Postfix の mynetworks のデフォルト設定がヤバい

タイトルのとおりです。
もし、Postfix を使っていて mynetworks をデフォルト設定で使っている人がいたら、今すぐ見直しましょう。

恥を忍んで書いておくと、自分はデフォルト設定で使っていてものすごい勢いで SPAM の踏み台にされました(/_\*)
すみません(/_\*)

これだけでは何なので詳細を。

Postfix の mynetworks は、デフォルトでは subnet の設定となります。
これは、同じサブネットワークからのリレーを許可する設定になります。
つまり、サブネットワーク内からこのサーバで動いている Postfix を経由してインターネット上にメールを送信できる設定です。
この設定は、例えばサブネットワーク内に複数のマシンやデバイスが存在し、それらからメールをインターネット上に送信したい時などに有効な設定です。

しかし、例えばレンタルサーバやVPSなどのように、単独のサーバでインターネットに露出しているようなケースでは非常に問題になります。
この場合、例えば1台だけサーバを借りたとしても、そのサブネットワーク内には他の利用者のサーバがいくつも存在するのが普通です。
この状態で mynetworks が subnet の設定になっていると、それらの他の利用者からも Postfix 経由でインターネット上にメールが送信できることになってしまいます。
つまり、踏み台にされるということですね。

まあ、率直に言ってたまたまサブネットワークが一緒になったサーバを踏み台にするようなやつはなかなかいないと思いますが、いわゆるウイルス的なものに侵入されたサーバが片っ端からサブネットワーク内にリレーできそうなサーバがないかアタックしてくることも考えられますからね。
とはいえ、たまたまサブネットワーク内に何らかの攻撃が成功したサーバがいることもなかなかレアな確率ですが、大変残念ながら今回自分が経験した現象を見る限りでは、上述のどちらかの可能性しかなさそうです。

で、結論です。
Postfix を使うのであれば、とりあえずまず下記のように設定を変更しましょう。

mynetworks_style = host

この設定をすることで、Postfix はローカルマシン以外からのリレーを拒否するようになります。
とりあえずこうしておいて、必要であればリレー設定を緩めていくようにしましょう。

というか、なんで Postfix のデフォルト設定がこれではなくて、subnet になっているのだろう。
正直理解に苦しみますな。

コメント

タイトルとURLをコピーしました