このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

ASIPでメールの送信ができないのですが

発言者:英人
( Date Friday, April 20, 2001 12:05:08 )


初めまして、OCN エコノミーで常時接続しています。DNSサーバーはOCNのサーバーで、MAIL,WEBサーバーはASIP6.3を使っております。現在WEBの公開はできているのですが、メールサーバーが調子悪く、SMTPが認識されていないようです。LAN内では送信も受信もできていますし、ネットワークへ外部からの受信は問題なく受け取れるのですが、ネットワークから外部への送信ができません。ちなみにルーターはNTT ME 128 SO-HOを使用しています。

田中求之 さんからのコメント
( Friday, April 20, 2001 12:19:36 )

>ネットワークから外部への送信ができません。

具体的には、どのようなエラーが起きていますか? どのような症状なのでしょうか?

「送信ができない」といっても、色々なケースが考えられますので、もう少し
具体的な状況を教えてください。

toyo さんからのコメント
( Wednesday, April 25, 2001 15:49:16 )

相乗りですいません。
私の所も外部へのメール送信が出来ません。
外部からの受信は可能なようですが、
外部への送信時には次のようなメッセージが帰ってきます。
「<送信先アドレス>-Recipient Rejected! From domain 
"media-h.co.jp" has delivery restrictions in place.  
No SMTP mail relay is allowed.」
また、サーバー側では
「SMTPサーバーは受取人<送信先アドレス>を受信拒否しました。
SMTPのリレーはホスト"media-h.co.jp"からのメッセージを
許可していません。」
というログが残っています。
知識不足で初歩的な質問かと思いますが、
どなたか助けて頂けないでしょうか?
尚、簡単ですが使用環境は次の通りです。
●server側
 O.S.9.1J
 ASIP6.3.3J
 domain name : media-h.co.jp
●client側
 O.S.9.1J
 ARENA 2.0 PPC

田中求之 さんからのコメント
( Wednesday, April 25, 2001 18:36:02 )

クライアントは、同じネットワーク内のマシンですよね? DNS に
ホスト名が media-h.co.jp のマシンの一つとしてちゃんと登録さ
れているマシンですか?

Client のドメイン名が、メールサーバのドメイン名とは別になっている
というようなことはないですか?

toyo さんからのコメント
( Wednesday, April 25, 2001 20:25:50 )

>クライアントは、同じネットワーク内のマシンですよね? 
>DNS にホスト名が media-h.co.jp のマシンの一つとしてちゃんと登録さ
>れているマシンですか?
ホスト名は付いていません。
ルーターのDHCPによりプライベートなIPは、取得しています。
また、NATによりグローバルアドレスに変換しています。

>Client のドメイン名が、メールサーバのドメイン名とは別になっている
というようなことはないですか?
前述のとおり、ホスト名は設定していません。

こんな答えで良いのでしょうか?
よろしくお願いします。

今泉克美 さんからのコメント
( Wednesday, April 25, 2001 22:24:45 )

恥ずかしながら、めったにない体験談を。

よそものからのメールは、身内にだけ配送するのが
基本です。その条項にひっかったと考えられますので
正しく名前解決が出来ているかが、鍵となるわけですね。
今回の件でも、クライントが、正しく身内のマシンであるかどうか
きちんと設定されているかが、鍵でして、多くの場合
DNSの設定が問題となります。

わたしのところのはずかしい経験ですが(3日も原因不明でした)
ASIPのWEB&FILEサーバが起動されるときに
もちろん、メールサーバも起動されるのですが
回線状況の悪さ(NIC系列の原因で衝突)があって
外部のDNSからの応答がひたすら悪い時期が
いっとき、ありました。ウチでは内部DNSもってないです。
そのときにTOYOさんと同じログの結果になったことがあります。

WEB&FILEサーバが、自分自身をドメイン内だと認識しなかったのです。
ただたんに、IPがふられているだけ。(とほほ)
そのため、メールサーバ自身も、自分が、ドメインのサーバであると
知らないで動き始めていました。
こうなると、クライアントが、正しく自分をなのっていても
サーバにしてみると「おまえ、よそもんだな」という意識しか
もってくれなくて、よそものからのメールが外に出て行くのは
まかりならん、ということになり、
【人間の感覚的には、LAN内クライアント、
サーバ的には外部ヨソモンクライアント】
からの外部への送信が不通になりました。

そのときのログに、TOYOさんの
ログがそっくりです。

もちろん、私のような失敗ではないとは思いますし
別な原因があるとは思うのですが。。。。。

   #このウソくさい症状は
   #メールサーバにて、起動直後の時刻のログをみると
   #わかるはずです。

toyo さんからのコメント
( Thursday, April 26, 2001 16:37:48 )

DNSについては、QuickDNS Proを使用し、domain,mail,web,ftpを
定義していますが、
webやftpの方は手を付けられず、マシンも起動していません。
取りあえずmail serverだけでもと思い無い知恵を絞っています。

ここで質問なんですけど、DNSで定義されているホスト・マシンは
稼働させて置かなければならないのでしょうか?
そのせいで今泉様のような状態になるのでしょうか?
因みに、ログですけど次のようなメッセージが残っています。

 ###設定の確認:IPアドレス---.---.---.227は
 DNS名"mail.media-h.co.jp"に割り当てられました。
 ドメイン名"mail.media-h.co.jp"上のローカル配送の検証確認は進行中
 ###設定の確認:"mail.media-h.co.jp"で受信したすべてのメールは
 ローカルの配送として扱います。
 現在のIPアドレス:---.---.---.227
 現在のDNSサーバーのIPアドレス:---.---.---.226
 現在のメールサーバーのDNS名:mail.media-h.co.jp

田中求之 さんからのコメント
( Thursday, April 26, 2001 16:53:07 )

メールを送ろうとしているマシン(クライアント)は、プライベートアドレスを
割り振ってあるわけですよね?

おそらく、このプライベートアドレスのまま ASIP にアクセスしてしまうのが
問題なんだと思われるのですが、NAT の時って、ローカル(プライベート)と
グローバルの整合性って、どうやって設定するんだったか、そこが曖昧なんで
(なにせ自分では NAT や IP マスカレードは運用していないんで)、きちんと
したお答えができなんですよ。

しあわせのツボ さんからのコメント
( Thursday, April 26, 2001 17:13:37 )

ASIPに「お前はmail.media-h.co.jpであると同時に
media-h.co.jpのメールサーバでもある」と教えてありますか?
「media-h.co.jp(はmail.media-h.co.jpでないので外部)から
外部へのリレーはまかりならん」というメッセージのように見受けます。

ホスト「media-h.co.jp」を作成し、
送信設定の「全てのSMTPメールのリレー先」に
自身のプライベートIPを入力して下さい。

今泉克美 さんからのコメント
( Thursday, April 26, 2001 18:20:52 )

2番目のTOYOさんのログ、、OKです。
あとはホスト一覧のホストの追加ですね。

「<送信先アドレス>-Recipient Rejected! From domain 
"media-h.co.jp" has delivery restrictions in place.  
No SMTP mail relay is allowed.」

最初ののログからは、
クラアントはしっかり
DNSで名前解決されているんだろうと推察されます。

きっとNATはうまくいっているのでしょうね。

toyo さんからのコメント
( Thursday, April 26, 2001 19:34:00 )

まず、しあわせのツボ様に質問です。
「自身のプライベートIP」というのは、mail serverのアドレスでしょうか?
mail serverのTCP/IPには、グローバルIPを手入力にて設定しています。
このグローバルIPを、ホスト"media-h.co.jp"に設定するのでしょうか?
因みに現在は、"mail.media-h.co.jp"が設定されています。

次に、田中様・今泉様のおっしゃるNATですが、多分正常だと思いますが、
どのようにして調べれば良いのでしょうか?(素人な質問ですいません)
因みに、余っているグローバルIPをclient側で設定(TCPIPにて)して
送信しても、前述と同様のメッセージが帰ってきます。

今泉克美 さんからのコメント
( Thursday, April 26, 2001 20:08:49 )

うちはASIP6.21ですが。そのつもりで読み替えてくださいませ。
ASIPメールadiminで「ホスト一覧」が表示できるかと
思います。

しあわせのツボさんのお話を長めに書くと

【ホスト「media-h.co.jp」を作成し、】
というのは、この「ホスト一覧」の上で、メールホスト
「media-h.co.jp」を作ることになろうかと思います。

(既にあるなら、いきなり次にいきます)

【送信設定の「全てのSMTPメールのリレー先」に
自身のプライベートIPを入力して下さい。】
というのは
作成したホストをダブルクリックして
「全てのSMTPメールのリレー先」に
mail.media-h.co.jp
もしくは、そのIPアドレスを設定することになります。

意味するところは、
一連のTOYOさんの最初の投稿のログを見る限りでは
クラアイントは「media-h.co.jp」を名乗っているようですから
このメールホストから来たメールは
「mail.media-h.co.jp」で処理しますよ!と教えてあげることに
なります。

これがうまくいくと
「ホスト一覧」で
「media-h.co.jp」の状況が
「送信待ち」から「ローカル」にかわるはずです。
すなわち、「media-h.co.jp」は「mail.media-h.co.jp」の
身内だよ、よそもんじゃあないよ、、ということになります。

よそものからのメールを外部に送信してはくれません。
これが今の悪い状況ですね?
ローカルからならば、メールを外部に送信できます。

−−−−−−−−−−−−−−−
ご注意:
ホスト一覧をのぞいたTOYOさんが
既にそこに
「media-h.co.jp」があることを発見したとします。
十中八九、そうだと思います。
このときには
その設定を開いて、次のようにしてください。

「このホストからローカルアドレスだけにメールを配送する(SMTPリレーなし)」
のチェックをはずしてください。たぶん、ついているはず。
外部にもメールを配送したいからです。
これ、忘れると痛いです。

なお、「media-h.co.jp」が
既に存在していて、上のチェックがついていなかった場合には
安心できません。
この場合には、これから接触する全てのホストが、
メールを外部に配送できる設定になっているかもしれません。
立派な、ジャンクメール中継基地になってしまい
SPAM屋さんが大喜びします。

対処としては、「ホスト一覧」が出ている状態で
「省略時のホスト」の編集をします。その画面で
「このホストからローカルアドレスだけにメールを配送する(SMTPリレーなし)」
に、さきほどとは逆にチェックをつけます。
これでヨソモンの不正中継を禁止する条件のひとつがそろいます。

なお、「ホスト一覧」に既に存在しているかもしれない
ローカルではない全てのホストは全部消しちゃってください。
いちどでも、SMTPリレーokになると、そのままでは
ずーっと、okのままですから。
次回に接続があったときに
「省略時のホスト」の内容にしたがって
接続を求めてきたホストが自動的に
「ホスト一覧」に登録されます。

toyo さんからのコメント
( Thursday, April 26, 2001 23:00:59 )

まず、今泉様ありがとうございます。
また、田中様、しあわせのツボ様ありがとうございます。

今泉様のおっしゃる「このホストからローカルアドレスだけに
メール配送する」のチェックを外すと送信可能となりました。

言い訳ですけど、メール受信タグの方に入っているので
見落としてしまいました。
しかもインストール直後には存在せず、省略時ホストの設定後、
最初のメール送信によりASIP側で作成されるホストなので
見落としてしまいました。
さらに、サポートに問い合わせたときも、チェックは外さなくて
良いと言われましたもので...。

何れにせよ、res下さった方々には本当に感謝しています。
今後もよろしくお願いします。

P.S.ついでと言っては何ですが、i-modeからの受信は、
  詳細設定の「名前とアドレスが一致しない時は拒否」のチェックを
  外すしか無いのでしょうか?
  サポートに問い合わせたところ、チェックを外すと言われました。
  前記の通り、appleのサポートも、あやふやな気がしますので
  どなたかお知恵を拝借できないでしょうか?

田中求之 さんからのコメント
( Friday, April 27, 2001 00:23:53 )

うまくいって良かったですね。

>ついでと言っては何ですが、i-modeからの受信は、
>詳細設定の「名前とアドレスが一致しない時は拒否」のチェックを
>外すしか無いのでしょうか?

いまのところ、それしか方法がないようです。

今泉克美 さんからのコメント
( Friday, April 27, 2001 09:23:32 )

i-modeからの受信?
たとえば、会社のASIPに、お客様のI-Modeからきたときに
Asipに登録されているメールアカウント宛のメールならば
SMTPはローカル宛の配送とみなして接続を拒否せずに
メールがメールボックスに収容されて、LANからPOPすれば
受け取れると思うのですけれど、、思い間違いかしらん?
SMTPリレーは確かに禁止されるけれど、ローカルあての
メールなら配送してくれそうなものですが。
I-MODEもってないので、誰かに言って我が社のを
チェックしてみたくなりました。
もし、だめだったらどうしよう。
I-MODEからのお客様の御予約メールを受け付ける仕組みを
採用しているもので。とほほ。
そういえばTEST時以外に受信実績ないなー。(ガーン)
汗;

toyo さんからのコメント
( Friday, April 27, 2001 11:46:40 )

田中様、さっそくresありがとうございます。
仕方ないですか...。

US til article : 31108を見るとチェックしなさいと記述されており
そういうものか、と思いチェック掛けていました。
ところが「飲み屋のお姉ちゃんからのメールが届かない」という
うちのボスからのクレームにより発覚した問題なんですけど...(笑)。

一応spam対策のtilとして記述されていますが、これを外す事により
spam等の被害(加害)を被る事は無いのでしょうか?

今泉克美 さんからのコメント
( Friday, April 27, 2001 12:35:17 )

SPAM中継を許すか許さないかなのであります。
1:なにもしない
2:中継を許し、記録しておくだけにして、人間があとで対処(手後れ)
3:中継を拒否する

この2番の「事後対処」はとてもつらいものがあります。(実感)
会社組織としての公的な責任がありますので
SPAM中継をしてはいけないと信じています。

で、実験中です。(i−modeの件)

だめならASIP捨てるかも。

toyo さんからのコメント
( Friday, April 27, 2001 13:47:39 )

考え違いじゃなければいいのですが、
基本的には、
●ローカルの差出人アドレスを必要とする
●spamの受信拒否に標準(特定)サーバーを使用
●ホストからローカルアドレスだけにメール配送(私が躓いた奴)
で防げるのかなと思っています。

「名前とアドレスが一致しない時は拒否」については、
どういう悪用方法があるのでしょうか?
成りすましっ奴でしょうか?

今泉克美 さんからのコメント
( Friday, April 27, 2001 17:17:34 )

TOYO様へのレス。

SPAM対策は大きくわけて二つあります。
1.SPAMを受け取りたくない!
2.SPAM配送に加担したくない!

このうち、1番はSPAMを受け取ったところで
損をするのは、自分のサーバ配下のLanクライアント
ぐらいでしょうから、気をつければいいだけです。
悪者Aが、TOYOさんの身内にメールを送ってよこすだけです。

2番は、放置すると社会的制裁を受ける可能性があります。
悪者Aが、TOYOさんのサーバを中継して、不特定多数の
知らない人々に社会的に見て問題のメールを配送します。
ねずみ講まがいや、悪質な違法商売のサイト紹介、エログロなど
UNDERな世界の勧誘、etc。
これらの悪質なメールを悪者Aが、直接、被害者に送信しない
理由はどこにあるでしょうか?
ひとつには、何万通ものメールを出すと、自分の金がかかる。
ひとつには、何万通ものメールを出すと、サーバが大変。とまる。
ひとつには、これが最大の動機だろうけれど、悪質メールを出した
送り元のアドレスを隠すことが比較的容易である。つまり悪事を
働いてもつかまらない。
したがって、メールをもらった人々は、被害にあうと、
メールの発信元であろうと考えられるTOYOさんのサーバを
まず簡単にしらべ、訴えるでしょうね。
「損をしたのは変なサーバ運営しているせいだ、弁償しろ」
この訴えはヘタをすると国際的な問題になります。グローバル
ですからね、メールは。裁判で勝てる可能性は少ないですよ。
悪質なメールを中継(リレー)しているならば、それは
管理責任を放棄しているわけですから、業務上の過失でしょう?
話を戻しますが、不正中継の温床になってしまうと骨まで
しゃぶられます。ありとあらゆる悪者が利用しにきます。
地下世界のブラックリストに「ちょろいサーバ」として
有名になるからです。そうすると、サーバはねんがらねんじゅう
悪質メールを中継するために働きます。サーバはへたをすると
とまってしまうかもしれませんが、まだ、そのほうが
幸せかもしれません。運用停止ぐらいでえすめば。
とても恐いんですよ。
もうひとつ手段がありました。TOYOさんの会社に恨みをもって
いる人間が、会社のメールをよそおって、あきらかなウソの
メールを中継して送り出すことです。
「今なら、オムレツセットがなんと10円!このメールを
印刷して持っていきましょう!電話***−****」
こうなると、電話はパニックですし、本気にした人間は
あなたの会社におしよせますよ。お断りの訂正連絡だけで
大損します。
(のみやのネーチャンぐらいだったら
I−MODEあきらめてもらったほうが
いいかもしれません。)

【対策】
1.SPAMを受け取りたくない!
●spamの受信拒否に標準(特定)サーバーを使用
ただし、これは常駐では使わないほうがいいです。
サーバは。よほど困ったときだけにしてください。
SPAMはだまって受け取ってそのまま捨てるのが
一番です。お断りの返信もしてはだめ。

2.SPAM配送に加担したくない!
●ローカルの差出人アドレスを必要とする
●ホストからローカルアドレスだけにメール配送

−−−−−−−−−−−−−−−−−−−
>「名前とアドレスが一致しない時は拒否」については、
>どういう悪用方法があるのでしょうか?
>成りすましっ奴でしょうか?

誰でも知っているアドレス、すなわち
postmaster@toyosannti.com
または
名刺や印刷物、HPなどでTOYOさんのメールアドレスを
公開しているとしましょう。
簡単に、発信人をこのメールアドレスにできます。
これで●ローカルの差出人アドレスを必要とする
はパスしちゃいました。
悪者Aは既にローカルなメールアカントを使っていますので
(TOYOさんはローカルなホストは外部への送信を許すように
設定しましたね?)
●ホストからローカルアドレスだけにメール配送
はパスしちゃいました。
どうどうと、SPAMがまかりとおりました。

私のうちのASIPは、昔、この有名な手筋で
不正中継を大規模に行われましたが。。。。
ですから、細かい話をいっぱい書き込んで
悪者達への恨みをはらしているわけです(笑)

「名前とアドレスが一致しない時は拒否」
は、アドレスからみて、到底、外部に違いないのに
toyo@yourdomain.com
を名乗ってきたら、拒否するよ、という
お守りです。
これを設定しなければ、何にも意味がありませんです。

さぁ、この書き込みを上司に見せて説得しましょう。

Weasel さんからのコメント
( Friday, April 27, 2001 17:36:08 )

> ところが「飲み屋のお姉ちゃんからのメールが届かない」という
> うちのボスからのクレームにより発覚した問題なんですけど...(笑)。

「そんなメール、ほっとけよ」と言えないのが、サラリーマンの
悲しい宿命、、、気持ちは痛い程よくわかります。

toyo さんからのコメント
( Friday, April 27, 2001 17:59:33 )

なるほど、言われてみれば納得です。
ほんと素人で申し訳ありません。

とりあえずASIPで継なぎながら、
EIMSかwebSTAR4を購入せざるを得ませんね。
また出費がかさみます。

ところでEIMSって英語版ですよね。
はたして素人な私でも管理できるんでしょうか?
やらざるを得ないんでしょうけど...。

何れにせよres下さった方々に感謝します。
殊に今泉様は丁寧な解説ありがとうございました。
今後ともよろしくお願いします。

ろばたろう さんからのコメント
( Saturday, April 28, 2001 02:40:10 )

>ところでEIMSって英語版ですよね。
>はたして素人な私でも管理できるんでしょうか?

全然問題がありません。ユーザー設定、中継設定など最低限の必須設定は
とてもわかりやすいGUIです。

>どうどうと、SPAMがまかりとおりました。
私もこの実験を行って使用をやめました。(実害はなかったですが)

EIMSは多くの不正リレーをブロックしてくれています。
ORBSの「テスト」もよくお越しになられますがブロック(?)しています。
もちろんiMODEのメールの送受信も問題ありません。

しかし別スレッドでも書きましたが
直叩きでウイルス添付攻撃があります。LAN内にはWINDOWSユーザーも
います。そのウイルスがメーラーのアドレス帳を使って...となると
それはSPAMをしたこともなります。攻撃は多角的です。

今日は勤務先の業者にメールを送ったところ
Eudora Internet Mail Server 3.0とログに出ました。
EIMSからEIMSの配送を初めて体験しました。(嬉しかった!)


>「そんなメール、ほっとけよ」と言えないのが、サラリーマンの
ログを見ているとそこに人間(利用者)が見えてきます。(笑)


今泉克美 さんからのコメント
( Tuesday, May 01, 2001 12:43:27 )

我が社は、飲み屋のねーちゃんからの
情報はとっても必要なのですが
i-modeから受信できないことがわかりました。(がっくし)

DNSで名前解決する前に
hostsファイルを優先的に
見てくれるASIPなのかどうか実験しようとしましたが
玉砕しました。

hostsファイルで調べる→DNSで調べる

こういう順番なのだと思っていましたが
やりかたが悪いのかダメですね。

っていうか、名前解決だけではどうしようもないのかも
i-mode。

−−−−−−−−−−−−−

とうとうASIPを捨てる決心をしました。
ずーっと胎動はしていたのですが
LINUX系のSENDMAILにCHANGEする作戦で
見積もりを取り始めました。
ふぅ。


たまちゃん さんからのコメント
( Tuesday, May 01, 2001 14:24:36 )

>LINUX系のSENDMAILにCHANGE

なんでまた Sendmail なのですか? いえいえお好きなものを動か
してください。(^_^;;

NetBSD や VineLinux では Postfix がデフォルトの MTA になって
います。

→  Postfix のぺーじ

今泉克美 さんからのコメント
( Tuesday, May 01, 2001 17:54:38 )

たまちゃん様、、、
>なんでまた Sendmail なのですか? 

ほんとうに。POSTFIXが良さそう、EIMSもよさそう、
Sendmailちょっといやそう、という「感じ」なのですが
サーバ管理全体をアウトソーシングするという
会社の方針が決まりまして、色々なしがらみで。

WEBサーバ、メールサーバを外に出します。(さびし)

サーバからはフレッツASDLで社内に接続。
モデムはNTTから借りたほうが、
壊れたときに無償なのでOK。
(買うと、4年で元とれるんですが、室内は配線は
レンタルだったりする(NTT西日本)し
こわれると自費で修理、出張費とられる、、いいことなし)

スプリッタは不要ですが
ブロードバンドルータの選定に困ってます。
スタティックなNATが切れて
ある程度のフィルタリングができないと。
予算は2万円。

それとは別にFIREWALLマシンを従来と同じ物を使用。

LANは丸裸にしませんが、IPアドレス固定を
あえて選んだので、フレッツと言えども。

あ、このスレッドと関係なさそうですが
ASIPをあきらめましたよ、、という事例です。
ということで。

サーバとして使っていた
G3は、セールスプロモーション部隊の
デザインチームにわたりそう。

MAC上でサーバをしたかったのですが
ちょっと他の運用にさしつかえるという
事情がありました。さびし。

もうすぐここにもきても
書き込みしなくなりますね。