2024年3月10日日曜日

PostfixにSPF検証機能を実装する

メールセキュリティの機能として知られるSPF検証は、迷惑メールなどの対策として、ほぼすべてのメールシステムで実装されている。

本記事では、PostfixにSPF検証機能を実装する手順を記載する。

環境

  • OS : AlmaLinux release 9.3
  • Postfix : 3.5.9
  • pypolicyd-spf : 2.9.3-4

導入手順

1. pypolicyd-spfをインストール

Postfixは単体ではSPF検証を行うことはできないので、pypolicyd-spfをdnfでインストールする。

# dnf install pypolicyd-spf -y

pypolicyd-spfの設定ファイルはシンプルな内容となっている。SPFレコードのチェックは、HELO時に記載されたドメインとMAIL FROMに記載されたドメインの2か所に対して実施し、受信拒否をすることができる。

今回はどちらもチェックさせるよう、そのままの設定とするが、受信拒否をさせたくない場合は、FailFalseに変更すればよい。また、このままでは内部から外部へメール送信時もSPFチェックがされてしまうので、ローカルのネットワークアドレスをskip_addressesに追加しておこう。

/etc/python-policyd-spf/policyd-spf.conf

#  For a fully commented sample config file see policyd-spf.conf.commented

debugLevel = 1
TestOnly = 1

HELO_reject = Fail
Mail_From_reject = Fail

PermError_reject = False
TempError_Defer = False

skip_addresses = 127.0.0.0/8,::ffff:127.0.0.0/104,::1,192.168.0.0/16

2. Postfixの設定

メール受信時にpolicyd-spfに渡すための設定を実施する。

/etc/postfix/master.cf

policyd-spf unix -      n       n       -       0       spawn
  user=nobody argv=/usr/libexec/postfix/policyd-spf

/etc/postfix/main.cf

smtpd_recipient_restrictions = check_policy_service unix:private/policyd-spf
policyd-spf_time_limit = 3600

設定後、Postfixのサービスを再起動し、設定を反映させる。

# systemctl restart postfix
# systemctl status postfix

3. 動作確認(SPF検証成功例)

実際にメールを受信した際に、SPF検証に成功している際のログを以下に記載する。

Mar 10 06:40:54 hoge policyd-spf[57430]: 
prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=123.45.67.89; 
helo=mail-xxxx.google.com; envelope-from=hoge@gmail.com; receiver=<UNKNOWN>

通過したメールのヘッダーにもSPF検証がPassしている旨追記される。

4. 動作確認(SPF検証NGの例)

SPF検証がNGとなる場合は、HELOとMAIL FROMの場合で若干メッセージが異なるため、2パターンをそれぞれ記載する。

HELOのSPF検証NG

550 5.7.23 <tech-mmmm@hoge.tech-mmmm.com>: 
Recipient address rejected: Message rejected due to: SPF fail - not authorized. 
Please see http://www.openspf.net/Why?s=helo;id=example.com;ip=192.168.111.1;r=<UNKNOWN>

MAIL FROMのSPF検証NG

550 5.7.23 <tech-mmmm@hoge.tech-mmmm.com>: 
Recipient address rejected: Message rejected due to: SPF fail - not authorized. 
Please see http://www.openspf.net/Why?s=mfrom;id=from@hoge.tech-mmmm.com;ip=192.168.111.1;r=<UNKNOWN>

以上で、PostfixにSPF検証機能を実装する手順は完了となる。

更新履歴

  • 2024/3/10 新規作成
  • 2024/3/16 skip_addressesの記載を追記

By 時刻: 0 件のコメント:
ラベル: ,
登録: 投稿 (Atom)

人気の投稿

  • Windows標準コマンドでdiffする
    Linuxなら迷うこと無く diff コマンドがあるので問題ないが、Windowsの場合どうすれば良いか悩んでしまうことがある。フリーソフトがインストールできる環境ならまだしも、インターネットに繋がないサーバーとなると、OS標準のコマンドで実施する必要があるので調べてみた。...
  • Windows Timeサービスの時刻同期を正しく設定する手順【Windows 10・Windows Server 2016以降対応】
    数年前の記事となるが、Windows Server 2008 R2環境における時刻同期方法について記事にした。 Workgroup環境でのWindowsの時刻同期の設定方法 あれからWindows Serverも2012、2012 R2、2016、2019とバージョンアッ...
  • Ubuntu 20.04でシステム領域のディスク容量の拡張を行う
    Ubuntu 20.04を仮想環境で動かしているのだが、システム領域のディスク容量はデフォルトの16GBで運用していた。しかし、Linuxとはいえ、各種GUIのソフトウェアをインストールすることで、残り容量が心もとなくなってきた。 そこで、ディスク容量を拡張をすることにしたのだ...
  • LinuxでCIFS共有フォルダをマウントする
    Linuxでは通常NFSなどでネットワークファイル共有を実現するが、WindowsではCIFSが標準的に使われている。 しかし、場合によってはLinux環境からWindowsのCIFS共有フォルダにアクセスしてファイル読み書きしたい場合がある。 LinuxではCIFSであって...
  • Windows標準コマンド (PowerShell) を使ってsedっぽいことを実現する
    コマンドラインを使って文字列操作を行う場合、Linuxでは sed コマンドを使って実施するのが鉄板だが、WindowsではPowerShellのコマンドレットを組み合わせることでほぼ同様のことができる。 今回、いくつか sed でよく使う文字列処理のパターンに対して、Powe...