14 件のコメントがあります。

スパムブロック機能により、投稿が失敗することがあります。
うまくいかない場合は、一行目だけをまず投稿し、そのあと編集から残りを追記してみてください。

1 - 14 / 14

Security Update後送信できない

From : chitoa @ 2008-10-12 01:03:26 編集 引用

お世話になっています。つい、今しがたアップデートでiTuneの8とセキュリティ関係のパッチ?をインストールしたのですが、そのせいか、メールサーバーとして送信できなくなりました。どのあたりから点検すればよいでしょうか?よろしくお願いいたします。postfixでpopを使っています。

Oct 12 01:17:44 xxxxxxx ipop3d[978]: pop3 service init from 192.168.0.xxx
Oct 12 01:17:44 xxxxxxx ipop3d[978]: Failed to acquire credentials for pop@macbook.xxxxx
Oct 12 01:17:44 xxxxxxx ipop3d[978]: GSSAPI mechanism status: Configuration file does not specify default realm
Oct 12 01:17:44 xxxxxxx ipop3d[978]: AUTHENTICATE GSSAPI failure

どうやら受信もできないようです。受信動作だけは正常に動きますが、ほかのアドレスから
macをメールサーバーにしているアドレスに送信しても、

原因 : Remote SMTP server has rejected address
診断コード : smtp;550 sorry, mail to that recipient is not accepted (#5.7.1)
リモートシステム : dns;mailxxxx.serverxxx.net とエラーで戻ってきます。

MX には自分のドメイン @hogehoge.com
と レジストラー(godaddy.com)が提供してくれるサーバーを指定しています。
上記、リモートシステムのdns; 以下に書いてあるサーバーです。

Re: Security Update後送信できない

From : namahage @ 2008-10-12 11:32:26 編集 引用

どうもこんにちは。

今回のアップデートはpostfixに手が加えられているようです。

Postfix

CVE-ID: CVE-2008-3646

Available for: Mac OS X v10.5.5

Impact: A remote attacker may be able to send mail directly to local users

Description: An issue exists in the Postfix configuration files. For a period of one minute after a local command-line tool sends mail, postfix is accessible from the network. During this time, a remote entity who could connect to the SMTP port may send mail to local users and otherwise use the SMTP protocol. This issue does not cause the system to be an open mail relay. This issue is addressed by modifying the Postfix configuration to prevent SMTP connections from remote machines. This issue does not affect systems prior to Mac OS X v10.5 and does not affect Mac OS X Server. Credit to Pelle Johansson for reporting this issue.

http://support.apple.com/kb/HT3216

ざっと読む限り、ローカルユーザーがコマンドラインを利用したメール送信を行ったあとの一分間、SMTPがネットワーク上から利用できる状態になっており、この時間を利用して悪意あるユーザーがローカルユーザーに直接メールを送りつけることができる問題を修正したということのようです。リレーなどには悪用できないとあります。利用環境にもよりますが、インパクト的には小さめの問題のようです。

あとこれらのサービスに関係ありそうなところでlaunchdの修正ぐらいでしょうか。
このアップデートが直接の原因になるかどうかは、まだ私のほうもよくわかっていません。Mac OS Xのクライアント版には、もともとPOPは含まれていないですから、今回のアップデートでPOPになにか手を加えられるということは考えにくいと思います。となるとPostfix側の設定によりそうな気がします。

なんだか遠いどこかの記憶で、同じようなエラーにあったような気がするのですが、どうにも思い出せません。なんというかリレー関係の設定に問題があるときに起きていたような気がします。

とりあえずPOPもSMTPもそのサービスにアクセスする部分までは正しく動いているようですからちょっとした設定変更で何か元に戻せるような気がします。

まずローカル環境内のユーザー間で送受信がうまくいくかテストすることから始めてみるというのはどうでしょうか。

とりあえずサーバーにしたMacに腰を据えて、ターミナルで、

ローカルユーザーからローカルユーザーへの送信がうまくいくか
ローカルユーザーからローカルユーザーへのの受信がうまくいくか

さらに、
ローカルユーザーから外部のアドレスへの送信がうまくいくか
(mail namahage@mydomain.comといった具合の送信)

を試してみたいところです。
この操作でPostfixの内部側からの処理の具合がわかると思います。

何となくなのですが、SMTPのエラーの雰囲気からすると、リモート側とサーバー側がうまくリレーできていないように感じます。最終的にユーザー認証はMacサーバーで行われるわけですが、そこではなくリモート側で行おうとしているような...すみません、ちょっとわからないです。

まずローカルからの送信ができるかどうかが気になります。
一つ試してみてください。

Re: Security Update後送信できない

From : chitoa @ 2008-10-12 13:12:28 編集 引用

namahageさん、ありがとうございます。今回はnamahageさんからの情報をこれまで以上にこころからお待ちしていました。さっそく、貴重な情報および情報源をお示しくださり、感謝いたします。

ローカルからの「送信は」、内向き外向きともに問題なく「ターミナルから」はできました。
受信は駄目です。送信も「メーラーからは」できません。ターミナルからとメーラー経由で動作に違い生じることを久しぶりに思い起こしました。

(ちなみにメーラーはMailではありません。今回の問題とは関係ないと思いますが、VMWare Fusionの仮想マシンとして使っているWindows XP上の秀丸メールです。念のためにお知らせします。)※そういえば、このような使い方をする理由のひとつにmacのMailで、自宅サーバーのメールアドレスは、アカウントの一つとして登録できないのです。smtpさーばーが見つからないとか、パスワードがちがうとか、きちんと思い出せませんが、とにかく自宅サーバー上のアドレスは登録できませんでした。

最終的にユーザー認証はMacサーバーで行われるわけですが、そこではなくリモート側で行おうとしているような

はい、エラーメッセージを読む限りそうだと思います。 MX の「@マイドメイン」という記述が無視され始めたような気がします。

さて、次はどこを点検すればよいでしょうか?修復可能だといいのですが、、、、。
こんなとき、複数のメーリングリストの管理などしていると本当に大変です。幸いapacheには影響が内容で、ホームページは機能しています。

よろしくお願いします。

Re: Security Update後送信できない

From : chitoa @ 2008-10-12 14:01:43 編集 引用

受信は駄目です。

訂正です。ローカル内の送受信はできます。受信が駄目なのは外部から投げたメールです。
書き損じました。

Re: Security Update後送信できない

From : namahage @ 2008-10-12 21:44:18 編集 引用

なかなかむずかしそうな状況ですね。

Postfixの問題なのかDNSの問題なのかに分かれてくると思われます。
外部への送信ができるということ、外側からの送信と受信ができないということから考えると、とりあえずDNSを疑いたいところです。

まず、DNSをチェックしていくとします。
goddadyのホスティングサービスを契約しているということであっていますでしょうか?
このサービスによってhogehoge.comを取得しているということですよね。
となると、サーバーまでの流れは以下のようなイメージが書き上げられると思います。

外部のマシン<--インターネット-->goddadyサービス<--契約ホストネーム-->自宅サーバー

外部のマシンからhogehoge.comにアクセスしようとした場合行われる流れは、

1.たいていはプロバイダのDNSに「えっと、hogehoge.comを探しているんだけど、どこ?」と尋ねます。
2.プロバイダのDNSはhogehoge.comを探し、結果、goddady.comさんの管理下にあることを知ります。
3.そしてgoddadyさんの指示で、「hogehoge.comならIPアドレスxxx.xxx.xxx.xxxのところになるよ」、そんななイメージで答えます。
4.その情報を元に、外部のマシンは、hogehoge.comとして自宅サーバーにたどり着きます。

こういうイメージとして整理してみますと、いま起きていることは、3番以下が機能していないのではないかということです。

hogehoge.com = IPアドレスxxx.xxx.xxx.xxx

が成立していないというような。
ただこの場合だと、hogehoge.comで、自宅サーバーへのWebサービスもつながらないことになるので、ちょっと妙なことになるかもしれません。

一度ネットワークユーティリティでLookupを実行してみましょうか。
「ルックアップするインターネットアドレス」欄にhogehoge.comを入力して、Lookupの結果を表示させます。
出力されたhogehoge.comに該当するIPアドレスが、自宅サーバー(またはルーター)のIPアドレスと一致するとすれば、上述の3番以下もちゃんと機能していると考えて良さそうです。またMXレコードの記述が出力されるかもチェックします。記述がなかったりする場合、MXレコードの動作になにかあるという可能性が出てきます。

あと、MXレコードの更新は時間がかかるものですが、以前から設定を変えていないということですと、これは問題ではないと考えられます。

次にPostfixに原因がある可能性のほうです。
外部のマシンから、hogehoge.com宛にメールを送信すると、メーラーにはどんなメッセージが出ますか?
Undeliで帰ってきますか(そのrejectホストはどこですか)?また外部のマシンが利用しているSMTPサーバーはhogehoge.comですか?それともプロバイダのSMTPですか?

Re: Security Update後送信できない

From : chitoa @ 2008-10-12 22:29:18 編集 引用

まず、DNSをチェックしていくとします。
goddadyのホスティングサービスを契約しているということであっていますでしょうか?
このサービスによってhogehoge.comを取得しているということですよね。

内向きのDNSは、Macサーバーで作っていますが、外向きサーバーはgodaddyのTotal DNS controlというサービスで、必要情報を書き込んでいます。

今、自宅以外のISPを使っていますが、そこでdig MXをしてみると、ちゃんと我がドメイン
hogehoge.comは認識されており、MXも記述通り認識されていることが確認できました。

次にPostfixに原因がある可能性のほうです。
外部のマシンから、hogehoge.com宛にメールを送信すると、メーラーにはどんなメッセージが出ますか?
Undeliで帰ってきますか(そのrejectホストはどこですか)?

Final-Recipient: rfc822; maillog@hogehoge.com
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; host godaddy提供のサーバー名.net[xxx.xxx.166.11]
said: 550 sorry, mail to that recipient is not accepted (#5.7.1) (in reply
to RCPT TO command)

また外部のマシンが利用しているSMTPサーバーはhogehoge.comですか?それともプロバイダのSMTPですか?

プロバイダのSMTPです。

内部からメーラーで送信を試みたときは、hogehoge.comを探しに行きますが、Macサーバーに接続完了した後、二進も三進も動かなくなる、という症状になります。ハングアップはしません。じっとそこから進まない状態です。

Re: Security Update後送信できない

From : namahage @ 2008-10-13 09:15:27 編集 引用

どうもこんにちは。
ここまでの情報から何となくわかってきますのは、DNSの心配はなさそうということですね。

外部から自宅サーバー向けに送信をしたとき、godaddyのSMTPが自宅サーバーのSMTPに対して接続要求をしているログが残っていそうな気がします。そういうのは見あたらないですか?見あたればMXの記述はきっと問題なく機能していると考えてよいと思います。

残るはPostfixの設定になってくると思います。
ここで路線を変えてみましょう。

とりあえず、私の手元にあるOS環境がインストール後の「素」にもっとも近い一台にSecurity Update 2008-007を適用して、Postfix周りのファイル類についてアップデート前後でどういった差があるかを比較してみました。

その結果、
/usr/sbin以下にあるPostfix実行ファイル類11個が2007/9/25 11:05から2008/9/19 15:05にアップデート

/etc/postfix以下にあるPostfix設定ファイル類18個のうちmain.cfとmain.cf.defaultの2個がアップデート(main.cfはアップデート時の日時、main.cf.defaultは2008/9/19 15:05となっています)

されていることがわかりました。

main.cfがインストールした日時で修正を受けていることから、main.cfの内容について新旧の比較を行いました。

その結果、main.cf内の最終行に

inet_interfaces = localhost

の記述が追記されていることがわかりました。

inet_interfacesパラメーターはPostfixが外部のホストに対しても待ち受けをするかどうかの動作を決めるものですので、ここがlocalhostになっている場合、外部からのSMTPに対してはrejectしてしまうと思います。

Security Update 2008-007を適用する前にどういった設定をinet_interfacesに与えていたかわかれば、アップデート以前の状態に戻すことが可能だと思います。

とりあえずよくわからなければ

inet_interfaces = all

で試してみるというはどうでしょうか。

ひょっとしたら、以前までの設定はどこかにバックアップされているか、アップデートの際、#でコメントアウトされているかもしれませんね。

Re: Security Update後送信できない

From : chitoa @ 2008-10-13 18:44:58 編集 引用

namahageさん、感動しています。本当にありがとうございます。

とりあえずよくわからなければ
inet_interfaces = all

これで動くようになりました!!!!

とりあえず、私のドメイン利用者に復旧の連絡をしたところです。
今回は、本当に参りました。本当に感謝の気持ちでいっぱいです。

inet_interfaces = all

の記述はこのままでOKだと思うのですが、気をつけるべき点があれば
追加でご教示願います。私も今から、もう一度main.cfを
見比べてみようと思います。

重ねて御礼申し上げます。本当に助かりました。

Re: Security Update後送信できない

From : namahage @ 2008-10-15 20:00:39 編集 引用

どうもこんにちは。

無事動くようになりましたか。いやはや、ほっとしました。

もっと早くにmain.cfを見るべきであったかなと、ちょっと悔やんでおります。ただおかげさまで、今回のUpdateではinet_interfaces = allに手が加わるのだと言うことがわかって結果的には良かったと思います。おそらく他にも同様の状態に落ちている方がいるのではないかと思いますので、このフォーラムでの内容は生きてくるのではないかと思います。

inet_interfacesの設定は、ホストやドメインなどを指定したり、より細かい設定も考えられますが、とりあえずはallのままで問題ないと思います。

Re: Security Update後送信できない

From : chitoa @ 2008-12-29 08:11:37 編集 引用

namahageさん、

今年も終わりますね。1年間お世話になりました。本当に助かっています。
一番最近のアップデートもinet_interfaces が localhostに書き換えられます。

もちろん今回のアップデートが来たときは、しばらく様子をみました。
しかし、昨日までにはここのサイトでも特に話題になっていませんでしたし、
(本当はもっと他のサイトも見るべきですが、ついつい、、、)
いじられるとしたらinet_interfaces = allに戻せばいい、さらにはTime Machine
もある、、と、「えいや」でアップデートしてしまいました。

すると案の定、動かない。 main.cfをチェックしたらやはりlocalになっていたので、
allに変更しました。ところが、メールサーバー機能が駄目なまま、、、、。
焦りました。

初めてtime machineの復元を試しましたが、どうも要領を得ません。
アップデート直前の時間帯を復元したいのですが、状況が変わりません。
なんどかやっているうちにタイムマシンの「復元」ボタンが反応しなくなりました。
それでまた「えいや」と再起動しました。そしたら、なんとかメールサーバー機能が
復活し、胸を撫で下ろしているところです。こんなふうに「えいや」としびれを切らして
大きな操作をやってしまう人間は、サーバー管理などすべきでないのかもしれません。
反省です。

今思えば、main.cfの変更後は、newaliasesに類似するような操作が必要だったのか?
それともタイムマシンは、そのご再起動しないと変更が反映されないのか?など考えます。
いずれにしても再起動して、main.cfの変更が生きたのか?という感じです。

アップデートは悩ましいですね。何度も催促がやってくるので、無視し続けるのも
何か腰がおちつきません。main.cfのバックアップはとっているので、そこだけ
いじられるなら対応は出来そうですが、今後のアップデートで他のところもいじられると
また困ってしまいそうです。

と、愚痴のような報告になってしまいました。
来年もよろしくお願いします。

Re: Security Update後送信できない

From : chitoa @ 2008-12-29 11:19:23 編集 引用

main.cfの変更後は、newaliasesに類似するような操作が必要だったのか?

そうか、postfixの再起動が必要でした。
焦ったとは言え、お恥ずかしい限りです。

ということは、TimeMachineで「復元」を試した影響があるのか、ないのかは、
わからず終いです。実験用のマシンと、十分な時間がないと、バックアップの
検証は、大切だけれどもなかなか腰があがりません。

Re: Security Update後送信できない

From : namahage @ 2009-01-01 01:10:11 編集 引用

どうも明けましておめでとうございます。

うっかりMacBookのACアダプタを忘れて出掛けてしまい、ただの板として眺めながら過ごしています。

Postfixのほう、私もうっかりやります。
あれ?なんでうごかないんだ?なんて。
おかしいなと思ったら、とりあえずsudo postfix reloadですね。

main.cfに修正があったのだとすると今回もはまっている人が結構いそうに思います。
おそらくMac OS X10.5.6 ComboアップデータかSecurity Update 2008-008あたりでしょうか。メインのサーバーにはまだアップデートをかけていなかったので、気がつかずにいました。

インストール前に更新の詳細を確認してから実行するかどうかを決めているのですが、Postfixについての修正記述がなかったので、気にせず実行してしまうところでした。chitoaさんの情報をもとにどこかで確認してみようと思います。

わたしはTime MachineとCarbon Copy Cloner v3の二つでバックアップをとっています。
Time Machineだけだとちょっと不安があるので、やはり実績のあるCarbon Copy Clonerが外せません。Time Machineはおもにファイルの更新に対応したバックアップを、Carbon Copy Clonerにはクローン化、Bootableバックアップ、そんな位置づけですね。

ほんとうはこんな面倒なことをしなくてもスムーズに元に戻したり出来るのが一番なんですけれども。Time Machineの今後に期待しているところです。

それでは今年も一つよろしくお願いいたします。

(改題)クローン化成功

From : chitoa @ 2009-01-03 21:54:39 編集 引用

わたしはTime MachineとCarbon Copy Cloner v3の二つでバックアップをとっています。(中略)Carbon Copy Clonerにはクローン化、Bootableバックアップ、そんな位置づけですね。

これまでも確か何度かCarbon Copy Clonerを紹介して頂いていたと思いますが、
なかなか腰が上がらないでいました。今回ようやくチャレンジしてみました。

結果からいうと、とても満足できるフリーウエアのようで喜んでいます。
ありがたいソフトをご紹介いただき、またしても感謝いたします。
http://www.bombich.com/software/ccc.html

バックアップ対象ディスクとして、放置していたWindows用の外付けHDDを有効活用
したかったのですが、今回の作業の副産物としてNTFSをMacで認識させるフリーソフトも
見つけ、プラスアルファの得をした感じです。

もともとWindows用にFAT32でフォーマットされていたバッファロー製のUSB外付け
HDDを、(Mac上の)WindowsXPでNTFSにファーマットしなおして、それをMacで
NTFSのまま認識させることができました。おもしろいですね。最終的にそのHDDは
MacOS拡張形式でフォーマットしたのですが、いったんFAT32なりNTFS形式で
フォーマットしないと、MacOSがディスクの存在自体を認識してくれませんでした。
いずれにせよ、今回の手法を使えば、Mac対応と書かれていないハードディスクでも
MacOSで使えそうなので、うれしい限りです。

で、話を戻すと、CCCのClone化は、postfixの部分も(おそらく本当に根こそぎ)
コピーしてくれるようです。本当に助かります。実は一年以上?前にact2さんの、
「パーソナルバックアップx4」を購入していたのですが、
結局まだパッケージのビニールも破らないままになっています。^^;)

やっとハードディスクが急に飛んでしまったときの備えができたのではないか、
とほっとしています。

Re: Security Update後送信できない

From : namahage @ 2009-01-06 20:46:05 編集 引用

どうもこんにちは。

Mac OS XはFAT32は標準で読めますけども、NTFSはダメなんですよね。
Boot CampはうっかりNTFSフォーマットにしてしまいそうでしたが、利便性を考えると、FAT32に落ち着きました。

漢字TalkやMac OS 8,9ぐらいの時代は、ハードディスクがMac対応であるかどうかはかなり重要な選択事項でしたが、現在のMac OS XではほとんどMac対応であるかどうかは気にしなくてもよいと思います。

インターフェースが何であるか、あとはMac側の問題で、8GBの壁、Big Drive対応かなどですね。
私は、普段、バルク品のハードディスクを購入して使用しています。最近は日立かSeagate製が多いですね。

パッチを当てて、無理矢理サポートドライブの縛りから解き放っていたあの頃から比べれば、なんとも自由で財布に優しい時代になったと思います。

なにしろ1TBが1万円を切ってますし。

Post Your Comment


*は入力必須です。E-Mailは公開されません。