掲示板お問い合わせランダムジャンプ

トップスペース
rss-reader.png taRgrey  削除ガイドライン  おしらせ  SPAM対策  専属DJのブログ  BOF  SPAM対策別館

2015年02月17日
FreeBSD 9.x amd64 で AVG Server Edition for FreeBSD 設定
FreeBSD 9.x amd64 で稼働しているメールゲートウェイに、
AVG Server Edition for FreeBSDを追加したところ、amavisdと
連動するavgtcpdが起動しないのでlib32関連で必要なライブラリに
シンボリックリンクを張るなどして何とか起動できたので覚え書き。

■ダウンロード
http://free.avg.com/ww-en/download-free-all-product

System requirements
-------------------

AVG Anti-Virus for Linux/FreeBSD requires system with following or
newer library:
- libc.so.6 (Linux)
- libc.so.7 (FreeBSD RELEASE-7.3)
For RELEASE-8 and CURRENT the compat7x port located in /usr/ports/misc is
needed.
- libiconv.so.3 (FreeBSD)
- for amd64 architecture the lib32 compat libraries are needed

--------------------------------------------------------------
との事なので、compat7x とか compat8x とかをインストール。

avg2013ffb-r3115-a6155.i386.tar.gz を解凍して install.sh 実行。
--------------------------------------------------------------

# ./install.sh

Do you agree with the license? (yes/no): yes

Operating system is FreeBSD or its fork PC-BSD, DesktopBSD, ... (amd64) (Y/n): Y
Under which user should AVG Anti-Virus run [root]:
What group should be used for AVG Anti-Virus [bin]:
Creating destination directories...
Installing files...
Creating symlinks...
Installing 'avgd' service initscripts...
Generating uninstall script...
Processing command line ...
Cfg file not specified using /opt/avg/av/cfg/diagcfg.xml.
New installation ID succesffully generated.

AVG Anti-Virus for Linux/FreeBSD successfully installed.

Would you like to display README now? (Y/n): n
Would you like to run AVG setup script now? (Y/n): Y
Checking file avgctl...
Checking file avgcfgctl...

AVG command line setup
Copyright (c) 2013 AVG Technologies CZ

Your location: Start

Welcome to the AVG for Linux/FreeBSD Deployment Wizard.
The Wizard will help you deploy AVG according to your needs.

Please choose what you want to do now:

M) Set up the TCPD protection for E-mail Server
O) Set up On-Access for Real-time protection
E) Exit

Type [M|O|E]: M



AVG command line setup
Copyright (c) 2013 AVG Technologies CZ

Your location: Start -> E-Mail Deployment

Deploying TCPD for E-mail protection

Please select the E-Mail server you want to secure:

D) Auto detection
P) Postfix
S) Sendmail
Q) Qmail
A) Amavisd interface
B) Go to back
E) Exit

Type [D|P|S|Q|A|B|E]: A



AVG command line setup
Copyright (c) 2013 AVG Technologies CZ

Your location: Start -> E-Mail Deployment -> Amavisd-new configuration

AVG for AVG ptotocol configuration - amavisd

Please enter the number of the port for AVG Server configuration (to use the default value 54322, press 'Enter'):
Do you want to enable AVG certification in e-mail body? (y/N): N
Do you want to enable AVG certification in e-mail headers: scan? (Y/n): Y
Do you want to enable AVG certification in e-mail headers: spam? (Y/n): n

Please select a configuration mode:

A) Auto - try to set up the system automatically.
M) Manual - enter the path to a configuration file manually.
B) Go to back
E) Exit
Please type [A|M|B|E]: A
File /usr/local/etc/amavisd.conf is detected

Configuration for /usr/local/etc/amavisd.conf is ready.
Backup of the /usr/local/etc/amavisd.conf file has been created: /usr/local/etc/amavisd.conf_avgbackup.
Do you want to apply the configuration now?
Please type Yes or No: yes
Success
It is necessary to restart the service amavisd. Do you wish to restart the service? (Y/n): n
Service AVG is restarted...


AVG command line setup
Copyright (c) 2013 AVG Technologies CZ

Your location: Exit: Success!

Congratulations, AVG pro Linux/FreeBSD has been deployed successfully.
If you experience problems with AVG, please refer to /opt/avg/av/log/0//deployment.pub.log or contact the technical support.

Please choose what you want to do now:

N) Continue deploying AVG for another kind of protection.
E) Terminate the deployment.

Type [N,E]: E

AVG command line setup
Copyright (c) 2013 AVG Technologies CZ

Your location: Exit

The deployment process has been finished; if needed, please re-launch the 'avgsetup' utility.
Thank you for using AVG for Linux/FreeBSD

Starting AVG AV
Starting avgd (already running with pid: 13799) OK.

--------------------------------------------------------------
起動したデーモンを確認したが、avgtcpd が起動していない。
--------------------------------------------------------------

# ps ax |grep avg
13799 0 S 0:00.76 /opt/avg/av/bin//avgd
13812 0 I 0:00.67 /opt/avg/av/bin/avgavid
13941 0 I 0:00.03 /opt/avg/av/bin/avgsched

--------------------------------------------------------------
ライブラリの認識を確認したところ、いくつか not found に…
--------------------------------------------------------------

# ldd /opt/avg/av/bin/avgtcpd
/opt/avg/av/bin/avgtcpd:
libthr.so.3 => /usr/lib32/libthr.so.3 (0x28125000)
libavgcomm.so => not found (0)
libavgsys.so => not found (0)
libiconv.so.3 => not found (0)
libstdc++.so.6 => /usr/lib32/libstdc++.so.6 (0x28145000)
libm.so.5 => /usr/lib32/libm.so.5 (0x28239000)
libgcc_s.so.1 => /usr/lib32/libgcc_s.so.1 (0x28253000)
libc.so.7 => /usr/lib32/libc.so.7 (0x2825e000)

--------------------------------------------------------------
インストールされた /opt/avg/av/lib/ からシンボリックリンク。
--------------------------------------------------------------

# cd /usr/lib32
# ln -s /opt/avg/av/lib/libavgcomm.so ./libavgcomm.so
# ln -s /opt/avg/av/lib/libavgsys.so ./libavgsys.so

# ldd /opt/avg/av/bin/avgtcpd
/opt/avg/av/bin/avgtcpd:
libthr.so.3 => /usr/lib32/libthr.so.3 (0x28125000)
libavgcomm.so => /usr/lib32/libavgcomm.so (0x28145000)
libavgsys.so => /usr/lib32/libavgsys.so (0x281de000)
libiconv.so.3 => not found (0)
libstdc++.so.6 => /usr/lib32/libstdc++.so.6 (0x2823c000)
libm.so.5 => /usr/lib32/libm.so.5 (0x28330000)
libgcc_s.so.1 => /usr/lib32/libgcc_s.so.1 (0x2834a000)
libc.so.7 => /usr/lib32/libc.so.7 (0x28355000)

--------------------------------------------------------------
libiconv.so.3 は、32bit版のFreeBSDから持ってきて解決したとの
情報を見つけたので、FreeBSD 9.x i386環境のファイルをコピー
--------------------------------------------------------------

# cp ~hoge/libiconv.so.3 ./

# ldd /opt/avg/av/bin/avgtcpd
/opt/avg/av/bin/avgtcpd:
libthr.so.3 => /usr/lib32/libthr.so.3 (0x28125000)
libavgcomm.so => /usr/lib32/libavgcomm.so (0x28145000)
libavgsys.so => /usr/lib32/libavgsys.so (0x281de000)
libiconv.so.3 => /usr/lib32/libiconv.so.3 (0x2823c000)
libstdc++.so.6 => /usr/lib32/libstdc++.so.6 (0x28332000)
libm.so.5 => /usr/lib32/libm.so.5 (0x28426000)
libgcc_s.so.1 => /usr/lib32/libgcc_s.so.1 (0x28440000)
libc.so.7 => /usr/lib32/libc.so.7 (0x2844b000)

--------------------------------------------------------------
起動!
--------------------------------------------------------------

# /usr/local/etc/rc.d/avgd.sh start
Starting avgd (recovering) OK.

# ps ax|grep avg
26092 0 I 0:04.25 /opt/avg/av/bin//avgd
26120 0 I 0:00.03 /opt/avg/av/bin/avgavid
26121 0 S 0:00.10 /opt/avg/av/bin/avgtcpd
26122 0 S 0:07.34 /opt/avg/av/bin/avgscand -c 3
26149 0 I 0:05.72 /opt/avg/av/bin/avgsched


# netstat -an|grep 54322
tcp4 0 0 127.0.0.1.54322 *.* LISTEN

--------------------------------------------------------------
起動出来たので、amavisd.conf のAVG用の設定を有効化。
--------------------------------------------------------------

# vi /usr/local/etc/amavisd.conf

@av_scanners = (

# AVG AV settings
['AVG Anti-Virus',
\&ask_daemon, ["SCAN {}\n", '127.0.0.1:54322'],
qr/^200 [oO][kK]/m, qr/^403/m, qr/^403 .*?: ([^\r\n]+)/m ],

--------------------------------------------------------------
amavisdを再起動
--------------------------------------------------------------

# /usr/local/etc/rc.d/amavisd restart

--------------------------------------------------------------
amavisのログに AV-scan-2: の項目が増えているので、
正常に連携出来ている模様。
--------------------------------------------------------------

▼AVG追加前のmaillogのamavisのログ
AV-scan-1: 8 (5%)86,

▼AVG追加後のmaillogのamavisのログ
AV-scan-1: 5 (3%)83, AV-scan-2: 5 (3%)86,

[ 投稿者:Cookie at 16:38 | サーバ設定 | コメント(5) | トラックバック(0) ]

2012年10月06日
FreeBSDのRAID1構成
FreeBSDでは gmirror を使って、特別なハードウェア無しでハードディスクのミラーリング(RAID1)を構成することができますが、運用中のハードディスクをRAID1にする場合、FreeBSDのインストールCDから起動して作業する必要があります。

しかし、これだと運用中のマシンを何度も再起動する必要があり、不便だと思っていたのですが、起動中のFreeBSDからgmirrorでのRAID1を導入する方法を見つけたので、今回これで試してみました。

結果はOK!

▼参考にした情報はこちら
FreeBSDでRAID1(mirror)をLivefs CDなしで設置

この方法だとRAID1用に追加するハードディスクを取り付ける際に、一度だけの停止で導入できますし、ミラーリング自体はマシンを起動してから同期を開始すれば良いので、実質追加するハードディスクの取り付けにまつわる時間だけの停止で済むのはありがたいです。


[ 投稿者:Cookie at 05:45 | サーバ設定 | コメント(2) | トラックバック(0) ]

2008年07月23日
86.59.118.117からの継続したDNSクエリ
BIND 9.4.2-P1のqueries.logをチェックしていたら「86.59.118.117」から繰り返し同じクエリーが届いている。

「86.59.118.117」でググって見ても何もヒットしません...

whois情報では「オーストリア」のIPアドレス。

inetnum: 86.59.118.96 - 86.59.118.127
netname: SIL-SYSTEMONE
descr: Erlerstrasse 1
descr: A-6020 Innsbruck
country: AT
admin-c: BH1354-RIPE
tech-c: SILR-RIPE
mnt-by: SIL-MNT
status: ASSIGNED PA
source: RIPE # Filtered

■queries.log

23-Jul-2008 12:17:44.918 queries: client 86.59.118.117#38956: query: . IN ANY +
23-Jul-2008 12:17:44.938 queries: client 86.59.118.117#49070: query: . IN ANY +
23-Jul-2008 12:17:45.893 queries: client 86.59.118.117#41990: query: . IN ANY +
23-Jul-2008 12:17:46.892 queries: client 86.59.118.117#14653: query: www.microsoft.com IN A +
23-Jul-2008 12:17:47.618 queries: client 86.59.118.117#55996: query: . IN ANY +
23-Jul-2008 12:17:47.696 queries: client 86.59.118.117#17691: query: www.microsoft.com IN A +
23-Jul-2008 12:17:48.402 queries: client 86.59.118.117#19644: query: www.microsoft.com IN A +
23-Jul-2008 12:17:48.570 queries: client 86.59.118.117#23183: query: www.microsoft.com IN A +
23-Jul-2008 12:17:48.753 queries: client 86.59.118.117#16456: query: www.microsoft.com IN A +
23-Jul-2008 12:17:48.975 queries: client 86.59.118.117#41288: query: . IN ANY +
23-Jul-2008 12:17:50.357 queries: client 86.59.118.117#50845: query: www.microsoft.com IN A +
23-Jul-2008 12:17:52.371 queries: client 86.59.118.117#27116: query: www.microsoft.com IN A +

自分の管理しているDNSサーバだけでなく、取引先のDNSでも同様のクエリーを観測しているので、広範囲にクエリーを投げている様子。

named.confに

acl deny_net {
86.59.118.117;
};
options {
allow-query {
!deny_net;
〜省略〜
};
allow-recursion {
!deny_net;
〜省略〜
} ;
allow-query-cache {
!deny_net;
〜省略〜
} ;

とかして、拒否してみました。

security.logには以下の様に記録されます。

23-Jul-2008 12:25:54.525 security: client 86.59.118.117#38786: query (cache) 'www.microsoft.com/A/IN' denied
23-Jul-2008 12:25:55.108 security: client 86.59.118.117#43552: query (cache) './ANY/IN' denied
23-Jul-2008 12:25:56.778 security: client 86.59.118.117#8900: query (cache) './ANY/IN' denied
23-Jul-2008 12:25:57.767 security: client 86.59.118.117#34871: query (cache) 'www.microsoft.com/A/IN' denied
23-Jul-2008 12:25:57.774 security: client 86.59.118.117#50558: query (cache) './ANY/IN' denied


他のDNSサーバはどうなんでしょうか?

追記:2008-07-24
このIPアドレスでググったらこんなのがヒットしましたが、やはり他でもこのクエリーが来てるようですね。
NS querys "www.microsoft.com" - linuxforen.de -- User helfen Usern

livedoor 翻訳によると

have a retrieval of an IP on my name server since today 14 o'clock per second. the retrieval is www.microsoft.com and ANY. What does this mean?

maybe prepares somebody of ne DDOS attack on your name server?! I simply would lock out the IP.

I heard this answer about the provider to her/it get the IP: Update: Stopped just, everything again normal.

こんな感じ。

追記:008-07-25
7月23日の21:19頃でこのクエリーは止まっているようです。

23-Jul-2008 21:19:30.915 security: client 86.59.118.117#58928: query (cache) './ANY/IN' denied
23-Jul-2008 21:19:32.257 security: client 86.59.118.117#33700: query (cache) './ANY/IN' denied
23-Jul-2008 21:19:32.355 security: client 86.59.118.117#28527: query (cache) './ANY/IN' denied
23-Jul-2008 21:19:33.132 security: client 86.59.118.117#29869: query (cache) './ANY/IN' denied

[ 投稿者:Cookie at 12:19 | サーバ設定 | コメント(0) | トラックバック(0) ]

2008年05月29日
FreeBSD-7.0 amd64 への qmailインストール
デュアルコア AMD Opteron 1212なマシンを、FreeBSD-7.0 amd64で構築中ですが、qmailをインストールしたところ、メール送信時にエラーが発生。

May 29 10:51:24 *** qmail: 1212025884.161345 alert: oh no! lost spawn connection! dying...

「alert: oh no! lost spawn connection! dying...」ググって見てもあまり有効な情報が見つかりませんでしたが、「FreeBSD 7.0 amd64 qmail」で検索してみると、同様の事例が見つかりました。

【ぷろじぇくと ぞうさん】 〜E-Bananaサーバ 構築日記〜

こちらからたどったページ「31日目」に、FreeBSD本家のフォーラムにパッチ情報があることを発見!

あとは情報元のサイトに書かれている通り、
1) qmailのパッケージを解凍したら、ディレクトリ内に移動する。
2) パッチファイルを設置する。
3) 以下のコマンドを実行する。
  patch <./patch-1.diff 
4) コンパイルとかに進む

で、無事メール配送出来ました!



[ 投稿者:Cookie at 11:50 | サーバ設定 | コメント(0) | トラックバック(0) ]

2008年05月28日
SuSE Linux のpure-ftpd
SUSE Linux Enterprise Server 10 のpure-ftpdをchrootで使用した場合に、ftpクライアントで接続した際ファイルの日付がJSTにならないトラブルの相談を受けました。

ProFTPDの話題ですが、2chにこんな情報がありましたが、既にサポートからも同様の回答があったとの事。

http://pc11.2ch.net/test/read.cgi/unix/1116689579/14-114
38 :36:2005/09/01(木) 21:49:43
自己解決しました
ドキュメントルート配下に参照できるlocaltimeのファイルがないからってのが原因だったので
ドキュメントルート直下に
etc
のディレクトリを作成して、その中に/etc/localtimeをコピーすることで実時刻になりました。


つまり、/home/user_name/etc/localtime を全て用意する...

しかし、大量のアカウントに対してこんな事やってられないのと、間違って削除される可能性もあるので、もっとスマートな方法は無いのかググって見たところ、日本語の情報が全く見当たりませんでしたが、海外のMLのアーカイブにズバリの情報が有りました。

pure-ftpdの起動おスクリプトで、

TZ='Japan' ; export TZ
/usr/local/sbin/pure-ftpd -A -C 5 -d -D -M -H -B

といった感じに環境変数TZをエクスポートしてあげればOK。

export TZ=Japan; でもOKかも。

情報源はこちら
Re: [pure-ftpd] Time stamps for chrooted users

From: Curtis Grote
Date: Mon, 25 Feb 2008 14:22:04 -0600

I had the same problem and someone was kind enough to give me the answer
to fix the problem:

You must set a local variable for timezone (TZ) before starting the
server daemon,

My pureftpd startup script:

TZ='America/Kentucky/Monticello' ; export TZ
/usr/local/sbin/pure-ftpd -A -C 5 -d -D -M -H -B

Curtis

On Monday 25 February 2008 13:54, Simon Tideswell wrote:
> Hello I am using PureFTPd on SuSE SLES 9/10 Linux. I have found that
> when I configure PureFTPd to chroot the users in their home
> directories that the timestamps in syslog are wrong (UTC time,
> instead of Australian time). If I place an appropriate entry at
> etc/localtime under the user's home directory then timestamps are
> back to normal again. But I feel that creating the /etc/localtime
> entry for all users is an ugly solution. I have seen a lot of posts
> on various forums regarding this matter but have seen no solutions. I
> am currently trying to hack the code to apply the default time zone
> in the chroot jail but am not having much luck. Does anyone have any
> ideas about how to resolve this?
>
> Also can I recommend adding an extra command-line parameter to the
> program so that the PAM process name used in the "pam_start" call can
> be changed? We use mulitple instances of PureFTPd on the same host
> and wish each to have a slightly different PAM configuration (in fact
> a different ftpusers file and "sense" for each instance). Being able
> to specify the PAM process name for each instance would make it easy
> to use a separate PAM configuration for each of them. I can achieve
> this by hacking the source code and altering the PAM process name
> used by pam_start but that's not terribly pretty.
>
> Simon

[ 投稿者:Cookie at 12:41 | サーバ設定 | コメント(0) | トラックバック(0) ]

2008年05月12日
qmail のダブルバウンス
メールサーバのログチェックで、
warning: Illegal address syntax from ***.***.ne.jp[***.***.***.***] in MAIL command: <#@[]>
っていう記録を見かけたので、昔の記憶をたどりながら思い出したのがこちら。

#@[]

qmailの場合、ダブルバウンス送信用のアドレスとして #@[] を使うが、その際qmail では特に設定しなければダブルバウンスは自ホストの postmaster 宛に送られ、外に出てこんな問題を起こすことは無い。

しかし、postmaster 宛のメールを外部のホストへ転送設定している場合などは、転送先のMTAがpostfixやsendmailの場合、不正なアドレスとしてエラーにしてしまう。

詳細は上記サイトに詳しいが、対応はqmail側で行う事になる。

ダブルバウンス受信者となるアドレスの .qmail、たとえば /var/qmail/alias/.qmail-postmaster を以下のように書く。

| [ "x$SENDER" = "x#@[]" ] && qmail-inject -f MAILER-DAEMON -- "$RECIPIENT" && exit 99 || exit 0
&double-bounce@another.host

1行目。envelope sender が #@[] ならば MAILER-DAEMON に書き換えて届いたメールを再送信する。exit 99 により、この条件にマッチした場合は2行目の解釈はおこなわれない。2行目。送信者が #@[] でなければ、double-bounce@another.host にメールを転送する。以上により、#@[] は書き換えられ、それ以外はそのまま外部ホストにメールが転送される。

あるいは以下のようにしてもいい。

% echo double-bounce > /var/qmail/control/doublebounceto
% cat /var/qmail/alias/.qmail-double-bounce
| bouncesaying 'Permission denied' [ "x$SENDER" != "x#@[]" ]
| qmail-inject -f MAILER-DAEMON -- postmaster@another.host


[ 投稿者:Cookie at 14:43 | サーバ設定 | コメント(0) | トラックバック(0) ]

2008年01月10日
Express5800 120Rd-1 へのFreeBSDインストール
使用していないExpress5800 120Rd-1で、Apache2でのウェブサーバ構築の依頼を頂いたので、その覚書。

素性を調べると、RAID構成の様ですがRAIDカードは「N8103-80/80F」との事。

このカードを更に調べるとどうやら中身は「MegaRAID SCSI 320-1」の様です。

FreeBSDの対応ハードウェアで確認するとamrドライバで対応しているので、早速インストーラーを起動してみました。

インストール時のパーテーションエディタでは、amrd0s1 に Compaq Diagnostic が割り当てられている。

このマシンを起動する際、[F4] Service Pertation ってメニューが表示されるので、多分それ用の領域でしょう。

念のため、amrd0s2以降を開放してからFreeBSDをインストールしてみましょう。

今日のところはここまで。

[ 投稿者:Cookie at 16:51 | サーバ設定 | コメント(0) | トラックバック(0) ]

2007年06月15日
「Norton Internet Security」と「wwwcount」の表示トラブル
wwwcount

多くのサイトでも使用しているアクセスカウンタ「wwwcount」ですが、一部の当社サーバご利用者様から「表示できないPCがある」とのお問い合わせを頂き、調べてみました。

現象としては、アクセスカウンターの画像部分が全て黒背景に緑のデジタル文字で8が表示されているとのこと。

発生しているPCの設定などを調べると、共通する状況として「Norton Internet Security」がインストールされている事が分かりました。

「wwwcount Norton Internet Security」でググって見ると、有りました。そのものズバリ!

wwwcountとNorton Internet Securityの設定

Opera9.02でwwwcountが動作しない。

早速、count.cfgの設定を変更

[options]
strict_mode=Yes ≫ No

無事、不具合のあったPCでもアクセスカウンタが正常に見えるようになりましたが、この情報は大分前から既知のものだったようで、もっと早く気が付くべきでした....

そもそもこのパラメータは、カウンタへのアクセスが不正な場合、今回の様に[8888888]のカウンタを表示させる様です。
ブラウザ以外からのアクセスによるカウントアップを排除する等の目的なのでしょう。
これを「No」にしたことで、クローラーとかにも反応して、カウントアップしてしまう可能性もあるかも?



[ 投稿者:Cookie at 11:26 | サーバ設定 | コメント(0) | トラックバック(0) ]

2007年03月22日
WindowsメールでのSMTP認証 解決です
先のエントリーで書いた「Windows Vistaの「Windowsメール」でSMTP認証できない」トラブルですが、メールサーバ側のSASL2ライブラリから「NTLM」関連を外したらすんなり解決しました。

WindowsXP以前のPCでも時おりWindowsのログオンダイアログが表示されていたのは、SMTP認証で「NTLM」が有効になっていたせいだと思われます。

Windows Vista [Home Basic]のテスト環境でも、レジストリ値をデフォルトに戻して、送信できる事を確認しました。

でも送信時の認証方式は「sasl_method=LOGIN」です....
せめてVistaの標準メールソフトなんだから、世の中のメーラー(フリーソフトでも)がサポートしているMD5とかに対応して欲しいものです。 (MSにとっては自分たちが標準だから....)

LOGIN - 暗号化されていない平文パスワード
「SASL 認証プロトコル」についてはこちら

運用中のサーバでは、/usr/local/lib/sasl2 から、関連する
libntlm.a libntlm.la libntlm.so libntlm.so.2 をdisable/ に移動して動作確認OKです。

250-AUTH LOGIN PLAIN GSSAPI DIGEST-MD5 CRAM-MD5
250-AUTH=LOGIN PLAIN GSSAPI DIGEST-MD5 CRAM-MD5

ちなみに、portsからのsasl2インストール時には、
# make -DWITHOUT_NTLM install
としておけば「NTLM」は入らないようです。
[ 投稿者:Cookie at 13:07 | サーバ設定 | コメント(0) | トラックバック(0) ]

Windows Vistaの「Windowsメール」でSMTP認証できない
Windows Vistaのメール環境を検証中に厄介な問題に遭遇。

何とVista付属の「Windowsメール」でSMTP認証(port 587)できない!

素のままのVista付属の「Windowsメール」から当社のport587+SMTP認証対応SMTPサーバにメールを送信すると、送信時に「ユーザー名」「パスワード」「ドメイン」を尋ねるダイアログ(★1)が表示されます。

これは、以前から時々経験していましたが、表示されるPCとされないPCがあり、表示される条件が特定できていませんでした。(今回のトラブルでなんとなく原因が特定できそうです)

ひとまずSMTP認証用のユーザー名とパスワード、メールアドレスのドメイン名を入力しますが、エラーとなり何度か再入力を求められ、2〜3回繰り返すと入力ダイアログは表示されなくなります。

そして、しばらくしてからメール送信のエラーが表示されます。

このときの送信メールサーバ(SMTP)側のログには、
warning: SASL authentication failure: client didn't issue valid NTLM response
と記録されており、認証に使用しているSASL2でNTLMの応答を待っていても上手く処理できない様子。

実はunix系OS上で稼動する、Windows互換ファイルサーバ「samba」でも、Windows Vistaからログインできないという不具合が多数報告されており、もしやと思い今回も同様の対処方法で検証。

■手順

 1. <スタート>メニュー→クイック検索に「regedit」と入力して「Enter]キーを押す。
 2. レジストリエディタが起動したら、
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsaまでキーをたどって開く。
 3. DWORD値「LmCompatibilityLevel」をダブルクリックで開く。
 4. データ値を「3」から「0」に書き換えて、<OK>ボタンをクリック。
 5. レジストリエディタを終了し、Windows Vistaを再起動する。


■検証結果
この方法で「Windowsメール」からもSMTP認証で問題なく送信できる事を確認しました。

この方法による変更の背景としては、sambaファイルサーバへのアクセス不具合の対策として下記URLにて解説されております。
http://journal.mycom.co.jp/column/winvista/009/



Vistaの「Business」エディション以上であれば、「ローカルセキュリティポリシーマネージャ」で、同様の設定が可能なようですが、手元の検証用環境が、「Home Basic」なので....
Vistaからsambaへの接続が出来ない場合の対処法

状況としては、Microsoft社がWindows Vistaからデフォルトにした認証方式「NTLMv2」にメール送信サーバ側の認証ライブラリ(SASL2)が対応していない為の現象の様です。

現在、同様のトラブルの回避策を調査中ですが、まだ確認は取れていません。

尚、今回の場合送信時の「ログオンダイアログ(★1)」を「キャンセル」すると、とりあえず送信する事は可能です。

その際、送信サーバー側の認証は、
sasl_method=LOGIN
として処理されています。

その他、このレジストリ変更を行わなくても、フリーウェア、シェアウェアのメールソフト(Microsoft製以外と言ったほうが良いかも?)であれば問題なく「SMTP認証」で送信出来ます。

◎印はSMTP認証(port587)確認済み
Thunderbird
Becky!
EdMax
AL-Mail

※AL-Mailはインストールプログラム実行後、ファイルを自己解凍しているメッセージまで表示された後、次の画面が表示されずインストールできませんでした。


※ただし同様の具体的なトラブル報告例が他に見受けられないため、当社システムに限定した相性問題の可能性もあります。

■運用中のSMTP認証サーバ

OS : FreeBSD 6.*-RELEASE
▼portsより導入
 MTA : postfix-2.2.7
 認証ライブラリ : cyrus-sasl-2.1.21

メール送信時の対応認証方式

250-AUTH NTLM LOGIN PLAIN GSSAPI DIGEST-MD5 CRAM-MD5
250-AUTH=NTLM LOGIN PLAIN GSSAPI DIGEST-MD5 CRAM-MD5

==== 補足 ====
もしかして、認証方式に「NTLM」を含めなければ最初から「sasl_method=LOGIN」でいけるのでは? という事で検証用環境を用意してテストしてみます。

【出来ました】

[ 投稿者:Cookie at 08:32 | サーバ設定 | コメント(0) | トラックバック(0) ]

2006年08月04日
postfixでのSPAMメール対策(途中経過)
さて、Postfix 2.3.1+patch での「Starpit」方式SPAM対策の評価状況ですが、ハニーポット用のドメインでのテストなので偏りはあると思いますが、概ね90%のSMTP接続が65秒以内に相手側から切断されている状況です。

これにより、後段のSpamAssassinでの処理もだいぶ負荷が減ることが期待できそう ^^

流量のさほど多くないドメインなので、サーバーのロードアベレージもまったく上がらず、搭載メモリー128MBのマシンでも実メモリーにまだ余裕ありの状態です。

とは言え、本運用に備えて512MB x 2 を手配済みです!

90%って数字は、ログに記録されている NOQUEUE: warn: の行と、warning: lost connection during sleep ** の行の出現比率です。

もう少し評価してから、運用中のドメインのメールもこちらに振り向けたいと思っていますが、「モーグルとカバとパウダーの日記」さんでも「Starpitの課題」が提示されていますので、慎重な運用が必要です。

[ 投稿者:Cookie at 17:21 | サーバ設定 | コメント(1) | トラックバック(0) ]

2006年07月26日
postfixでのSPAMメール対策(評価中)
Postfix 2.3.1にpatchを適用し「Starpit」方式でのSPAM対策の評価を開始しました。

記録されるログはこんな感じ↓↓↓↓

Jul 26 17:26:53 ***** postfix/smtpd[638]: NOQUEUE: warn: RCPT from cpe-66-75-192-172.bak.res.rr.com[66.75.192.172]: ; from= to= proto=SMTP helo=

Jul 26 17:27:04 ***** postfix/smtpd[638]: warning: lost connection during sleep 10 from cpe-66-75-192-172.bak.res.rr.com[66.75.192.172]

Jul 26 17:35:26 ***** postfix/smtpd[641]: NOQUEUE: warn: RCPT from unknown[62.162.217.248]: ; from= to= proto=SMTP helo=

Jul 26 17:35:54 ***** postfix/smtpd[641]: warning: lost connection during sleep 27 from unknown[62.162.217.248]

期待通りの結果です ^^

モーグルとカバとパウダーの日記」さんに感謝ですm(_ _)m
[ 投稿者:Cookie at 17:39 | サーバ設定 | コメント(1) | トラックバック(0) ]

postfixでのSPAMメール対策(その後)
昨日導入を検討し始めた「Starpit」方式でのSPAM対策ですが、テスト用マシンのFreeBSDでmakeworld中に、引き続き情報収集です。

情報源は「モーグルとカバとパウダーの日記」さん

Starpitでhotmailからのメールがはじかれる

Postfix-2.3でsleep中に切断されたらすぐに終了するパッチ

postfix-sleep.patch

更に、
msg_warn(”lost connection during sleep %d from %s[%s]”, i, state->name, state->addr);
とするとホスト名とIPアドレスがログに記録できるとのコメントあり。

これはRgreyでの話ですが、
Rgreyでmixiからのメールが誤検出で排除される

いずれにしても副作用を十分把握してからでないと本格的な導入はリスクを伴いますね。

しばらくは試験用のドメイン名での検証が必要。

[ 投稿者:Cookie at 15:11 | サーバ設定 | コメント(0) | トラックバック(0) ]

2006年07月25日
postfixでのSPAMメール対策
SPAMメールとのイタチごっこにはホントうんざりですが、最近の傾向としてメールのSubjectがランダムな「アルファベット数文字」だったりして、送信元IPアドレスも世界各国に散らばっていて、規則性を見つけるのは非常に困難です (T^T)

フィルターでの学習でも結構すり抜けてきます....

という訳で、以前から考えていた、Rgreyを導入しようかと調べていたところ、「Starpit」という手法でも同様の効果が得られるらしい。

「Rgrey」は怪しい接続元に対して、一時的なエラーを返すことで、SPAMをはじくのに対して、「Starpit」では、怪しい接続元からのsmtp要求を一定時間遅延させることで、相手側から切断させる。

既に効率良く運用する為のパッチを制作した方もいらっしゃるので、早速評価運用してみる予定。

参考:Postfixのtarpitting(sleep)の効率を上げたい

S25R+postgrey のport
[ 投稿者:Cookie at 17:05 | サーバ設定 | コメント(0) | トラックバック(0) ]

2006年02月02日
GigaByte GS-SR101 + FreeBSD-6.0 + gmirror(RAID1)
以前「GigaByte GS-SR101 + FreeBSD-5.4」の環境をセットアップしたのですが、そろそろ「FreeBSD-6.0」でも試してみることにしました。

前回同様に設定してみたのですが、
# atacontrol create RAID1 ad0 ad2
としたところで、
ar0: writing of VIA Tech V-RAID metadata is NOT SUPPORTED yet.
と言われてしまい、ダメっぽい感じ.....

試しにFreeBSD-5.4で構築すると問題なく出来るので、6系列ではサポートするデバイスが変わったのか? と思いググってみると、こちらのページを発見。
gmirrorによるソフトウエアRAID

早速、「gmirror」を使用してRAID1構築の検証です。

こちらに書いてある通り設定を行うことで、RAID1化完了。
ちなみに「Fixit」での編集中はキーマップがascii配列なのでちょっと混乱します ^^;

構築結果については、参考にさせて頂いたページにも書いてありますが、ベンチマーク的にも実用上問題無さそうなので、この環境でしばらく試してみようかと思います。

他にも「gmirror」の導入解説をまとめてあるサイトが有ったので、ご紹介させて頂きます。

FreeBSDでgmirrorによるソフトウェアRAID

gmirrorでRAID1を構築
[ 投稿者:Cookie at 11:41 | サーバ設定 | コメント(0) | トラックバック(0) ]