード　|| adkim=s
|-
|aspf || SPF のアライメントモード || aspf=r
|-
|fo || フォレンジックレポートのオプション || fo=1
|-
|rf || レポートの形式。afrf または iodef。 || rf=afrf
|-
|ri || アグリゲートレポートを報告する間隔。 || ri=86400
|}

DKIM と SPF のアライメントモードは s (strict) と r (relaxed) が指定できます。後者の場合は From ヘッダにサブドメインを使用することができますが前者では使用できません。ドメインとサブドメインのポリシー (p) には {{ic|monitor}}, {{ic|quarantine}}, {{ic|reject}} が指定できます。フォレンジックレポートのオプションが "0" の場合、全ての認証メカニズムが DMARC を通過しなかった場合にレポートを作成し、"1" の場合はどれかの認証が失敗した場合にレポートを作成し、"d" の場合は DKIM 署名が検証できなかった場合にレポートを作成し、"s" の場合は SPF が失敗した場合にレポートを作成します。

== バリデータ ==
=== インストール ===
{{Pkg|opendmarc}} パッケージを[[インストール]]してください。

=== 基本設定 ===
メインの設定ファイルは {{ic|/etc/opendmarc/opendmarc.conf}} です。

* サンプル設定ファイル {{ic|/etc/opendmarc/opendmarc.conf.sample}} を {{ic|/etc/opendmarc/opendmarc.conf}} にコピーして以下のオプションを変更してください:
{{hc|/etc/opendmarc/opendmarc.conf|
Socket unix:/run/opendmarc/dmarc.sock
UMask 007
}}

別のマシンで DMARC バリデータを動作させたい場合、Socket フィールドを {{ic|inet:9999@10.0.0.4}} などに変更する必要があります (IP アドレスは省略すると 0.0.0.0 を使うようになります)。UMaskフィールドの変更は、PostfixからOpenDMARCを使うために必要となります。 {{ic|007}} とすることで、Socketフィールドで指定したUNIXドメインソケットを所有者と所有グループが読み・書き・実行できるようになります。

* 以下の systemd ユニットファイルを作成してください:
{{hc|/etc/systemd/system/opendmarc.service|<nowiki>
[Unit]
Description=OpenDMARC daemon
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
User=opendmarc
Group=postfix
RuntimeDirectory=opendmarc
ExecStart=/usr/bin/opendmarc -c /etc/opendmarc/opendmarc.conf

[Install]
WantedBy=multi-user.target</nowiki>
}}

デーモンを動かすのに root 権限は必要ないため、systemd ユニットファイル内で起動するユーザとグループを適切なものに指定し、権限を落としています。また、{{ic|RuntimeDirectory}} オプションを利用することで、前述した UNIX ドメインソケットの親ディレクトリである {{ic|/run/opendmarc}} が systemd ユニットファイル内で指定したユーザとグループでデーモン起動時に自動的に作成され、デーモン終了時に自動的に削除されるように設定できます。

* {{ic|opendmarc.service}} を起動・有効化してください。詳しくは[[デーモン]]を読んでください。

=== Postfix の統合 ===
以下の行を {{ic|main.cf}} に追加してください:
non_smtpd_milters = unix:/run/opendkim/dkim.sock, unix:/run/opendmarc/dmarc.sock
smtpd_milters = unix:/run/opendkim/dkim.sock, unix:/run/opendmarc/dmarc.sock
DMARC の milter は DKIM の milter よりも後に宣言する必要があります。

== 参照 ==
* [https://dmarcian.com/dmarc-inspector/ DMARC Inspector]

Postfix

2016-11-13T04:41:17Z

Trileg: SpamAssassinのマッチパターン自動更新について，.serviceファイルでなく.timerファイルを起動・有効化するように修正しました

[[Category:メールサーバー]]
[[en:Postfix]]
{{Related articles start}}
{{Related|Postfix と SASL}}
{{Related|Amavis}}
{{Related|仮想ユーザーメールシステム}}
{{Related4|Courier MTA}}
{{Related|Exim}}
{{Related4|OpenSMTPD}}
{{Related|OpenDMARC}}
{{Related|OpenDKIM}}
{{Related articles end}}
[http://www.postfix.org/ Postfix のサイト] より:
:''Postfix は高速で管理しやすくセキュアでありながら、同時に既存のユーザーを使えるように sendmail と互換性を保っています。そのため、外から見ると sendmail のようですが、中身は完全に別物です。''

この記事では Postfix をセットアップする方法と基本的な設定ファイルの説明をします。ローカルのシステムユーザーだけが使える設定の手順と、仮想ユーザーを使う方法のリンクが存在します。

== インストール ==

{{Pkg|postfix}} パッケージを[[インストール]]してください。

== 設定 ==

=== master.cf ===

{{ic|/etc/postfix/master.cf}} は利用するプロトコルの種類を指定できるマスター設定ファイルです。また、パイプを設定することでスパムのチェックなどを行うこともできます。

[[#Secure SMTP]] に書かれているように Secure SMTP を有効化することを推奨します。

送受信されるメールの暗号化については [http://www.postfix.org/TLS_README.html このページ] を見てください。

=== main.cf ===

{{ic|/etc/postfix/main.cf}} はあらゆることを設定できるメイン設定ファイルです。仮想ローカルのみの配送をする場合、以下の設定を推奨します。

*{{ic|myhostname}} はメールサーバーが複数のドメインを持っている場合に、プライマリドメインをメールホストにしたくないときに設定してください。DNS の A レコードと MX レコードの両方がこのホスト名を指定している必要があります。
:{{bc|1=myhostname = mail.nospam.net}}

*{{ic|mydomain}} は通常 {{ic|myhostname}} の値から最初の部分を除いた部分になります。ドメインが信頼できないときは、手動で設定してください。
:{{bc|1=mydomain = nospam.net}}

*{{ic|myorigin}} はメールの送信元になります。通常は {{ic|mydomain}} の値に設定します。単純なサーバーなら、これで十分です。ローカルアカウントからのメール用です。ローカル転送はしないため (送信は除く)、基本的にあまり重要ではありません。
:{{bc|1=myorigin = $mydomain}}

*{{ic|mydestination}} はローカルユーザーのルックアップです。
:{{bc|1=mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain}}

*{{ic|mynetworks}} と {{ic|mynetworks_style}} はリレーを制御し、許可するユーザーを指定します。リレーは設定しません。
:{{ic|mynetwork_style}} は host に設定して、スタンドアロンの Postfix ホストを作成し、ウェブメールを利用できるようにします。リレーは行わず、他の MTA も使いません。ただのウェブメールです。
:{{bc|1=mynetworks_style = host}}

*{{ic|relaydomains}} は Postfix のリレー先を指定します。デフォルトの値は空です。空のままでかまいません。
:{{bc|1=relay_domains = }}

*{{ic|home_mailbox}} や {{ic|mail_spool_directory}} はユーザーのメールの保存場所を指定します。
:設定する場合、{{ic|mail_spool_directory}} にはメールを保存するディレクトリを絶対パスで指定します。デフォルトでは Postfix は {{ic|/var/spool/mail}} にメールを保存します。

:{{bc|1=mail_spool_directory = /home/vmailer}}

:また、{{ic|home_mailbox}} はメールが配達されるメールボックスをユーザーのホームディレクトリからの相対パスで指定します (例: {{ic|/home/vmailer}})。

:Courier-IMAP は "Maildir" フォーマットを必要とするため、以下のように末尾にスラッシュを付ける必要があります:
:{{bc|1=home_mailbox = Maildir/}}

{{Warning|SSL/TLS を使用する場合、設定に以下を追加して [http://disablessl3.com/ POODLE] や [https://weakdh.org/sysadmin.html FREAK/Logjam] に正しく対応してください:
{{bc|1=
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA}}

そして [https://weakdh.org/sysadmin.html こちらの手順] に従って [https://www.openssl.org/docs/apps/dhparam.html dhparam ファイル] を生成して、設定に以下を追加してください:
{{bc|1=smtpd_tls_dh1024_param_file = ${config_directory}/dhparams.pem}}
}}

==== メッセージとメールボックスの容量制限 ====

Postfix はデフォルトでメッセージとメールボックスの容量を制限します。{{ic|message_size_limit}} にはメッセージの最大容量をバイト数で指定します (デフォルトは 10240000 です)。{{ic|mailbox_size_limit}} はローカルのメールボックスや maildir ファイルの最大容量を決めます (デフォルトは 51200000 で、制限したくない場合は 0 に設定します)。配達時に書き出されるあらゆるファイルの容量を制限します。ローカルの配達エージェントによって実行された外部コマンド (procmail) で書き出されるファイルも含みます。バウンスメッセージの通知が生成される場合、{{ic|/var/spool/mail}} 下のローカルのメールボックスの容量を確認して、postconf を使って容量制限を確認してください:

# postconf mailbox_size_limit
mailbox_size_limit = 51200000
# postconf message_size_limit
message_size_limit = 10240000

=== エイリアス ===

エイリアス (別名フォワーダー) は {{ic|/etc/postfix/aliases}} で指定できます。

root でメールを読むのはよろしくないので ''root'' に届いたメールは全て他のアカウントにマッピングするべきでしょう。

以下の行をアンコメントして、{{ic|you}} を実際のアカウントに置き換えてください:
root: you

{{ic|/etc/postfix/aliases}} の編集を終えたら {{ic|postalias}} コマンドを実行してください:
postalias /etc/postfix/aliases
後で変更するときは:
newaliases

{{Tip|Alternatively you can create the file {{ic|~/.forward}}, e.g. {{ic|/root/.forward}} for root. Specify the user to whom root mail should be forwarded, e.g. ''user@localhost''.

{{hc|/root/.forward|
user@localhost
}}}}

=== ローカルメール ===

({{ic|/etc/passwd}} に記述されている) ローカルのシステムユーザーにしかメールを配達しないようにするには、{{ic|/etc/postfix/main.cf}} を以下のように変更してください:

myhostname = localhost
mydomain = localdomain
mydestination = $myhostname, localhost.$mydomain, localhost
inet_interfaces = $myhostname, localhost
mynetworks_style = host
default_transport = error: outside mail is not deliverable

他の設定を変更する必要はありません。上記のように設定したら、[[#エイリアス|エイリアス]]を設定して [[#Postfix の起動|Postfix を起動]]してください。

=== バーチャルメール ===
バーチャルメールはユーザーアカウントにマッピングされないメールです ({{ic|/etc/passwd}})。

セットアップする方法は[[仮想ユーザーメールシステム]]を見てください。

=== DNS レコード ===

メールホストを MX レコードに設定する必要があります。通常はドメインプロバイダの設定インターフェイスから設定できます。

メール交換レコード (MX レコード) は Domain Name System におけるリソースレコードの一つで、受取人のドメインを代表してメールメッセージを受け取るメールサーバーを指定します。

メールメッセージがインターネットから送られると、メール転送エージェントが Domain Name System から受取人のドメイン名の MX レコードを聞き出します。このクエリに対して、メール交換サーバーのホスト名のリストが返ってきます。次に、エージェントはそれらのサーバーのどれか一つと (設定番号が一番若いサーバーから順番に) SMTP 接続を確立して、接続が出来た最初のサーバーにメールを配送します。

{{Note|Some mail servers will not deliver mail to you if your MX record points to a CNAME. For best results, always point an MX record to an A record definition. For more information, see e.g. [[Wikipedia:List of DNS record types|Wikipedia's List of DNS Record Types]].}}

=== 設定のチェック ===

{{ic|postfix check}} コマンドを実行してください。設定ファイルで間違っている部分が出力されます。

全ての設定を確認したいときは、{{ic|postconf}} と入力します。デフォルト設定との差異点を確認したいときは、{{ic|postconf -n}} を実行してみてください。

== Postfix の起動 ==

{{Note|[[#エイリアス|エイリアス]]を全く設定していない場合でも Postfix を起動するには最低でも1回は {{ic|newaliases}} を実行する必要があります。}}

{{ic|postfix.service}} を[[systemd#ユニットを使う|起動・有効化]]してください。

== テスト ==

Postfix がテストユーザーにメールを配達できるかどうか確認してみましょう:
{{bc|
nc servername 25
helo testmail.org
mail from:<test@testmail.org>
rcpt to:<cactus@virtualdomain.tld>
data
This is a test email.
.
quit
}}

=== エラーレスポンス ===

451 4.3.0 <lisi@test.com>:Temporary lookup failure
MySQL のユーザー名やパスワードが間違っているか、あるいは MySQL のソケットが正しい場所に存在しません。

Postfix を起動する前に newaliases を実行していなかった場合も上記のエラーが発生します。Postfix をローカルのみで使用するのであれば MySQL は不要です。

550 5.1.1 <email@spam.me>: Recipient address rejected: User unknown in virtual mailbox table.
{{ic|mysql_virtual_mailboxes.cf}} の中身や {{ic|main.cf}} の {{ic|mydestination}} をチェックしてください。

=== メールを受け取ったことを確認 ===

{{ic|$ find /home/vmailer}} と入力してください。

以下のように表示されるはずです:
{{bc|
/home/vmailer/virtualdomain.tld/cactus@virtualdomain.tld
/home/vmailer/virtualdomain.tld/cactus@virtualdomain.tld/tmp
/home/vmailer/virtualdomain.tld/cactus@virtualdomain.tld/cur
/home/vmailer/virtualdomain.tld/cactus@virtualdomain.tld/new
/home/vmailer/virtualdomain.tld/cactus@virtualdomain.tld/new/1102974226.2704_0.bonk.testmail.org
}}
最後のエントリが実際のメールです。これで動作していることが確認できます。

== Tips and tricks ==

=== PostfixAdmin ===

PostfixAdmin を使うには、[[Apache HTTP Server]] に書かれているように Apache/MySQL/PHP のセットアップが必要です。

IMAP を機能させるには、{{Pkg|php-imap}} をインストールして {{ic|/etc/php/php.ini}} の {{ic|imap.so}} をアンコメントしてください。

そして、{{Pkg|postfixadmin}} を[[インストール]]してください。

PostfixAdmin の設定ファイルを編集:

{{hc|/etc/webapps/postfixadmin/config.inc.php|<nowiki>
$CONF['configured'] = true;
// correspond to dovecot maildir path /home/vmail/%d/%u
$CONF['domain_path'] = 'YES';
$CONF['domain_in_mailbox'] = 'NO';
$CONF['database_type'] = 'mysql';
$CONF['database_host'] = 'localhost';
$CONF['database_user'] = 'postfix_user';
$CONF['database_password'] = 'hunter2';
$CONF['database_name'] = 'postfix_db';

// globally change all instances of ''change-this-to-your.domain.tld''
// to an appropriate value
</nowiki>}}

Dovecot をインストールするときにパスワードの認証方式を変更した場合 (例: SHA512-CRYPT)、Postfix の設定もそれにあわせてください:

{{hc|/etc/webapps/postfixadmin/config.inc.php|<nowiki>
$CONF['encrypt'] = 'dovecot:SHA512-CRYPT';
</nowiki>}}

As of dovecot 2, dovecotpw has been deprecated. You will also want to ensure that your config reflects the new binary name.

{{hc|/etc/webapps/postfixadmin/config.inc.php|<nowiki>
$CONF['dovecotpw'] = "/usr/sbin/doveadm pw";
</nowiki>}}

Apache の設定ファイルを作成:
{{hc|/etc/httpd/conf/extra/httpd-postfixadmin.conf|<nowiki>
Alias /postfixadmin "/usr/share/webapps/postfixAdmin"
<Directory "/usr/share/webapps/postfixAdmin">
DirectoryIndex index.html index.php
AllowOverride All
Options FollowSymlinks
Require all granted
</Directory>
</nowiki>}}

To only allow localhost access to postfixadmin (for heightened security), add this to the previous <Directory> directive:
Order Deny,Allow
Deny from all
Allow from 127.0.0.1

{{ic|/etc/httpd/conf/httpd.conf}} から {{ic|httpd-postfixadmin.conf}} をインクルードしてください:
# PostfixAdmin configuration
Include conf/extra/httpd-postfixadmin.conf

{{Note|
* If you go to yourdomain/postfixadmin/setup.php and it says do not find config.inc.php, add {{ic|/etc/webapps/postfixadmin}} to the {{ic|open_basedir}} line in {{ic|/etc/php/php.ini}}.
* If you get a blank page check the syntax of the file with {{ic|php -l /etc/webapps/postfixadmin/config.inc.php}}.}}

=== Secure SMTP ===

詳しくは [http://www.postfix.org/TLS_README.html Postfix TLS Support] を見てください。

==== STARTTLS over SMTP (ポート 587) ====

STARTTLS over SMTP (ポート 587, SMTP をセキュア化するプロトコル) を有効にするには、以下の行を {{ic|main.cf}} に追加してください:

{{hc|/etc/postfix/main.cf|2=
smtpd_tls_security_level = may
smtpd_tls_cert_file = '''/path/to/cert.pem'''
smtpd_tls_key_file = '''/path/to/key.pem'''
}}

また {{ic|master.cf}} から以下の行のコメントを取り外してサービスを有効にしてください:

{{hc|/etc/postfix/master.cf|2=
submission inet n - n - - smtpd
}}

古い SMTPS ポートの 465 を使う必要がある場合、次のセクションを読んでください。

==== SMTPS (ポート 465) ====

The deprecated method of securing SMTP is using the '''wrapper mode''' which uses the system service '''smtps''' as a non-standard service and runs on port 465.

To enable it uncomment the following lines in

{{hc|/etc/postfix/master.cf|<nowiki>
smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
</nowiki>}}

And verify that these lines are in {{ic|/etc/services}}:
smtps 465/tcp # Secure SMTP
smtps 465/udp # Secure SMTP

If they are not there, go ahead and add them (replace the other listing for port 465). Otherwise Postfix will not start and you will get the following error:

''postfix/master[5309]: fatal: 0.0.0.0:smtps: Servname not supported for ai_socktype''

=== SpamAssassin ===

{{Pkg|spamassassin}} パッケージをインストールしてください。

{{ic|/etc/mail/spamassassin/local.cf}} を開いて必要に応じて設定して下さい。

==== SpamAssassin のルールの更新 ====

SpamAssassin のマッチパターンを更新してコンパイル:
# sa-update
# sa-compile

上記のコマンドを定期的に実行したい場合、[[Systemd/タイマー]]を使用するのが良いでしょう。

以下のサービスを作成してください:
{{hc|1=/etc/systemd/system/spamassassin-update.service|2=
[Unit]
Description=spamassassin housekeeping stuff

[Service]
User=spamd
Group=spamd
Type=oneshot
ExecStart=-/usr/bin/vendor_perl/sa-update --allowplugins #You can remove the allowplugins options if you do not want direct plugin updates from SA.
ExecStart=-/usr/bin/vendor_perl/sa-compile
# You can automatically train SA's bayes filter by uncommenting this line and specifying the path to a mailbox where you store email that is spam (for ex this could be yours or your users manually reported spam)
#ExecStart=-/usr/bin/vendor_perl/sa-learn --spam <path to your spam>
}}

そして、上記のサービスを毎日実行するタイマーを作成してください:
{{hc|1=/etc/systemd/system/spamassassin-update.timer|2=
[Unit]
Description=spamassassin house keeping

[Timer]
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target
}}

最後に SpamAssassin の systemd サービスを修正して新しいルールを読み込むために再起動するように設定してください。パッケージに含まれているサービスファイルをカスタムサービスファイルにコピー:
{{bc|1=
# cp /usr/lib/systemd/system/spamassassin.service /etc/systemd/system
}}

そして新しく作成した {{ic|/etc/systemd/system/spamassassin.service}} に以下を記述してください:
{{bc|1=
[Unit]
PartOf=spamassassin-update.service
}}

上記の設定でタイマーが起動する前に Spamassassin の spamd が再起動されます。タイマーが毎日起動している場合、次の日にルールが使えるようになります。ルールのコンパイルにはしばらく時間がかかるため、{{ic|sa.service}} が実行している間にサービスが中断することはありません。

タイマーを起動する前に、先ほど {{ic|spamassassin-update.service}} で指定した {{ic|spamd}} ユーザと {{ic|spamd}} グループが SpamAssassin のマッチパターン更新に関係するディレクトリに書き込めるように所有権を変更します:
{{bc|1=
# chown -R spamd:spamd /etc/mail/spamassassin/sa-update-keys
# chown -R spamd:spamd /var/lib/spamassassin
}}

そして {{ic|spamassassin-update.timer}} を[[起動]]・[[有効化]]してください。

==== SpamAssassin のスタンドアロン設定 ====

{{Note|If you want to combine SpamAssassin and Dovecot Mail Filtering, ignore the next two lines and continue further down instead.}}

{{ic|/etc/postfix/master.cf}} を編集して smtp の下にコンテンツ・フィルタを追加:
{{bc|1=
smtp inet n - n - - smtpd
-o content_filter=spamassassin
}}

以下の SpamAssassin のサービスエントリも追加:
{{bc|1=
spamassassin unix - n n - - pipe
flags=R user=spamd argv=/usr/bin/vendor_perl/spamc -e /usr/bin/sendmail -oi -f ${sender} ${recipient}
}}

上記の設定をしたら {{ic|spamassassin.service}} を[[起動]]できます。

==== SpamAssassin と Dovecot LDA / Sieve を組み合わせる (メールフィルタリング) ====
[[Dovecot#Sieve]] に書かれているように LDA と Sieve-Plugin をセットアップします。ただし最後の行 {{ic|mailbox_command... }} は無視してください。

代わりに {{ic|/etc/postfix/master.cf}} にパイプを追加:
dovecot unix - n n - - pipe
flags=DRhu user=vmail:vmail argv=/usr/bin/vendor_perl/spamc -u spamd -e /usr/lib/dovecot/dovecot-lda -f ${sender} -d ${recipient}

そして {{ic|/etc/postfix/main.cf}} で有効化:
virtual_transport = dovecot

==== SpamAssassin と Dovecot LMTP / Sieve を組み合わせる ====
[[Dovecot#Sieve]] に書かれているように LMTP と Sieve をセットアップします。

{{ic|/etc/dovecot/conf.d/90-plugins.conf}} を編集して以下を追加:

sieve_before = /etc/dovecot/sieve.before.d/
sieve_extensions = +vnd.dovecot.filter
sieve_plugins = sieve_extprograms
sieve_filter_bin_dir = /etc/dovecot/sieve-filter
sieve_filter_exec_timeout = 120s #this is often needed for the long running spamassassin scans, default is otherwise 10s

ディレクトリを作成して dovecot が実行できるように spamassassin をバイナリとして配置:

# mkdir /etc/dovecot/sieve-filter
# ln -s /usr/bin/vendor_perl/spamc /etc/dovecot/sieve-filter/spamc

新しいファイル {{ic|/etc/dovecot/sieve.before.d/spamassassin.sieve}} を以下の内容で作成:

require [ "vnd.dovecot.filter" ];
filter "spamc" [ "-d", "127.0.0.1", "--no-safe-fallback" ];

sieve ルール {{ic|spamassassin.svbin}} をコンパイル:

# cd /etc/dovecot/sieve.before.d
# sievec spamassassin.sieve

最後に、{{ic|dovecot.service}} を[[再起動]]してください。

==== SpamAssassin から ClamAV を実行 ====

[[ClamAV]] に書かれているように clamd をインストール・設定してください。

上記の設定のどれかにしたがってメールシステムから SpamAssassin が呼び出されるようにしてください。

{{pkg|perl-cpanplus-dist-arch}} パッケージを[[インストール]]して、以下のように ClamAV の perl ライブラリをインストールしてください:

# /usr/bin/vendor_perl/cpanp -i File::Scan::ClamAV

http://wiki.apache.org/spamassassin/ClamAVPlugin から2つのファイルを {{ic|/etc/mail/spamassassin/}} に追加してください。{{ic|/etc/mail/spamassassin/clamav.pm}} を編集して {{ic|$CLAM_SOCK}} で clamd のソケットを指定してください (デフォルトでは {{ic|/var/lib/clamav/clamd.sock}} です)。

最後に、{{ic|spamassassin.service}} を[[再起動]]してください。

=== Razor を使う ===

先に SpamAssassin をインストールしてから、{{Pkg|razor}} パッケージを[[インストール]]してください。

Razor の登録:

# mkdir /etc/mail/spamassassin/razor
# chown spamd:spamd /etc/mail/spamassassin/razor
# sudo -u spamd -s
$ razor-admin -home=/etc/mail/spamassassin/razor -register
$ razor-admin -home=/etc/mail/spamassassin/razor -create
$ razor-admin -home=/etc/mail/spamassassin/razor -discover

{{ic|/etc/mail/spamassassin/local.cf}} に以下を追加:

razor_config /etc/mail/spamassassin/razor/razor-agent.conf

{{ic|/etc/mail/spamassassin/razor/razor-agent.conf}} に以下を追加:

razorhome = /etc/mail/spamassassin/razor/

最後に、{{ic|spamassassin.service}} を[[再起動]]してください。

===送信者の IP とユーザーエージェントを Received ヘッダに載せない===
[[Thunderbird]] を使ってメールを送信している場合、プライバシーに関する懸念になります。Received ヘッダーには LAN や WAN の IP、使用しているメールクライアントの情報などが書かれています [http://askubuntu.com/questions/78163/when-sending-email-with-postfix-how-can-i-hide-the-senders-ip-and-username-in]。送信するメールから Received ヘッダを削除するには以下の手順に従ってください:

以下の行を {{ic|main.cf}} に追加してください:
smtp_header_checks = regexp:/etc/postfix/smtp_header_checks
以下の内容で {{ic|/etc/postfix/smtp_header_checks}} を作成してください:
/^Received: .*/ IGNORE
/^User-Agent: .*/ IGNORE
最後に {{ic|postfix.service}} を再起動してください。

===ルールベースのメール処理===
ポリシーサービスを使うことで Postfix のメール処理を簡単に設定できます。{{Pkg|postfwd}} と {{AUR|policyd}} はそのようなポリシーサービスを提供して、[[SPF]] のポリシーチェックに加えて送信者や受信者のグレイリスト・ブラックリストを簡単に作ることができます。

ポリシーサービスはスタンドアロンなサービスであり、以下のようにして Postfix に接続します:
{{hc|/etc/postfix/main.cf|<nowiki>
smtpd_recipient_restrictions =
...
check_policy_service unix:/run/policyd.sock
check_policy_service inet:127.0.0.1:10040
</nowiki>}}
最後にポリシーサービスを配置することで正当なメールだけでが処理されるようになり、負担が減ります。受信されたメッセージ全てが通るように permit ステートメントよりも前に配置してください。

=== DANE (DNSSEC) ===
==== リソースレコード ====

{{warning|This is not a trivial section. Be aware that you make sure you know what you are doing. You better read [https://dane.sys4.de/common_mistakes Common Mistakes] before.}}

DANE は複数のタイプのレコードをサポートしていますが、全てが Postfix で使われるわけではありません。

Certificate Usage Field の0はサポートされておらず、1は3にマッピングされていて、2はオプションです。したがって "3" レコードを使用することが推奨されます。詳しくは [[DANE#リソースレコード]]を見てください。

==== 設定 ====
Opportunistic DANE is configured this way:
{{hc|/etc/postfix/main.cf|<nowiki>
smtpd_use_tls = yes
smtp_dns_support_level = dnssec
smtp_tls_security_level = dane
</nowiki>}}
{{hc|/etc/postfix/master.cf|<nowiki>
dane unix - - n - - smtp
-o smtp_dns_support_level=dnssec
-o smtp_tls_security_level=dane
</nowiki>}}

To use per-domain policies, e.g. opportunistic DANE for example.org and mandatory DANE for example.com,
use something like this:
{{hc|/etc/postfix/main.cf|<nowiki>
indexed = ${default_database_type}:${config_directory}/

# Per-destination TLS policy
#
smtp_tls_policy_maps = ${indexed}tls_policy

# default_transport = smtp, but some destinations are special:
#
transport_maps = ${indexed}transport
</nowiki>}}

{{hc|transport|
example.com dane
example.org dane
}}

{{hc|tls_policy|
example.com dane-only
}}

{{Note|For global mandatory DANE, change {{ic|smtp_tls_security_level}} to {{ic|dane-only}}. Be aware that this makes postfix tempfail on all delivieres that do not use DANE at all!}}

完全なドキュメントは [http://www.postfix.org/TLS_README.html#client_tls_dane こちら] にあります。

== 参照 ==

* [http://linox.be/index.php/2005/07/13/44/ Out of Office] for Squirrelmail
* [https://help.ubuntu.com/community/Postfix Postfix Ubuntu documentation]
* [http://sherlock.heroku.com/blog/2012/02/03/setting-up-postfix-to-use-gmail-as-an-smtp-relay-host-in-archlinux/ Use Gmail as an SMTP relay]

Postfix

2016-11-13T04:36:06Z

Trileg: SpamAssassinのマッチパターン自動更新について，関連するディレクトリをspamdユーザ・グループが書き込めるよう権限変更する記述を追加しました

[[Category:メールサーバー]]
[[en:Postfix]]
{{Related articles start}}
{{Related|Postfix と SASL}}
{{Related|Amavis}}
{{Related|仮想ユーザーメールシステム}}
{{Related4|Courier MTA}}
{{Related|Exim}}
{{Related4|OpenSMTPD}}
{{Related|OpenDMARC}}
{{Related|OpenDKIM}}
{{Related articles end}}
[http://www.postfix.org/ Postfix のサイト] より:
:''Postfix は高速で管理しやすくセキュアでありながら、同時に既存のユーザーを使えるように sendmail と互換性を保っています。そのため、外から見ると sendmail のようですが、中身は完全に別物です。''

この記事では Postfix をセットアップする方法と基本的な設定ファイルの説明をします。ローカルのシステムユーザーだけが使える設定の手順と、仮想ユーザーを使う方法のリンクが存在します。

== インストール ==

{{Pkg|postfix}} パッケージを[[インストール]]してください。

== 設定 ==

=== master.cf ===

{{ic|/etc/postfix/master.cf}} は利用するプロトコルの種類を指定できるマスター設定ファイルです。また、パイプを設定することでスパムのチェックなどを行うこともできます。

[[#Secure SMTP]] に書かれているように Secure SMTP を有効化することを推奨します。

送受信されるメールの暗号化については [http://www.postfix.org/TLS_README.html このページ] を見てください。

=== main.cf ===

{{ic|/etc/postfix/main.cf}} はあらゆることを設定できるメイン設定ファイルです。仮想ローカルのみの配送をする場合、以下の設定を推奨します。

*{{ic|myhostname}} はメールサーバーが複数のドメインを持っている場合に、プライマリドメインをメールホストにしたくないときに設定してください。DNS の A レコードと MX レコードの両方がこのホスト名を指定している必要があります。
:{{bc|1=myhostname = mail.nospam.net}}

*{{ic|mydomain}} は通常 {{ic|myhostname}} の値から最初の部分を除いた部分になります。ドメインが信頼できないときは、手動で設定してください。
:{{bc|1=mydomain = nospam.net}}

*{{ic|myorigin}} はメールの送信元になります。通常は {{ic|mydomain}} の値に設定します。単純なサーバーなら、これで十分です。ローカルアカウントからのメール用です。ローカル転送はしないため (送信は除く)、基本的にあまり重要ではありません。
:{{bc|1=myorigin = $mydomain}}

*{{ic|mydestination}} はローカルユーザーのルックアップです。
:{{bc|1=mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain}}

*{{ic|mynetworks}} と {{ic|mynetworks_style}} はリレーを制御し、許可するユーザーを指定します。リレーは設定しません。
:{{ic|mynetwork_style}} は host に設定して、スタンドアロンの Postfix ホストを作成し、ウェブメールを利用できるようにします。リレーは行わず、他の MTA も使いません。ただのウェブメールです。
:{{bc|1=mynetworks_style = host}}

*{{ic|relaydomains}} は Postfix のリレー先を指定します。デフォルトの値は空です。空のままでかまいません。
:{{bc|1=relay_domains = }}

*{{ic|home_mailbox}} や {{ic|mail_spool_directory}} はユーザーのメールの保存場所を指定します。
:設定する場合、{{ic|mail_spool_directory}} にはメールを保存するディレクトリを絶対パスで指定します。デフォルトでは Postfix は {{ic|/var/spool/mail}} にメールを保存します。

:{{bc|1=mail_spool_directory = /home/vmailer}}

:また、{{ic|home_mailbox}} はメールが配達されるメールボックスをユーザーのホームディレクトリからの相対パスで指定します (例: {{ic|/home/vmailer}})。

:Courier-IMAP は "Maildir" フォーマットを必要とするため、以下のように末尾にスラッシュを付ける必要があります:
:{{bc|1=home_mailbox = Maildir/}}

{{Warning|SSL/TLS を使用する場合、設定に以下を追加して [http://disablessl3.com/ POODLE] や [https://weakdh.org/sysadmin.html FREAK/Logjam] に正しく対応してください:
{{bc|1=
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA}}

そして [https://weakdh.org/sysadmin.html こちらの手順] に従って [https://www.openssl.org/docs/apps/dhparam.html dhparam ファイル] を生成して、設定に以下を追加してください:
{{bc|1=smtpd_tls_dh1024_param_file = ${config_directory}/dhparams.pem}}
}}

==== メッセージとメールボックスの容量制限 ====

Postfix はデフォルトでメッセージとメールボックスの容量を制限します。{{ic|message_size_limit}} にはメッセージの最大容量をバイト数で指定します (デフォルトは 10240000 です)。{{ic|mailbox_size_limit}} はローカルのメールボックスや maildir ファイルの最大容量を決めます (デフォルトは 51200000 で、制限したくない場合は 0 に設定します)。配達時に書き出されるあらゆるファイルの容量を制限します。ローカルの配達エージェントによって実行された外部コマンド (procmail) で書き出されるファイルも含みます。バウンスメッセージの通知が生成される場合、{{ic|/var/spool/mail}} 下のローカルのメールボックスの容量を確認して、postconf を使って容量制限を確認してください:

# postconf mailbox_size_limit
mailbox_size_limit = 51200000
# postconf message_size_limit
message_size_limit = 10240000

=== エイリアス ===

エイリアス (別名フォワーダー) は {{ic|/etc/postfix/aliases}} で指定できます。

root でメールを読むのはよろしくないので ''root'' に届いたメールは全て他のアカウントにマッピングするべきでしょう。

以下の行をアンコメントして、{{ic|you}} を実際のアカウントに置き換えてください:
root: you

{{ic|/etc/postfix/aliases}} の編集を終えたら {{ic|postalias}} コマンドを実行してください:
postalias /etc/postfix/aliases
後で変更するときは:
newaliases

{{Tip|Alternatively you can create the file {{ic|~/.forward}}, e.g. {{ic|/root/.forward}} for root. Specify the user to whom root mail should be forwarded, e.g. ''user@localhost''.

{{hc|/root/.forward|
user@localhost
}}}}

=== ローカルメール ===

({{ic|/etc/passwd}} に記述されている) ローカルのシステムユーザーにしかメールを配達しないようにするには、{{ic|/etc/postfix/main.cf}} を以下のように変更してください:

myhostname = localhost
mydomain = localdomain
mydestination = $myhostname, localhost.$mydomain, localhost
inet_interfaces = $myhostname, localhost
mynetworks_style = host
default_transport = error: outside mail is not deliverable

他の設定を変更する必要はありません。上記のように設定したら、[[#エイリアス|エイリアス]]を設定して [[#Postfix の起動|Postfix を起動]]してください。

=== バーチャルメール ===
バーチャルメールはユーザーアカウントにマッピングされないメールです ({{ic|/etc/passwd}})。

セットアップする方法は[[仮想ユーザーメールシステム]]を見てください。

=== DNS レコード ===

メールホストを MX レコードに設定する必要があります。通常はドメインプロバイダの設定インターフェイスから設定できます。

メール交換レコード (MX レコード) は Domain Name System におけるリソースレコードの一つで、受取人のドメインを代表してメールメッセージを受け取るメールサーバーを指定します。

メールメッセージがインターネットから送られると、メール転送エージェントが Domain Name System から受取人のドメイン名の MX レコードを聞き出します。このクエリに対して、メール交換サーバーのホスト名のリストが返ってきます。次に、エージェントはそれらのサーバーのどれか一つと (設定番号が一番若いサーバーから順番に) SMTP 接続を確立して、接続が出来た最初のサーバーにメールを配送します。

{{Note|Some mail servers will not deliver mail to you if your MX record points to a CNAME. For best results, always point an MX record to an A record definition. For more information, see e.g. [[Wikipedia:List of DNS record types|Wikipedia's List of DNS Record Types]].}}

=== 設定のチェック ===

{{ic|postfix check}} コマンドを実行してください。設定ファイルで間違っている部分が出力されます。

全ての設定を確認したいときは、{{ic|postconf}} と入力します。デフォルト設定との差異点を確認したいときは、{{ic|postconf -n}} を実行してみてください。

== Postfix の起動 ==

{{Note|[[#エイリアス|エイリアス]]を全く設定していない場合でも Postfix を起動するには最低でも1回は {{ic|newaliases}} を実行する必要があります。}}

{{ic|postfix.service}} を[[systemd#ユニットを使う|起動・有効化]]してください。

== テスト ==

Postfix がテストユーザーにメールを配達できるかどうか確認してみましょう:
{{bc|
nc servername 25
helo testmail.org
mail from:<test@testmail.org>
rcpt to:<cactus@virtualdomain.tld>
data
This is a test email.
.
quit
}}

=== エラーレスポンス ===

451 4.3.0 <lisi@test.com>:Temporary lookup failure
MySQL のユーザー名やパスワードが間違っているか、あるいは MySQL のソケットが正しい場所に存在しません。

Postfix を起動する前に newaliases を実行していなかった場合も上記のエラーが発生します。Postfix をローカルのみで使用するのであれば MySQL は不要です。

550 5.1.1 <email@spam.me>: Recipient address rejected: User unknown in virtual mailbox table.
{{ic|mysql_virtual_mailboxes.cf}} の中身や {{ic|main.cf}} の {{ic|mydestination}} をチェックしてください。

=== メールを受け取ったことを確認 ===

{{ic|$ find /home/vmailer}} と入力してください。

以下のように表示されるはずです:
{{bc|
/home/vmailer/virtualdomain.tld/cactus@virtualdomain.tld
/home/vmailer/virtualdomain.tld/cactus@virtualdomain.tld/tmp
/home/vmailer/virtualdomain.tld/cactus@virtualdomain.tld/cur
/home/vmailer/virtualdomain.tld/cactus@virtualdomain.tld/new
/home/vmailer/virtualdomain.tld/cactus@virtualdomain.tld/new/1102974226.2704_0.bonk.testmail.org
}}
最後のエントリが実際のメールです。これで動作していることが確認できます。

== Tips and tricks ==

=== PostfixAdmin ===

PostfixAdmin を使うには、[[Apache HTTP Server]] に書かれているように Apache/MySQL/PHP のセットアップが必要です。

IMAP を機能させるには、{{Pkg|php-imap}} をインストールして {{ic|/etc/php/php.ini}} の {{ic|imap.so}} をアンコメントしてください。

そして、{{Pkg|postfixadmin}} を[[インストール]]してください。

PostfixAdmin の設定ファイルを編集:

{{hc|/etc/webapps/postfixadmin/config.inc.php|<nowiki>
$CONF['configured'] = true;
// correspond to dovecot maildir path /home/vmail/%d/%u
$CONF['domain_path'] = 'YES';
$CONF['domain_in_mailbox'] = 'NO';
$CONF['database_type'] = 'mysql';
$CONF['database_host'] = 'localhost';
$CONF['database_user'] = 'postfix_user';
$CONF['database_password'] = 'hunter2';
$CONF['database_name'] = 'postfix_db';

// globally change all instances of ''change-this-to-your.domain.tld''
// to an appropriate value
</nowiki>}}

Dovecot をインストールするときにパスワードの認証方式を変更した場合 (例: SHA512-CRYPT)、Postfix の設定もそれにあわせてください:

{{hc|/etc/webapps/postfixadmin/config.inc.php|<nowiki>
$CONF['encrypt'] = 'dovecot:SHA512-CRYPT';
</nowiki>}}

As of dovecot 2, dovecotpw has been deprecated. You will also want to ensure that your config reflects the new binary name.

{{hc|/etc/webapps/postfixadmin/config.inc.php|<nowiki>
$CONF['dovecotpw'] = "/usr/sbin/doveadm pw";
</nowiki>}}

Apache の設定ファイルを作成:
{{hc|/etc/httpd/conf/extra/httpd-postfixadmin.conf|<nowiki>
Alias /postfixadmin "/usr/share/webapps/postfixAdmin"
<Directory "/usr/share/webapps/postfixAdmin">
DirectoryIndex index.html index.php
AllowOverride All
Options FollowSymlinks
Require all granted
</Directory>
</nowiki>}}

To only allow localhost access to postfixadmin (for heightened security), add this to the previous <Directory> directive:
Order Deny,Allow
Deny from all
Allow from 127.0.0.1

{{ic|/etc/httpd/conf/httpd.conf}} から {{ic|httpd-postfixadmin.conf}} をインクルードしてください:
# PostfixAdmin configuration
Include conf/extra/httpd-postfixadmin.conf

{{Note|
* If you go to yourdomain/postfixadmin/setup.php and it says do not find config.inc.php, add {{ic|/etc/webapps/postfixadmin}} to the {{ic|open_basedir}} line in {{ic|/etc/php/php.ini}}.
* If you get a blank page check the syntax of the file with {{ic|php -l /etc/webapps/postfixadmin/config.inc.php}}.}}

=== Secure SMTP ===

詳しくは [http://www.postfix.org/TLS_README.html Postfix TLS Support] を見てください。

==== STARTTLS over SMTP (ポート 587) ====

STARTTLS over SMTP (ポート 587, SMTP をセキュア化するプロトコル) を有効にするには、以下の行を {{ic|main.cf}} に追加してください:

{{hc|/etc/postfix/main.cf|2=
smtpd_tls_security_level = may
smtpd_tls_cert_file = '''/path/to/cert.pem'''
smtpd_tls_key_file = '''/path/to/key.pem'''
}}

また {{ic|master.cf}} から以下の行のコメントを取り外してサービスを有効にしてください:

{{hc|/etc/postfix/master.cf|2=
submission inet n - n - - smtpd
}}

古い SMTPS ポートの 465 を使う必要がある場合、次のセクションを読んでください。

==== SMTPS (ポート 465) ====

The deprecated method of securing SMTP is using the '''wrapper mode''' which uses the system service '''smtps''' as a non-standard service and runs on port 465.

To enable it uncomment the following lines in

{{hc|/etc/postfix/master.cf|<nowiki>
smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
</nowiki>}}

And verify that these lines are in {{ic|/etc/services}}:
smtps 465/tcp # Secure SMTP
smtps 465/udp # Secure SMTP

If they are not there, go ahead and add them (replace the other listing for port 465). Otherwise Postfix will not start and you will get the following error:

''postfix/master[5309]: fatal: 0.0.0.0:smtps: Servname not supported for ai_socktype''

=== SpamAssassin ===

{{Pkg|spamassassin}} パッケージをインストールしてください。

{{ic|/etc/mail/spamassassin/local.cf}} を開いて必要に応じて設定して下さい。

==== SpamAssassin のルールの更新 ====

SpamAssassin のマッチパターンを更新してコンパイル:
# sa-update
# sa-compile

上記のコマンドを定期的に実行したい場合、[[Systemd/タイマー]]を使用するのが良いでしょう。

以下のサービスを作成してください:
{{hc|1=/etc/systemd/system/spamassassin-update.service|2=
[Unit]
Description=spamassassin housekeeping stuff

[Service]
User=spamd
Group=spamd
Type=oneshot
ExecStart=-/usr/bin/vendor_perl/sa-update --allowplugins #You can remove the allowplugins options if you do not want direct plugin updates from SA.
ExecStart=-/usr/bin/vendor_perl/sa-compile
# You can automatically train SA's bayes filter by uncommenting this line and specifying the path to a mailbox where you store email that is spam (for ex this could be yours or your users manually reported spam)
#ExecStart=-/usr/bin/vendor_perl/sa-learn --spam <path to your spam>
}}

そして、上記のサービスを毎日実行するタイマーを作成してください:
{{hc|1=/etc/systemd/system/spamassassin-update.timer|2=
[Unit]
Description=spamassassin house keeping

[Timer]
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target
}}

最後に SpamAssassin の systemd サービスを修正して新しいルールを読み込むために再起動するように設定してください。パッケージに含まれているサービスファイルをカスタムサービスファイルにコピー:
{{bc|1=
# cp /usr/lib/systemd/system/spamassassin.service /etc/systemd/system
}}

そして新しく作成した {{ic|/etc/systemd/system/spamassassin.service}} に以下を記述してください:
{{bc|1=
[Unit]
PartOf=spamassassin-update.service
}}

上記の設定でタイマーが起動する前に Spamassassin の spamd が再起動されます。タイマーが毎日起動している場合、次の日にルールが使えるようになります。ルールのコンパイルにはしばらく時間がかかるため、{{ic|sa.service}} が実行している間にサービスが中断することはありません。

タイマーを起動する前に、先ほど {{ic|spamassassin-update.service}} で指定した {{ic|spamd}} ユーザと {{ic|spamd}} グループが SpamAssassin のマッチパターン更新に関係するディレクトリに書き込めるように所有権を変更します:
{{bc|1=
# chown -R spamd:spamd /etc/mail/spamassassin/sa-update-keys
# chown -R spamd:spamd /var/lib/spamassassin
}}

そして {{ic|spamassassin-update.service}} を[[起動]]・[[有効化]]してください。

==== SpamAssassin のスタンドアロン設定 ====

{{Note|If you want to combine SpamAssassin and Dovecot Mail Filtering, ignore the next two lines and continue further down instead.}}

{{ic|/etc/postfix/master.cf}} を編集して smtp の下にコンテンツ・フィルタを追加:
{{bc|1=
smtp inet n - n - - smtpd
-o content_filter=spamassassin
}}

以下の SpamAssassin のサービスエントリも追加:
{{bc|1=
spamassassin unix - n n - - pipe
flags=R user=spamd argv=/usr/bin/vendor_perl/spamc -e /usr/bin/sendmail -oi -f ${sender} ${recipient}
}}

上記の設定をしたら {{ic|spamassassin.service}} を[[起動]]できます。

==== SpamAssassin と Dovecot LDA / Sieve を組み合わせる (メールフィルタリング) ====
[[Dovecot#Sieve]] に書かれているように LDA と Sieve-Plugin をセットアップします。ただし最後の行 {{ic|mailbox_command... }} は無視してください。

代わりに {{ic|/etc/postfix/master.cf}} にパイプを追加:
dovecot unix - n n - - pipe
flags=DRhu user=vmail:vmail argv=/usr/bin/vendor_perl/spamc -u spamd -e /usr/lib/dovecot/dovecot-lda -f ${sender} -d ${recipient}

そして {{ic|/etc/postfix/main.cf}} で有効化:
virtual_transport = dovecot

==== SpamAssassin と Dovecot LMTP / Sieve を組み合わせる ====
[[Dovecot#Sieve]] に書かれているように LMTP と Sieve をセットアップします。

{{ic|/etc/dovecot/conf.d/90-plugins.conf}} を編集して以下を追加:

sieve_before = /etc/dovecot/sieve.before.d/
sieve_extensions = +vnd.dovecot.filter
sieve_plugins = sieve_extprograms
sieve_filter_bin_dir = /etc/dovecot/sieve-filter
sieve_filter_exec_timeout = 120s #this is often needed for the long running spamassassin scans, default is otherwise 10s

ディレクトリを作成して dovecot が実行できるように spamassassin をバイナリとして配置:

# mkdir /etc/dovecot/sieve-filter
# ln -s /usr/bin/vendor_perl/spamc /etc/dovecot/sieve-filter/spamc

新しいファイル {{ic|/etc/dovecot/sieve.before.d/spamassassin.sieve}} を以下の内容で作成:

require [ "vnd.dovecot.filter" ];
filter "spamc" [ "-d", "127.0.0.1", "--no-safe-fallback" ];

sieve ルール {{ic|spamassassin.svbin}} をコンパイル:

# cd /etc/dovecot/sieve.before.d
# sievec spamassassin.sieve

最後に、{{ic|dovecot.service}} を[[再起動]]してください。

==== SpamAssassin から ClamAV を実行 ====

[[ClamAV]] に書かれているように clamd をインストール・設定してください。

上記の設定のどれかにしたがってメールシステムから SpamAssassin が呼び出されるようにしてください。

{{pkg|perl-cpanplus-dist-arch}} パッケージを[[インストール]]して、以下のように ClamAV の perl ライブラリをインストールしてください:

# /usr/bin/vendor_perl/cpanp -i File::Scan::ClamAV

http://wiki.apache.org/spamassassin/ClamAVPlugin から2つのファイルを {{ic|/etc/mail/spamassassin/}} に追加してください。{{ic|/etc/mail/spamassassin/clamav.pm}} を編集して {{ic|$CLAM_SOCK}} で clamd のソケットを指定してください (デフォルトでは {{ic|/var/lib/clamav/clamd.sock}} です)。

最後に、{{ic|spamassassin.service}} を[[再起動]]してください。

=== Razor を使う ===

先に SpamAssassin をインストールしてから、{{Pkg|razor}} パッケージを[[インストール]]してください。

Razor の登録:

# mkdir /etc/mail/spamassassin/razor
# chown spamd:spamd /etc/mail/spamassassin/razor
# sudo -u spamd -s
$ razor-admin -home=/etc/mail/spamassassin/razor -register
$ razor-admin -home=/etc/mail/spamassassin/razor -create
$ razor-admin -home=/etc/mail/spamassassin/razor -discover

{{ic|/etc/mail/spamassassin/local.cf}} に以下を追加:

razor_config /etc/mail/spamassassin/razor/razor-agent.conf

{{ic|/etc/mail/spamassassin/razor/razor-agent.conf}} に以下を追加:

razorhome = /etc/mail/spamassassin/razor/

最後に、{{ic|spamassassin.service}} を[[再起動]]してください。

===送信者の IP とユーザーエージェントを Received ヘッダに載せない===
[[Thunderbird]] を使ってメールを送信している場合、プライバシーに関する懸念になります。Received ヘッダーには LAN や WAN の IP、使用しているメールクライアントの情報などが書かれています [http://askubuntu.com/questions/78163/when-sending-email-with-postfix-how-can-i-hide-the-senders-ip-and-username-in]。送信するメールから Received ヘッダを削除するには以下の手順に従ってください:

以下の行を {{ic|main.cf}} に追加してください:
smtp_header_checks = regexp:/etc/postfix/smtp_header_checks
以下の内容で {{ic|/etc/postfix/smtp_header_checks}} を作成してください:
/^Received: .*/ IGNORE
/^User-Agent: .*/ IGNORE
最後に {{ic|postfix.service}} を再起動してください。

===ルールベースのメール処理===
ポリシーサービスを使うことで Postfix のメール処理を簡単に設定できます。{{Pkg|postfwd}} と {{AUR|policyd}} はそのようなポリシーサービスを提供して、[[SPF]] のポリシーチェックに加えて送信者や受信者のグレイリスト・ブラックリストを簡単に作ることができます。

ポリシーサービスはスタンドアロンなサービスであり、以下のようにして Postfix に接続します:
{{hc|/etc/postfix/main.cf|<nowiki>
smtpd_recipient_restrictions =
...
check_policy_service unix:/run/policyd.sock
check_policy_service inet:127.0.0.1:10040
</nowiki>}}
最後にポリシーサービスを配置することで正当なメールだけでが処理されるようになり、負担が減ります。受信されたメッセージ全てが通るように permit ステートメントよりも前に配置してください。

=== DANE (DNSSEC) ===
==== リソースレコード ====

{{warning|This is not a trivial section. Be aware that you make sure you know what you are doing. You better read [https://dane.sys4.de/common_mistakes Common Mistakes] before.}}

DANE は複数のタイプのレコードをサポートしていますが、全てが Postfix で使われるわけではありません。

Certificate Usage Field の0はサポートされておらず、1は3にマッピングされていて、2はオプションです。したがって "3" レコードを使用することが推奨されます。詳しくは [[DANE#リソースレコード]]を見てください。

==== 設定 ====
Opportunistic DANE is configured this way:
{{hc|/etc/postfix/main.cf|<nowiki>
smtpd_use_tls = yes
smtp_dns_support_level = dnssec
smtp_tls_security_level = dane
</nowiki>}}
{{hc|/etc/postfix/master.cf|<nowiki>
dane unix - - n - - smtp
-o smtp_dns_support_level=dnssec
-o smtp_tls_security_level=dane
</nowiki>}}

To use per-domain policies, e.g. opportunistic DANE for example.org and mandatory DANE for example.com,
use something like this:
{{hc|/etc/postfix/main.cf|<nowiki>
indexed = ${default_database_type}:${config_directory}/

# Per-destination TLS policy
#
smtp_tls_policy_maps = ${indexed}tls_policy

# default_transport = smtp, but some destinations are special:
#
transport_maps = ${indexed}transport
</nowiki>}}

{{hc|transport|
example.com dane
example.org dane
}}

{{hc|tls_policy|
example.com dane-only
}}

{{Note|For global mandatory DANE, change {{ic|smtp_tls_security_level}} to {{ic|dane-only}}. Be aware that this makes postfix tempfail on all delivieres that do not use DANE at all!}}

完全なドキュメントは [http://www.postfix.org/TLS_README.html#client_tls_dane こちら] にあります。

== 参照 ==

* [http://linox.be/index.php/2005/07/13/44/ Out of Office] for Squirrelmail
* [https://help.ubuntu.com/community/Postfix Postfix Ubuntu documentation]
* [http://sherlock.heroku.com/blog/2012/02/03/setting-up-postfix-to-use-gmail-as-an-smtp-relay-host-in-archlinux/ Use Gmail as an SMTP relay]

OpenDMARC

2016-11-13T03:13:23Z

Trileg: systemdユニットファイルにRuntimeDirectoryを追加し，これの利用にユーザとグループを指定しないとソケット作成時に権限エラーが発生するため，セキュリティの内容を統合しました

[[Category:メールサーバー]]
[[en:OpenDMARC]]
Domain-based Message Authentication, Reporting and Conformance (DMARC) はメール転送のポリシーです。一般的なメールプロバイダによってサポートされています。DMARC は [[SPF]] と [[openDKIM|DKIM]] に依存します。DMARC は送信されるメールのポリシーを提供し、受信したメールがポリシーに適合しているか確認します。ポリシーは DNS TXT レコードを使って公開されます。TXT レコードについては[[#レコード|レコード]]セクションで説明しています。ポリシーの検証はデーモンで行います。デーモンの設定については[[#バリデータ|バリデータ]]セクションで説明しています。詳しい情報は [https://datatracker.ietf.org/doc/draft-kucherawy-dmarc-base/ ドラフト] を見てください。

== レコード ==
レコードは {{ic|<nowiki>v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@example.org;ruf=mailto:forensik@example.org;adkim=s;aspf=r</nowiki>}} のように、メインドメインの {{ic|_dmarc}} サブドメインとして TXT レコードに入力します。

{| class="wikitable"
! タグ名 !! 目的 !! 例
|-
|v || プロトコルのバージョン || v=DMARC1
|-
|pct || フィルタリングするメッセージの割合 || pct=20
|-
|ruf || フォレンジックレポートを報告するための URI || ruf=mailto:authfail@example.com
|-
|rua || アグリゲートレポートを報告するための URI || rua=mailto:aggrep@example.com
|-
|p || 組織的ドメインのポリシー || p=quarantine
|-
|sp || サブドメインのポリシー || sp=reject
|-
|adkim || DKIM のアライメントモード　|| adkim=s
|-
|aspf || SPF のアライメントモード || aspf=r
|-
|fo || フォレンジックレポートのオプション || fo=1
|-
|rf || レポートの形式。afrf または iodef。 || rf=afrf
|-
|ri || アグリゲートレポートを報告する間隔。 || ri=86400
|}

DKIM と SPF のアライメントモードは s (strict) と r (relaxed) が指定できます。後者の場合は From ヘッダにサブドメインを使用することができますが前者では使用できません。ドメインとサブドメインのポリシー (p) には {{ic|monitor}}, {{ic|quarantine}}, {{ic|reject}} が指定できます。フォレンジックレポートのオプションが "0" の場合、全ての認証メカニズムが DMARC を通過しなかった場合にレポートを作成し、"1" の場合はどれかの認証が失敗した場合にレポートを作成し、"d" の場合は DKIM 署名が検証できなかった場合にレポートを作成し、"s" の場合は SPF が失敗した場合にレポートを作成します。

== バリデータ ==
=== インストール ===
{{Pkg|opendmarc}} パッケージを[[インストール]]してください。

=== 基本設定 ===
メインの設定ファイルは {{ic|/etc/opendmarc/opendmarc.conf}} です。

* サンプル設定ファイル {{ic|/etc/opendmarc/opendmarc.conf.sample}} を {{ic|/etc/opendmarc/opendmarc.conf}} にコピーして以下のオプションを変更してください:
{{hc|/etc/opendmarc/opendmarc.conf|
Socket unix:/run/opendmarc/dmarc.sock
UMask 007
}}

別のマシンで DMARC バリデータを動作させたい場合、Socket フィールドを {{ic|inet:9999@10.0.0.4}} などに変更する必要があります (IP アドレスは省略すると 0.0.0.0 を使うようになります)。UMaskフィールドの変更は、PostfixからOpenDMARCを使うために必要となります。 {{ic|007}} とすることで、Socketフィールドで指定したUNIXドメインソケットを所有者と所有グループが読み・書き・実行できるようになります。

* 以下の systemd ユニットファイルを作成してください。

{{hc|/etc/systemd/system/opendmarc.service|<nowiki>
[Unit]
Description=OpenDMARC daemon
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
User=opendmarc
Group=postfix
RuntimeDirectory=opendmarc
ExecStart=/usr/bin/opendmarc -c /etc/opendmarc/opendmarc.conf

[Install]
WantedBy=multi-user.target</nowiki>
}}

デーモンを動かすのに root 権限は必要ないため、systemd ユニットファイル内で起動するユーザとグループを適切なものに指定し、権限を落としています。また、{{ic|RuntimeDirectory}} オプションを利用することで、前述した UNIX ドメインソケットの親ディレクトリである {{ic|/run/opendmarc}} が systemd ユニットファイル内で指定したユーザとグループでデーモン起動時に自動的に作成され、デーモン終了時に自動的に削除されるように設定できます。

* {{ic|opendmarc.service}} を起動・有効化してください。詳しくは[[デーモン]]を読んでください。

=== Postfix の統合 ===
以下の行を {{ic|main.cf}} に追加してください:
non_smtpd_milters = unix:/run/opendkim/dkim.sock, unix:/run/opendmarc/dmarc.sock
smtpd_milters = unix:/run/opendkim/dkim.sock, unix:/run/opendmarc/dmarc.sock
DMARC の milter は DKIM の milter よりも後に宣言する必要があります。

== 参照 ==
* [https://dmarcian.com/dmarc-inspector/ DMARC Inspector]

OpenDMARC

2016-11-13T03:02:27Z

Trileg: 要約執筆中に誤ってページを保存してしまったため，取り消します．

[[Category:メールサーバー]]
[[en:OpenDMARC]]
Domain-based Message Authentication, Reporting and Conformance (DMARC) はメール転送のポリシーです。一般的なメールプロバイダによってサポートされています。DMARC は [[SPF]] と [[openDKIM|DKIM]] に依存します。DMARC は送信されるメールのポリシーを提供し、受信したメールがポリシーに適合しているか確認します。ポリシーは DNS TXT レコードを使って公開されます。TXT レコードについては[[#レコード|レコード]]セクションで説明しています。ポリシーの検証はデーモンで行います。デーモンの設定については[[#バリデータ|バリデータ]]セクションで説明しています。詳しい情報は [https://datatracker.ietf.org/doc/draft-kucherawy-dmarc-base/ ドラフト] を見てください。

== レコード ==
レコードは {{ic|<nowiki>v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@example.org;ruf=mailto:forensik@example.org;adkim=s;aspf=r</nowiki>}} のように、メインドメインの {{ic|_dmarc}} サブドメインとして TXT レコードに入力します。

{| class="wikitable"
! タグ名 !! 目的 !! 例
|-
|v || プロトコルのバージョン || v=DMARC1
|-
|pct || フィルタリングするメッセージの割合 || pct=20
|-
|ruf || フォレンジックレポートを報告するための URI || ruf=mailto:authfail@example.com
|-
|rua || アグリゲートレポートを報告するための URI || rua=mailto:aggrep@example.com
|-
|p || 組織的ドメインのポリシー || p=quarantine
|-
|sp || サブドメインのポリシー || sp=reject
|-
|adkim || DKIM のアライメントモード　|| adkim=s
|-
|aspf || SPF のアライメントモード || aspf=r
|-
|fo || フォレンジックレポートのオプション || fo=1
|-
|rf || レポートの形式。afrf または iodef。 || rf=afrf
|-
|ri || アグリゲートレポートを報告する間隔。 || ri=86400
|}

DKIM と SPF のアライメントモードは s (strict) と r (relaxed) が指定できます。後者の場合は From ヘッダにサブドメインを使用することができますが前者では使用できません。ドメインとサブドメインのポリシー (p) には {{ic|monitor}}, {{ic|quarantine}}, {{ic|reject}} が指定できます。フォレンジックレポートのオプションが "0" の場合、全ての認証メカニズムが DMARC を通過しなかった場合にレポートを作成し、"1" の場合はどれかの認証が失敗した場合にレポートを作成し、"d" の場合は DKIM 署名が検証できなかった場合にレポートを作成し、"s" の場合は SPF が失敗した場合にレポートを作成します。

== バリデータ ==
=== インストール ===
{{Pkg|opendmarc}} パッケージを[[インストール]]してください。

=== 基本設定 ===
メインの設定ファイルは {{ic|/etc/opendmarc/opendmarc.conf}} です。

* サンプル設定ファイル {{ic|/etc/opendmarc/opendmarc.conf.sample}} を {{ic|/etc/opendmarc/opendmarc.conf}} にコピーして以下のオプションを変更してください:
{{hc|/etc/opendmarc/opendmarc.conf|
Socket unix:/run/opendmarc/dmarc.sock
UserID opendmarc
UMask 007
}}

別のマシンで DMARC バリデータを動作させたい場合、Socket フィールドを {{ic|inet:9999@10.0.0.4}} などに変更する必要があります (IP アドレスは省略すると 0.0.0.0 を使うようになります)。UMaskフィールドの変更は、PostfixからOpenDMARCを使うために必要となります。 {{ic|007}} とすることで、Socketフィールドで指定したUNIXドメインソケットを所有者と所有グループが読み・書き・実行できるようになります。

* {{ic|opendmarc.service}} を起動・有効化してください。詳しくは[[デーモン]]を読んでください。

=== Postfix の統合 ===
以下の行を {{ic|main.cf}} に追加してください:
non_smtpd_milters = unix:/run/opendkim/dkim.sock, unix:/run/opendmarc/dmarc.sock
smtpd_milters = unix:/run/opendkim/dkim.sock, unix:/run/opendmarc/dmarc.sock
DMARC の milter は DKIM の milter よりも後に宣言する必要があります。

== セキュリティ ==
上の {{ic|UserID}} の設定によってデーモンの権限を落とすことができます。デーモンを動かすのに root 権限は必要ないため、適切なユーザーで起動することができます。その場合、以下の systemd ユニットファイルを使ってください。そして設定の {{ic|UserID}} をコメントアウトしてください。

{{hc|/etc/systemd/system/opendmarc.service|<nowiki>
[Unit]
Description=OpenDMARC daemon
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
User=opendmarc
Group=postfix
ExecStart=/usr/bin/opendmarc -c /etc/opendkim/opendmarc.conf

[Install]
WantedBy=multi-user.target</nowiki>
}}

== 参照 ==
* [https://dmarcian.com/dmarc-inspector/ DMARC Inspector]

OpenDMARC

2016-11-13T02:57:29Z

Trileg: UNIXドメインソケットの親ディレクトリである/run/opendmarcがデーモン起動時に自動作成されるようにsystemdユニットファイルを書き換え，作成時の権限の都合でユニットファイル内でのユーザ

[[Category:メールサーバー]]
[[en:OpenDMARC]]
Domain-based Message Authentication, Reporting and Conformance (DMARC) はメール転送のポリシーです。一般的なメールプロバイダによってサポートされています。DMARC は [[SPF]] と [[openDKIM|DKIM]] に依存します。DMARC は送信されるメールのポリシーを提供し、受信したメールがポリシーに適合しているか確認します。ポリシーは DNS TXT レコードを使って公開されます。TXT レコードについては[[#レコード|レコード]]セクションで説明しています。ポリシーの検証はデーモンで行います。デーモンの設定については[[#バリデータ|バリデータ]]セクションで説明しています。詳しい情報は [https://datatracker.ietf.org/doc/draft-kucherawy-dmarc-base/ ドラフト] を見てください。

== レコード ==
レコードは {{ic|<nowiki>v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@example.org;ruf=mailto:forensik@example.org;adkim=s;aspf=r</nowiki>}} のように、メインドメインの {{ic|_dmarc}} サブドメインとして TXT レコードに入力します。

{| class="wikitable"
! タグ名 !! 目的 !! 例
|-
|v || プロトコルのバージョン || v=DMARC1
|-
|pct || フィルタリングするメッセージの割合 || pct=20
|-
|ruf || フォレンジックレポートを報告するための URI || ruf=mailto:authfail@example.com
|-
|rua || アグリゲートレポートを報告するための URI || rua=mailto:aggrep@example.com
|-
|p || 組織的ドメインのポリシー || p=quarantine
|-
|sp || サブドメインのポリシー || sp=reject
|-
|adkim || DKIM のアライメントモード　|| adkim=s
|-
|aspf || SPF のアライメントモード || aspf=r
|-
|fo || フォレンジックレポートのオプション || fo=1
|-
|rf || レポートの形式。afrf または iodef。 || rf=afrf
|-
|ri || アグリゲートレポートを報告する間隔。 || ri=86400
|}

DKIM と SPF のアライメントモードは s (strict) と r (relaxed) が指定できます。後者の場合は From ヘッダにサブドメインを使用することができますが前者では使用できません。ドメインとサブドメインのポリシー (p) には {{ic|monitor}}, {{ic|quarantine}}, {{ic|reject}} が指定できます。フォレンジックレポートのオプションが "0" の場合、全ての認証メカニズムが DMARC を通過しなかった場合にレポートを作成し、"1" の場合はどれかの認証が失敗した場合にレポートを作成し、"d" の場合は DKIM 署名が検証できなかった場合にレポートを作成し、"s" の場合は SPF が失敗した場合にレポートを作成します。

== バリデータ ==
=== インストール ===
{{Pkg|opendmarc}} パッケージを[[インストール]]してください。

=== 基本設定 ===
メインの設定ファイルは {{ic|/etc/opendmarc/opendmarc.conf}} です。

* サンプル設定ファイル {{ic|/etc/opendmarc/opendmarc.conf.sample}} を {{ic|/etc/opendmarc/opendmarc.conf}} にコピーして以下のオプションを変更してください:
{{hc|/etc/opendmarc/opendmarc.conf|
Socket unix:/run/opendmarc/dmarc.sock
UMask 007
}}

別のマシンで DMARC バリデータを動作させたい場合、Socket フィールドを {{ic|inet:9999@10.0.0.4}} などに変更する必要があります (IP アドレスは省略すると 0.0.0.0 を使うようになります)。UMask フィールドの変更は、Postfix から OpenDMARC を使うために必要となります。 {{ic|007}} とすることで、Socket フィールドで指定した UNIX ドメインソケットを所有者と所有グループが読み・書き・実行できるようになります。

* 以下の systemd ユニットファイルを作成してください。

{{hc|/etc/systemd/system/opendmarc.service|<nowiki>
[Unit]
Description=OpenDMARC daemon
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
User=opendmarc
Group=postfix
RuntimeDirectory=opendmarc
ExecStart=/usr/bin/opendmarc -c /etc/opendmarc/opendmarc.conf

[Install]
WantedBy=multi-user.target</nowiki>
}}

デーモンを動かすのに root 権限は必要ないため、systemd ユニットファイル内で起動するユーザとグループを適切なものに指定し、権限を落としています。また、{{ic|RuntimeDirectory}} オプションを利用することで、前述した UNIX ドメインソケットの親ディレクトリである {{ic|/run/opendmarc}} が systemd ユニットファイル内で指定したユーザとグループでデーモン起動時に自動的に作成され、デーモン終了時に自動的に削除されるように設定できます。

* {{ic|opendmarc.service}} を起動・有効化してください。詳しくは[[デーモン]]を読んでください。

=== Postfix の統合 ===
以下の行を {{ic|main.cf}} に追加してください:
non_smtpd_milters = unix:/run/opendkim/dkim.sock, unix:/run/opendmarc/dmarc.sock
smtpd_milters = unix:/run/opendkim/dkim.sock, unix:/run/opendmarc/dmarc.sock
DMARC の milter は DKIM の milter よりも後に宣言する必要があります。

== セキュリティ ==
上の {{ic|UserID}} の設定によってデーモンの権限を落とすことができます。デーモンを動かすのに root 権限は必要ないため、適切なユーザーで起動することができます。その場合、以下の systemd ユニットファイルを使ってください。そして設定の {{ic|UserID}} をコメントアウトしてください。

{{hc|/etc/systemd/system/opendmarc.service|<nowiki>
[Unit]
Description=OpenDMARC daemon
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
User=opendmarc
Group=postfix
ExecStart=/usr/bin/opendmarc -c /etc/opendkim/opendmarc.conf

[Install]
WantedBy=multi-user.target</nowiki>
}}

== 参照 ==
* [https://dmarcian.com/dmarc-inspector/ DMARC Inspector]

OpenDMARC

2016-11-13T02:09:15Z

Trileg: OpenDMARC設定でUMaskを変更しない場合，postfixグループからdmarc.sockへのアクセスがPermission Deniedとなるため，UMaskも変更するように加筆しました．

[[Category:メールサーバー]]
[[en:OpenDMARC]]
Domain-based Message Authentication, Reporting and Conformance (DMARC) はメール転送のポリシーです。一般的なメールプロバイダによってサポートされています。DMARC は [[SPF]] と [[openDKIM|DKIM]] に依存します。DMARC は送信されるメールのポリシーを提供し、受信したメールがポリシーに適合しているか確認します。ポリシーは DNS TXT レコードを使って公開されます。TXT レコードについては[[#レコード|レコード]]セクションで説明しています。ポリシーの検証はデーモンで行います。デーモンの設定については[[#バリデータ|バリデータ]]セクションで説明しています。詳しい情報は [https://datatracker.ietf.org/doc/draft-kucherawy-dmarc-base/ ドラフト] を見てください。

== レコード ==
レコードは {{ic|<nowiki>v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@example.org;ruf=mailto:forensik@example.org;adkim=s;aspf=r</nowiki>}} のように、メインドメインの {{ic|_dmarc}} サブドメインとして TXT レコードに入力します。

{| class="wikitable"
! タグ名 !! 目的 !! 例
|-
|v || プロトコルのバージョン || v=DMARC1
|-
|pct || フィルタリングするメッセージの割合 || pct=20
|-
|ruf || フォレンジックレポートを報告するための URI || ruf=mailto:authfail@example.com
|-
|rua || アグリゲートレポートを報告するための URI || rua=mailto:aggrep@example.com
|-
|p || 組織的ドメインのポリシー || p=quarantine
|-
|sp || サブドメインのポリシー || sp=reject
|-
|adkim || DKIM のアライメントモード　|| adkim=s
|-
|aspf || SPF のアライメントモード || aspf=r
|-
|fo || フォレンジックレポートのオプション || fo=1
|-
|rf || レポートの形式。afrf または iodef。 || rf=afrf
|-
|ri || アグリゲートレポートを報告する間隔。 || ri=86400
|}

DKIM と SPF のアライメントモードは s (strict) と r (relaxed) が指定できます。後者の場合は From ヘッダにサブドメインを使用することができますが前者では使用できません。ドメインとサブドメインのポリシー (p) には {{ic|monitor}}, {{ic|quarantine}}, {{ic|reject}} が指定できます。フォレンジックレポートのオプションが "0" の場合、全ての認証メカニズムが DMARC を通過しなかった場合にレポートを作成し、"1" の場合はどれかの認証が失敗した場合にレポートを作成し、"d" の場合は DKIM 署名が検証できなかった場合にレポートを作成し、"s" の場合は SPF が失敗した場合にレポートを作成します。

== バリデータ ==
=== インストール ===
{{Pkg|opendmarc}} パッケージを[[インストール]]してください。

=== 基本設定 ===
メインの設定ファイルは {{ic|/etc/opendmarc/opendmarc.conf}} です。

* サンプル設定ファイル {{ic|/etc/opendmarc/opendmarc.conf.sample}} を {{ic|/etc/opendmarc/opendmarc.conf}} にコピーして以下のオプションを変更してください:
{{hc|/etc/opendmarc/opendmarc.conf|
Socket unix:/run/opendmarc/dmarc.sock
UserID opendmarc
UMask 007
}}

別のマシンで DMARC バリデータを動作させたい場合、Socket フィールドを {{ic|inet:9999@10.0.0.4}} などに変更する必要があります (IP アドレスは省略すると 0.0.0.0 を使うようになります)。UMaskフィールドの変更は、PostfixからOpenDMARCを使うために必要となります。 {{ic|007}} とすることで、Socketフィールドで指定したUNIXドメインソケットを所有者と所有グループが読み・書き・実行できるようになります。

* {{ic|opendmarc.service}} を起動・有効化してください。詳しくは[[デーモン]]を読んでください。

=== Postfix の統合 ===
以下の行を {{ic|main.cf}} に追加してください:
non_smtpd_milters = unix:/run/opendkim/dkim.sock, unix:/run/opendmarc/dmarc.sock
smtpd_milters = unix:/run/opendkim/dkim.sock, unix:/run/opendmarc/dmarc.sock
DMARC の milter は DKIM の milter よりも後に宣言する必要があります。

== セキュリティ ==
上の {{ic|UserID}} の設定によってデーモンの権限を落とすことができます。デーモンを動かすのに root 権限は必要ないため、適切なユーザーで起動することができます。その場合、以下の systemd ユニットファイルを使ってください。そして設定の {{ic|UserID}} をコメントアウトしてください。

{{hc|/etc/systemd/system/opendmarc.service|<nowiki>
[Unit]
Description=OpenDMARC daemon
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
User=opendmarc
Group=postfix
ExecStart=/usr/bin/opendmarc -c /etc/opendkim/opendmarc.conf

[Install]
WantedBy=multi-user.target</nowiki>
}}

== 参照 ==
* [https://dmarcian.com/dmarc-inspector/ DMARC Inspector]

Ghost

2016-07-16T12:44:16Z

Trileg: ghostユーザの追加において-dオプションでホームディレクトリに/を設定するよう変更しました．これによりshadow.serviceのpwckによるpasswdファイルの整合性チェックでエラーを吐かなくなります

[[Category:インターネットアプリケーション]]
[[en:Ghost]]
Ghost はフリーでオープンソースのブログプラットフォームです。JavaScript で書かれており MIT ライセンスで配布されています。個人のブロガーによるオンラインパブリッシングを簡単にするために作られました。

== AUR インストール ==

{{AUR|ghost}} を[[インストール]]して {{ic|/srv/ghost/config.js}} を編集してください。そして {{ic|ghost.service}} を[[起動]]します。気に入ったら、システムの起動時に自動的に実行されるように[[有効化]]してください。

最終的な設定は http://127.0.0.1:2368/ghost から行います。

== カスタムインストール ==

=== 要件 ===
[[nginx]] をウェブサーバーとして Ghost をインストールする方法を説明します。

{{Pkg|nginx}}, {{Pkg|npm}}, {{Pkg|sqlite}}, {{Pkg|python2}}, {{Grp|base-devel}}, {{Pkg|unzip}}, {{Pkg|nodejs}} を[[インストール]]してください。

=== インストール ===
ウェブサーバーがブログのプロキシとなるように設定します。nginx の設定ファイル ({{ic|/etc/nginx/nginx.conf}}) の server ブロックの、location を以下のように変更します:
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $http_host;
proxy_pass http://127.0.0.1:2368;
}
ghost 用に ghost ユーザーとディレクトリを作成してください:
$ useradd -r -d / -s /bin/false ghost
$ mkdir -p /srv/http/example.org

{{ic|nginx.service}} を[[起動]]します。

{{AUR|ghost}} をインストールするか ghost.org から最新版の Ghost を取得して、手動でインストールしてディレクトリを移動してください:
$ curl -L https://ghost.org/zip/ghost-latest.zip
$ unzip ghost-latest.zip -d /srv/http/example.org
$ cd /srv/http/example.org

一時的に python のパスを python 3 から python 2 に変更します:

ダミーフォルダを作成:
$ mkdir ~/bin
python から python2 へのシンボリックリンクと設定スクリプトを追加してください:
$ ln -s /usr/bin/python2 ~/bin/python
$ ln -s /usr/bin/python2-config ~/bin/python-config
最後に PATH 変数の最初に新しいフォルダを記述します:
$ export PATH=~/bin:$PATH
{{Note|[[環境変数]]の変更は永続的ではなく、現在のターミナルセッションでのみ有効です。}}

Ghost をインストールします。[[Arch User Repository]] から Ghost をインストールした場合は必要ありません:
$ npm install --production

Ghost を起動:
$ npm start --production

完了です。ブラウザを起動して 127.0.0.1 または Ghost をインストールしたデバイスの IP を開いて下さい。

=== サービスの作成 ===

{{Note|[[Arch User Repository]] から Ghost をインストールした場合はこの手順は不要です。}}

Ghost をバックグラウンドで実行したい場合、サービスを作成する必要があります。ローカルシステム用に新しいサービスユニットを[[Systemd#カスタム .service ファイルを書く|作成]]してください:

{{hc|/etc/systemd/system/ghost-example-com.service|<nowiki>
[Unit]
Description=Ghost blog example.org
After=network.target

[Service]
Type=simple
PIDFile=/run/ghost-example-org.pid
WorkingDirectory=/srv/http/example.org
User=ghost
Group=ghost
ExecStart=/usr/bin/npm start --production /srv/http/example.org
ExecStop=/usr/bin/npm stop /srv/http/example.org
StandardOutput=null
StandardError=null

[Install]
WantedBy=multi-user.target
</nowiki>}}

ブログディレクトリの所有者を変更して Ghost を起動:

$ chown -R ghost:ghost /srv/http/example.org
$ systemctl start ghost-example-com

全てが問題ないようでしたら、新しいユニット {{ic|ghost-example-com}} とウェブサーバー {{ic|nginx.service}} を[[有効化]]します。

利用者:Trileg

2015-09-27T09:12:04Z

Trileg: ページを作成してみました

noob

MariaDB

2015-09-27T09:00:40Z

Trileg: mariadbインストール後のmysql_install_dbの作業が抜けており、このままではmysqldサービスが起動できないため、https://wiki.archlinux.org/index.php/MySQL にならい修正をさせていただきました。

[[Category:データベース管理システム]]
[[cs:MySQL]]
[[de:MySQL]]
[[en:MySQL]]
[[es:MySQL]]
[[fr:MySQL]]
[[it:MySQL]]
[[sr:MySQL]]
[[tr:MySQL]]
[[zh-CN:MySQL]]
{{Related articles start}}
{{Related|phpMyAdmin}}
{{Related|Adminer}}
{{Related articles end}}
MySQL は幅広く使われている、マルチスレッドの、マルチユーザー SQL データベースです。機能に関する詳細は [http://www.mysql.com/ 公式ホームページ] を見て下さい。

{{Note|現在 MariaDB が Arch Linux における MySQL のデフォルトの実装になっています。全てのユーザーは MariaDB に[[#Oracle MySQL から MariaDB へのアップグレード|アップグレード]]するのが推奨されています。Oracle MySQL は [[AUR]] に移動しました。[https://www.archlinux.org/news/mariadb-replaces-mysql-in-repositories/ アナウンス]を参照してください。}}

== インストール ==

Arch Linux で選ばれている MySQL の実装は [https://mariadb.org/ MariaDB] です。[[公式リポジトリ]]から {{Pkg|mariadb}} を[[pacman|インストール]]してください。他の実装は:
* {{App|Oracle MySQL|Oracle Corporation による実装。|https://www.mysql.com/|{{AUR|mysql}}}}
* {{App|Percona Server|Percona LLC による実装。|http://www.percona.com/software/percona-server/|{{Pkg|percona-server}}}}

{{Tip|データベース ({{ic|/var/lib/mysql}}) を [[btrfs]] ファイルシステムに配置する際は、データベースを作成する前にディレクトリの [[Btrfs#コピーオンライト_.28CoW.29|Copy-on-Write]] を無効にすることを考えるべきです:
{{ic|# chattr +C /var/lib/mysql}}
}}

{{Pkg|mariadb}} をインストールしたら、 {{ic|mysqld.service}} を'''[[systemd#ユニットを使う|起動]]する前に'''以下のコマンドを実行してください:
# mysql_install_db --user=mysql --basedir=/usr --datadir=/var/lib/mysql
そして、 {{ic|mysqld.service}} を[[systemd#ユニットを使う|起動]]して、セットアップスクリプトを実行してください:
# mysql_secure_installation
その後 {{ic|mysqld.service}} を再起動してください。

フロントエンドは {{AUR|mysql-gui-tools}} やその後継の {{AUR|mysql-workbench}} が利用できます。

=== 起動時に有効にする ===
起動時に MySQL デーモンを実行するには、{{ic|mysqld.service}} ユニットを有効にしてください。

=== Oracle MySQL から MariaDB へのアップグレード ===
{{Note|デーモンを再起動する前に {{ic|/var/lib/mysql}} の次のファイルを削除する必要があるかもしれません: {{ic|ib_logfile0}}, {{ic|ib_logfile1}}, {{ic|aria_log_control}}。}}

データベースを切り替えるときに環境を移行するには {{ic|mysqld.service}} を停止して {{pkg|mariadb}} をインストールして {{ic|mysqld.service}} を起動し次を実行してください:
# mysql_upgrade -u root -p

=== アップデート ===
メジャーバージョンアップデート (5.5 から 10.0、もしくは 10.0 から 10.1 など) をした後は、次のコマンドを実行して MySQL を再起動すると良いでしょう:
# mysql_upgrade -u root -p

== 設定 ==
MySQL サーバーを起動できたら、おそらく MySQL ユーザーとデータベースを管理するための root アカウントを追加したくなるはずです。上記のスクリプトの出力で説明されているように、手動または自動で設定を行えます。root アカウントのパスワードを設定するコマンドを実行するか、セキュアなインストールスクリプトを実行してください。

インストールの後は、好きなインタフェースを使って使用するための設定を行うことができます。例えば MySQL のコマンドラインツールを使って MySQL サーバーに root でログインすることが可能です:
$ mysql -u root -p

=== ユーザーを追加する ===
新しいユーザーの作成は2段階で行います: ユーザーを作って、そのユーザーに権限を与える。以下のレイでは、ユーザー ''monty'' をパスワード ''some_pass'' で作成します。

{{hc|$ mysql -u root -p|
MariaDB> CREATE USER 'monty'@'localhost' IDENTIFIED BY 'some_pass';
MariaDB> GRANT ALL PRIVILEGES ON *.* TO 'monty'@'localhost'
-> WITH GRANT OPTION;
MariaDB> quit}}

=== リモートアクセスを無効にする ===
デフォルトで MySQL サーバーはネットワークからアクセスできるようになっています。MySQL をローカルホストからしか使わない場合は、TCP ポート 3306 を使用しないようにすることでセキュリティを向上させることが可能です。リモート接続を拒否させるには、{{ic|/etc/mysql/my.cnf}} にある次の行をアンコメントしてください:
skip-networking

この設定をしてもローカルホストからはログインできます。

=== 自動補完を有効にする ===
{{Note|この機能を有効にするとクライアントの初期化が長くなるかもしれません。}}
MySQL クライアントの補完機能はデフォルトでは無効になっています。システム全体で有効にするには {{ic|/etc/mysql/my.cnf}} を編集して、{{ic|no-auto-rehash}} を {{ic|auto-rehash}} で置き換えてください。次に MySQL クライアントを実行した時に補完が有効になります。

=== UTF-8 を使う ===
{{ic|/etc/mysql/my.cnf}} ファイルの {{ic|mysqld}} グループ下のセクションに、以下を追加:

{{bc|<nowiki>
[mysqld]
init_connect = 'SET collation_connection = utf8_general_ci,NAMES utf8'
collation_server = utf8_general_ci
character_set_client = utf8
character_set_server = utf8
</nowiki>}}

=== tmpdir に TMPFS を使う ===
MySQL が一時ファイルの保存に使用するディレクトリは ''tmpdir'' という名前が付いています。例えば、ディスクの膨大なソートを行うのに使われたり、内部的または明示的な一時ディレクトリのために使われます。

適切なパーミッションでディレクトリを作成:
# mkdir -pv /var/lib/mysqltmp
# chown mysql:mysql /var/lib/mysqltmp

{{ic|mysql}} ユーザーとグループの id と gid を確認:
$ id mysql
uid=27(mysql) gid=27(mysql) groups=27(mysql)

{{ic|/etc/fstab}} ファイルに追加:
tmpfs /var/lib/mysqltmp tmpfs rw,gid=27,uid=27,size=100M,mode=0750,noatime 0 0

{{ic|/etc/mysql/my.cnf}} ファイルの {{ic|mysqld}} グループ下に追加:
tmpdir = /var/lib/mysqltmp

その後再起動するか ( shutdown mysql, mount the tmpdir, start mysql )。

=== タイムゾーンテーブル ===
タイムゾーンテーブルはインストールで作成されますが、ロードが自動では行われません。SQL クエリで CONVERT_TZ() を使う予定ならばロードする必要があります。

全てのタイムゾーンのタイムゾーンテーブルをロードするには:
$ mysql_tzinfo_to_sql /usr/share/zoneinfo | mysql -u root -p mysql

また、特定のタイムゾーンファイルを指定してテーブルをロードすることもできます:
$ mysql_tzinfo_to_sql <timezone_file> <timezone_name> | mysql -u root -p mysql

== バックアップ ==
簡易バックアップとしてファイルにデータベースを出力することが可能です。以下のシェルスクリプトは、データベースのダンプが含まれた {{ic|db_backup.gz}} ファイルを、スクリプトと同じディレクトリに作成します:

{{bc|<nowiki>
#!/bin/bash

THISDIR=$(dirname $(readlink -f "$0"))

mysqldump --single-transaction --flush-logs --master-data=2 --all-databases \
| gzip > $THISDIR/db_backup.gz
echo 'purge master logs before date_sub(now(), interval 7 day);' | mysql
</nowiki>}}

MySQL マニュアルにある公式の {{ic|mysqldump}} の [http://dev.mysql.com/doc/refman/5.6/en/mysqldump.html ページ] も参照してください。

== トラブルシューティング ==
=== MySQL デーモンが起動しない ===
MySQL が起動せずログファイルに何も出力されない場合、{{ic|/var/lib/mysql}} や {{ic|/var/lib/mysql/mysql}} ディレクトリ内のファイルのパーミッションを確認してください。ディレクトリ内にあるファイルの所有者が {{ic|mysql:mysql}} ではないときは、次を実行してください:
# chown mysql:mysql /var/lib/mysql -R
上記に従ってもパーミッション問題が発生する場合は、{{ic|my.cnf}} を {{ic|/etc/}} にコピーしてみて下さい:
# cp /etc/mysql/my.cnf /etc/my.cnf
そしてデーモンを起動してみましょう。

{{ic|/var/lib/mysql/hostname.err}} に以下のメッセージが表示される場合:
[ERROR] Can't start server : Bind on unix socket: Permission denied
[ERROR] Do you already have another mysqld server running on socket: /var/run/mysqld/mysqld.sock ?
[ERROR] Aborting
おそらく {{ic|/var/run/mysqld}} のパーミッションが原因です。
# chown mysql:mysql /var/run/mysqld -R

mysqld を実行すると以下のエラーが表示される場合:
Fatal error: Can’t open and lock privilege tables: Table ‘mysql.host’ doesn’t exist
{{ic|/usr}} ディレクトリから以下のコマンドを実行してデフォルトのテーブルをインストールしてください:
# cd /usr
# mysql_install_db --user=mysql --ldata=/var/lib/mysql/

=== MySQL が起動しないために mysql_upgrade を実行できない ===
MySQL をセーフモードで実行して:
# mysqld_safe --datadir=/var/lib/mysql/
次を実行してみて下さい:
# mysql_upgrade -u root -p

=== root パスワードをリセットする ===
{{ic|mysqld.service}} を停止。次のコマンドを実行:
# mysqld_safe --skip-grant-tables &
mysql サーバーに接続。次のコマンドを実行:
# mysql -u root mysql
root パスワードを変更:
mysql> use mysql;
mysql> UPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root';
mysql> FLUSH PRIVILEGES;
mysql> exit
{{ic|mysqld.service}} を起動。

=== 全てのテーブルをチェック・修復する ===
全てのデータベースの全てのテーブルをチェック・自動修復 [http://dev.mysql.com/doc/refman/5.7/en/mysqlcheck.html 詳細]:
# mysqlcheck -A --auto-repair -u root -p

=== 全てのテーブルを最適化する ===
テーブルエラーを自動的に修正して、全てのテーブルを強制的に最適化する。
# mysqlcheck -A --auto-repair -f -o -u root -p

=== ZFS での実行時に OS エラー 22 ===
[[ZFS]] を使っていて、以下のエラーが表示される場合:
InnoDB: Operating system error number 22 in a file operation.
{{ic|/etc/mysql/my.cnf}} の mysqld セクションに次の行を追加して aio_writes を無効にする必要があります:
[mysqld]
...
innodb_use_native_aio = 0

ただし、上の問題のせいでインストール後のスクリプトが失敗する場合、MySQL/MariaDB が無効状態になっている可能性があります。この状態から復旧するには、以下を実行してください:
rm -rf /var/lib/mysql/*
mysql_install_db --user=mysql --basedir=/usr --datadir=/var/lib/mysql
chown -R mysql:mysql /var/lib/mysql &>/dev/null
/usr/bin/systemd-tmpfiles --create mysql.conf

これで MySQL/MariaDB が正しくインストールされるはずです。

=== CLI でログインできないが、phpmyadmin は問題なく動作する ===
長い (>70-75) パスワードを使っているとこの問題が発生することがあります。
5.5.36 現在、何らかの理由で、mysql CLI は readline モードで長い文字列を扱えなくなっています。
そのため、長いパスワードを使う場合は input モードを使うことを推奨します:
$ mysql -u <user> -p
Password:
もしくは短いパスワードに変えてください。

{{Note|mysql コマンドに引数としてパスワードを指定することでログインすることは可能です。
{{Warning|This behavior considered dangerous, because your password might leak, for example, to the logs. Use it only in case of emergency and don't forget to change password right afterwards.}}
$ mysql -u <user> -p"<some-veryveryveryveryveryveryveryveryveryveryveryveryveryveryvery-long-and-veryveryveryveryveryveryveryveryveryvery-strong-password>"
}}

== 参照 ==
* [https://mariadb.org/ MariaDB 公式ウェブサイト]
* [https://mariadb.com/kb/ja/ MariaDB knowledge Base]
* [http://dev.mysql.com/doc/ MySQL ドキュメント]
* [[LAMP]] - LAMP (Linux Apache MySQL PHP) サーバーのセットアップに関する ArchWiki の記事
* [[PhpMyAdmin]] - Apache/PHP フロントエンドを使って MySQL データベースを管理するのに役立つウェブベースのツールに関する ArchWiki の記事。
* [[PHP]] - PHP に関する ArchWiki の記事。
* [http://www.askapache.com/mysql/performance-tuning-mysql.html MySQL のパフォーマンスチューニングスクリプトとノウハウ]