procmailでメールボックスのパーミッションが660になってしまう対処について調べてみた

2013年1月29日 2015年5月14日

ご利用のブラウザは、JavaScript が無効となっていませんか？
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない、検索ができないことがあります。

Dovecotでfchmodのエラーが出た時の対処でエラーの本当の原因は、メールボックスのパーミッションにグループの権限が付与される(660)になってしまうことにあることは書きました。
メールボックスは、初回のメール配信時に自動で作成されます。
そこで、今回は、その原因の中でも多い？と思われるprocmail によるものの対処案を考えてみました。

$ ls -l
-rw-rw---- 1 root   mail 526 2013-01-25 05:02 root
-rw-rw---- 1 hoge   mail 526 2013-01-28 09:39 hoge
-rw-rw---- 1 taro   mail 422 2013-01-28 09:54 taro
-rw-rw---- 1 hanako mail 526 2013-01-28 05:17 hanako

目次
1. メールボックスのパーミッションが660になってしまう理由
履歴

2013年1月29日初版

メールボックスのパーミッションが660になってしまう理由

メールボックスのパーミッションが660になってしまう理由は、いろいろありますが、もっとも簡単でかつ分かりにくいのは、 procmailが起因する場合です。

procmailは、既にメインのメンテナンスが終了しているのですが、各Linuxのディストリビューションで細々とセキュリティメンテが行われています。メール配信ツールとしては、歴史も古く利用がが多いことから、今でも提供され続けているのだと思います。

以下に、procmailが原因である場合の対処について簡単な方法をいくつか紹介したいと思います。

procmailが原因かどうかは、スプールディレクトリのユーザ名のメールボックスファイルを削除して、以下のようにprocmail をテスト用に起動することで簡単に確認できます。

$ echo TEST | procmail -d <username>

これで、自動的にメールスプールに <username> のファイルが作成されます。そのファイルのパーミッションを確認すればOKです。
もちろん、最終的にはMTA(SendmailやPostfixなど)経由でprocmailでメール配信することですが、まず、簡単な確認だけなら上記でも確認できます。

procmailのSGID ビットを落とす方法

まずは、procmailのパーミッションを確認します。
$ ls -l /usr/bin/procmail -rwsr-sr-x 1 root mail 89720 2010-04-26 07:38 /usr/bin/procmail
上記であれば、SGID（Set Group ID）ビットが立っています。この場合、SGIDを落としてやるとデフォルトで所有者のみ読み書き権限だけ(600)となることがあります。
SGIDの落とし方は、以下のとおりです。
$ chmod g-s /usr/bin/procmail $ ls -l /usr/bin/procmail -rwsr-xr-x 1 root mail 89720 2010-04-26 07:38 /usr/bin/procmail
/var/mail の所有グループとprocmailの所有グループが異なるように設定する方法

ほとんどデフォルトの設定では、/var/mail の所有グループとprocmailの所有グループは、同じmailグループになっていることが多いです。これをどちらか一方を別のグループにしてしまうと、メールボックスのパーミッションは、デフォルトで600となります。
$ ls -l /usr/bin/procmail -rwsr-sr-x 1 root mail 89720 2010-04-26 07:38 /usr/bin/procmail $ ls -ld /var/mail/ drwxrwsr-x. 2 root mail 4096 2012-11-21 11:40 /var/mail/
上記ように同じグループ(mail)に所属しています。これを例えば procmail だけを rootのグループへ変更してみてください。
メールボックスのパーミッションは、デフォルトで所有者のみ読み書き権限だけ(600)となることがあります。

procmail のグループを変更するには、/etc/groups を直接編集してもOKです。
$ chown root. /usr/bin/procmail -rwsr-sr-x 1 root mail 89720 2010-04-26 07:38 /usr/bin/procmail $ ls -l /usr/bin/procmail -rwsr-sr-x 1 root root 89720 2010-04-26 07:38 /usr/bin/procmail
ファイルを作成するのは、procmailですから、procmailの所有者、グループを作成したファイルも引き継ごうとします。ここで、所属するグループが作成するファイルのディレクトリが異なるため権限を付加できなくなります。

procmailには、UMASK というものがあります。これを設定することでデフォルトのパーミッションを設定することができるとされていますが、結論から言うと、うまく動作してくれませんでした。

Googleを検索すると、以下のような文面もあるのですが、うまくいきません。

(1)Procmailが新しいスプールファイルに660の許可を与える条件とされる記述です。

Procmail will give new spool files permission of 660 if and only if

a) the spool directory is not owned by the user as which procmail is
   running, and
b) the spool directory is not world writable, or the sgid bit is set
   on the directory, and
c) procmail is setgid to the group of the spool directory (or otherwise
   has a matching egid).

So, you'll need to choose a non-root user (uid != 0) that is not otherwise
 used (you may have to create one for this), and change the spool directory
  to be owned by it.  Then, turn on the sgid bit on the spool directory:

        chown mailspool /var/mail       # or whatever user you use
        chgrp mail /var/mail            # just in case...
        chmod g+s /var/mail             # or chmod o-w /var/mail


(2)procmailがumaskを使用する条件とされる記述です。

That wouldn't work anyway, as the permissions on new mailboxes are set 
when they're 'screened' before procmail opens any rcfiles.

Procmail will only use a umask of 007 when creating mail spools if
1) the spool directory is not owned by the user that procmail is 
   started as or setuid to (i.e., not owned by root), and
2) procmail is setuid to the group of the spool directory, and
3) either the setgid bit is set on the spool directory or the spool 
   is not world writable.

色々と調べましたが、結局、少なくとも 3.22 では、ソースコードからもメールスプールのパミッション変更はできないみたいです。

メールのクライアントツールが機能的に発達したため、今では、procmailの重要性もかなり小さくはなってきました。ただ、今でもメールを条件付で転送させるには非常に便利なツールであることには変わりません。
それでも、メンテナンスの面からもそろそろprocmailから切り替える必要性を感じますね。

(amazon )	インフラエンジニア教本2――システム管理・構築技術解説 (SoftwareDesign別冊)に寄稿しました。「ログを読む技術」の再掲載になります。 8月号を見逃された方は、是非、ご一読くださいませ。
(amazon )	Software Design 8月号に寄稿しました。「ログを読む技術」について寄稿しました。興味のある方は、是非、ご一読くださいませ。
また、執筆や当サイトにおける広告のご依頼などございましたら、お問い合わせページよりご一報ください。

procmailでメールボックスのパーミッションが660になってしまう対処について調べてみた

メールボックスのパーミッションが660になってしまう理由

最近投稿の記事

さくらのVPS 全プランリニューアルです。（石狩(北海道)も選択可）

カテゴリ

Serverman@VPS 完全1ヶ月無料キャンペーン実施中です。

リンク

KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。

KVM採用お名前.com VPS(KVM) 2G プラン初期設定費無料キャンペーン実施です。

procmailでメールボックスのパーミッションが660になってしまう対処について調べてみた

メールボックスのパーミッションが660になってしまう理由

最近投稿の記事

さくらのVPS 全プラン リニューアルです。（石狩(北海道)も選択可）

カテゴリ

Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。

リンク

KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。

さくらのVPS 全プランリニューアルです。（石狩(北海道)も選択可）

Serverman@VPS 完全1ヶ月無料キャンペーン実施中です。

KVM採用お名前.com VPS(KVM) 2G プラン初期設定費無料キャンペーン実施です。