OP25BとSubmission587

OP25B対策には以下の2種類がある

(1)実験サーバSMTPサーバ（SMTP構内）から外部へ送信する場合
(2)外部（たとえばPlala構内）から実験サーバSMTPサーバ（SMTP構内）に接続(メールを受けとるという意味では受信)する場合

(1)に対する対策

/etc/postfix/main.cfに書きを追加

relayhost = [smtp.poem.ocn.ne.jp]

これは，外部へ送信する場合，OCNのメールサーバを中継する設定である。

(2)に対する対策

①cyrus-saslのインストール

# /usr/sbin/postconf -a
cyrus
dovecot

# sudo rpm -qa | grep cyrus-sasl
cyrus-sasl-2.1.22-7.el5_8.1
cyrus-sasl-lib-2.1.22-7.el5_8.1
cyrus-sasl-plain-2.1.22-7.el5_8.1

# sudo yum -y install cyrus-sasl-md5
# sudo yum -y install cyrus-sasl-plain

# sudo rpm -qa | grep cyrus-sasl
cyrus-sasl-2.1.22-7.el5_8.1
cyrus-sasl-lib-2.1.22-7.el5_8.1
cyrus-sasl-plain-2.1.22-7.el5_8.1
cyrus-sasl-md5-2.1.22-7.el5_8.1

②パスワードの設定

# sudo /usr/sbin/saslpasswd2 -c -u some.domain.jp userAccount

# /usr/sbin/sasldblistusers2
userAccount@some.domain.jp: userPassword

※削除する場合
# sudo /usr/sbin/saslpasswd2 -d -u some.domai.jp userAccount

③データベースのオーナーをpostfixに変更

# sudo chown postfix /etc/sasldb2

④Postfixの設定（SMTP AUTHの設定）

$ sudo vim /etc/postfix/main.cf
# SMTP AUTH
smtpd_sasl_auth_enable=yes
smtpd_sasl_local_domain=$mydomain
smtpd_recipient_restrictions=
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unauth_destination
smtpd_sasl_security_options=noanonymous,noplaintext

⑤確認テスト

# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 kumw-hinfo.ddo.jp ESMTP Postfix
EHLO localhost
250-kumw-hinfo.ddo.jp
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH DIGEST-MD5 CRAM-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

【参考】

OP25B対策(Outbound Port 25 Blocking対策)
http://www.aconus.com/~oyaji/mail2/op25b.htm

⑥Submission587の設定

/etc/postfix/master.cf

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
#submission inet n       -       n       -       -       smtpd
#  -o smtpd_enforce_tls=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

　　↓

submission inet n      -       n       -       -       smtpd
  -o smtpd_etrn_restrictions=reject
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

⑦ファイアウォールの設定（port587に穴を開ける）

/etc/sysconfig/iptables
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 587 -j ACCEPT

/etc/postfix/main.cf
mynetworks = xxx.xxx.xxx.xxx/32, 127.0.0.0/8, xxx.xxx.xxx.xxx/32

【参考】
Postfix + Cyrus SASL で SMTP AUTH を設定した
http://www.1x1.jp/blog/2012/10/postfix_and_cyrus_sasl2_stmp_auth.html

OP25B

プロバイダが行っているスパム対策：OP25Bのために，smtpサーバがメールを送信できないという問題がある。その対策として，postfixの設定で，relayhostにプロバイダのメールサーバを設定するという方法がある。詳細は「餅ちゃんの備忘録」を参照。
具体的には，/etc/postfix/main.cfに以下の一文を設定するだけ。

relayhost = [smtp.poem.ocn.ne.jp]

Webサーバ構築

Apache+PHPをインストールする

#yum install httpd php

Webコンテンツを修正できるグループを作成してメンバを登録する

# groupadd www
# usermod -G www user
# chown -R root:www /var/www
# chmod -R g+w /var/www

公開鍵認証

http://www.websec-room.com/2014/01/18/1647
chmod 700 ~/.sshを忘れないこと！
/etc/ssh/sshd_confでPubkeyAuthentication yesのコメントを外すことを忘れないこと

WinSCPのためのPuTTY用の秘密鍵の作成

http://www.websec-room.com/2014/01/18/1647
WinSCPを使って、imagesフォルダとstyle.cssをアップロード