postfix で postfix-policyd-spf-python ( or postfix-policyd-spf-perl ) を使ってSPF認証する(Debian/Ubuntu編)

        IN   MX 10  mail.example.com.
        IN   TXT    "v=spf1 mx ~all"
mail    IN   A      11.22.33.44

上記は、メールに関する事項のみを記載しています。（本当は、それ以外にもウェブサイト名などの設定もありますがここでは省略しています）

設定している内容を簡単に解説しておきます。

• １行目 : ドメインのメール受信先(MX)ホスト設定
• ２行目 : ドメインのSPF設定
  

  ここでの設定内容は、以下のような意味になります。
  

  v=spf1

  spf の宣言を指定しています。
  

  mx

  このドメインのメールアドレスは、ここでmxレコードに指定しているホストから送信される・・という宣言です。
  

  ~all

  先の指定内容（ここでは、mx）は、ほぼ全部・・・という意味になります。
  

  -all

  このように指定すると、完全全部・・・という意味になりますから、もし、mxレコードに指定しているホスト以外からメールを送信した場合、SPF認証結果Failと認識されスパムメールと判断、破棄されることが考えられます。
  まだ、SPFは完全に対応しているわけではないので、一般的には、~all を指定しておくことが無難とされています。
  
• ３行目 : STMP(Sendmail)サーバーのIPアドレス設定

SPFのチェック結果は、以下のようになります。

Debian(Ubuntu) には、パッケージがありますから、単純にインストールすればOKです。

• postfix-policyd-spf-python の場合
  

  $ apt-get install postfix-policyd-spf-python パッケージリストを読み込んでいます... 完了 ... postfix-policyd-spf-python ... を設定しています ... $

• postfix-policyd-spf-perl の場合
  postfix-policyd-spf-perl の場合は、以下のようになります。
  

  $ apt-get install postfix-policyd-spf-perl パッケージリストを読み込んでいます... 完了 ... postfix-policyd-spf-perl ... を設定しています ... $

postfix-policyd-spf-python ( or postfix-policyd-spf-perl ) を Postfixで利用するためには、master.cf , main.cf をそれぞれ編集する必要があります。

master.cf を編集する。

/etc/postfix/master.cf の設定を行います。

• 設定例
  
  • postfix-policyd-spf-python の場合
    

    $ vi /etc/postfix/master.cf ... # for SPF policy-spf unix - n n - 0 spawn user=nobody argv=/usr/bin/python /usr/bin/policyd-spf /etc/postfix-policyd-spf-python/policyd-spf.conf

  • postfix-policyd-spf-perl の場合
    

    $ vi /etc/postfix/master.cf ... # for SPF policy-spf unix - n n - 0 spawn user=nobody argv=/usr/sbin/postfix-policyd-spf-perl

  以降に master.cf の設定方法、設定内容について簡単に以下の解説しておきます。
  

• 設定方法
  

  Postfixの master.cf は、以下のように各項目を半角空白刻みで設定します。
  

  service type private unpriv chroot wakeup maxproc command + args (yes) (yes) (yes) (never) (100)

  ここで注意すべき点は、次行へ続ける場合は、前行末に空白を入れず、次行の先頭には必ず空白を入れる点です。 以下に例を示しておきます。
  

  1 2	policy-spf unix - n n - 0 spawn user=nobody argv=/usr/bin/python /usr/bin/policyd-spf /etc/postfix-policyd-spf-python/policyd-spf.conf

  • １行目 : spawnの後には空白は入れません。
  • ２行目 : userの前に必ず空白を入れます。
• 各パラメータの意味
  

  設定方法で解説したように、先の設定例では、以下のような項目がそれぞれ設定されています。
  

  service	policy-spf
  type	unix
  private	–
  unpriv	n
  chroot	n
  wakeup	–
  maxproc	0
  command + args	spawn user=nobody argv=/usr/bin/python /usr/bin/policyd-spf /etc/postfix-policyd-spf-python/policyd-spf.conf

  
  
  以下は、各項目の解説（マニュアルからの抜粋）です。
  

  サービス種類(service,type)

  以下のサービス種類の内一つを指定します:

  inet

  サービスはTCP/IPソケットで listen し、ネットワーク越し に アクセスすることができます。
  
  サービス名は host:port のように指定され、これは新しい接続 を受け入れるホストとポートを示します。ホスト部分 (とコ ロ ン) は省略できます。ホストやポートはシンボル形式 (ホスト またはサービス名) でも数値形式 (IPアドレスやポート 番 号) で 与えられます。ホスト情報は “[]” の中に括ることもできま すが、この形式は必須ではありません。
  
  例: 127.0.0.1:smtp または ::1:smtp という名前のサービスは ルー プバックインターフェースからのメールのみを受け取りま す; そして 10025 という名前のサービスは inet_interfaces パラメータで設定されたすべてのインターフェースのTCPポート10025で接続を受けます。
  
  注意: Postfixバージョン2.2以降では master.cf や main.cf でループバック IPアドレス情報をハードコーディングするので はなく、main.cf で “inet_interfaces = loopback-only” を指 定してください。

  unix

  UNIX ドメインソケットで listen するサービスで、ローカルク ライアントのみがアクセスできます。
  
  サービス名はPostfixキューディレクトリからの相対パス名(main.cf の queue_directory 設定パラメータで制御されるパス名) です。
  
  Solarisシステムでは unix タイプはストリームソケットで実装されています。

  fifo

  FIFO (名前付きパイプ) で listen するサービスで、ローカルクライアントのみがアクセスできます。
  
  サービス名はPostfixキューディレクトリからの相 対パス名(main.cf の queue_directory 設定パラメータで制御されるパス名) です。

  Private (デフォルト: y)

  メールシステムへのアクセスを制限するかどうか。インターネット (タイプ inet サービスは private にできません。

  Unprivileged (デフォルト: y)

  サー ビスがroot権限で走るかPostfixシステムの所有者として走るか (所有者名は main.cf ファイルの mail_owner 設定変数で制御されます)。
  
  local(8) および pipe(8)、spawn(8)、virtual(8) デーモンは特権を必要とします。

  Chroot (デフォルト: y)

  サービスをメールキューディレクトリ (パス名は main.cf ファイル の queue_directory 設定変数で制御されます) にchrootして走らせるかど うか。
  
  chrootは local(8) や pipe(8)、spawn(8)、 virtual(8) デーモンで使 う べきではありません。 proxymap(8) サーバはchrootして走らせることはできますが、そうするとこのサービスを使うそもそもの目的のほとんどが無意味になってしまいます。
  
  Postfixソースコードアーカイブの examples/chroot-setup サブディレクトリのファイルには、マシンの種類ごとにPostfixのchroot 環境 をセットアップする方法が記述されています。 また BASIC_CONFIGURA-TION_README ではデーモンをchrootして走らせることの問題についての議論があります。
  

  Wake up time (デフォルト: 0)

  指定された秒数が経過したら、指定されたサービスが自動的に起動されます。 起動はサービスに接続して起動要求を送ることで実装しています。 起動時間フィールドの最後に ? を付けると、起動イベントは実際に使われているサービスのみに送られるようになります。 0を指定すると、自動的には起動しません。
  
  pickup(8) および qmgr(8)、flush(8) デーモンは起動タイマーを必要とします。

  Process limit (デフォルト: $default_process_limit)

  このサービスを同時に実行できるプロセスの最大数。0を指定すると プロセス数制限がなくなります。
  
  注 意: Postfixサービスの中にはシングルプロセスサービスとして設定しなければいけないものがあり (例えば qmgr(8))、 またプロセス数 を無制限に し な け れ ば な ら な いサービスもあります (例えば cleanup(8))。これらの制限は変更してはいけません。

  Command name + arguments

  実行されるコマンド。”>” や “|” のようなシェルにとって特別な文字はここでは特別な意味を持たず、 また空白を含む引数を保護するのに引用符を使うことはできません。
  
  コマンド名はPostfixデーモンディレクトリからの相対パスです (パ ス名は daemon_directory 設定変数によって制御されます)。
  
  特定のコマンドに対するコマンド引数の文法はそれぞれのデーモンのマニュアルページに明記されています。
  
  以下のコマンドラインオプションはすべてのデーモンプログラムに対して同じ効果があります:
  

  -D

  main.cf 設定ファイルの debugger_command 変数で指定されたコマンドの制御下でデーモンを動かします。
  ヒント やtips はDEBUG_README を参照してください。
  

  -o name=value

  指定された main.cf 設定パラメータを上書きします。
  
  パラメータの値は main.cf の中と同様に、$name などとして他の パラメータを参照することができます。 文法は postconf(5) を参照してください。
  
  注意1: “=” の前後に空白を置いてはいけません。 パラメータ値では、 空 白を完全に避けるか、空白の代わりにカンマを使うか、 main.cf で設定された $override_parameter を使って “-o name=$override_parameter” のように上書きすることを考えてください。
  
  注意2: パラメータの上書きを使いすぎると、Postfixの設定 を理解したり管理するのが難しくなってしまいます。 ある時点で、 master.cfで複数の個性を設定するよりも、複数のPostfixインスタンスを設定する方が簡単になるでしょう。
  

  -v

  冗長ログレベルを増加させます。
  
  -v オプションを複数設定すると、 Postfixデーモンプロセスは冗長性を増します。
  

main.cf を編集する。

次に、/etc/postfix/main.cf の設定を行います。

$ vi /etc/postfix/main.cf
...
# for SPF
policy-spf_time_limit = 3600s
smtpd_recipient_restrictions =
     permit_mynetworks,
     check_policy_service unix:private/policy-spf

全ての設定を終えたら、postfix を再起動します。

$ /etc/init.d/postfix restart
Stopping Postfix Mail Transport Agent: postfix.
Starting Postfix Mail Transport Agent: postfix.

Yahoo!などのフリーメールからメールを送信してみましょう。
受信したメールのヘッダ情報に以下のような情報が追加されていればSPF認証が実施されています。

Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=183.79.28.108; helo=web100406.mail.kks.yahoo.co.jp; envelope-from=test@yahoo.co.jp; receiver=test@exmaple.com

postfix-policyd-spf-python の設定には、
/etc/postfix-policyd-spf-python/policyd-spf.conf の編集を行います。

デフォルトでは、以下のような設定になっています。

#  Amount of debugging information logged.  0 logs no debugging messages
#  5 includes all debug messages.
debugLevel = 1 
 
#  If set to 0, no messages are rejected by SPF.  This allows you to see the 
#  potential impact of SPF checking in your mail logs without rejecting mail.
defaultSeedOnly = 1
 
#  HELO check rejection policy. Options are:
#  HELO_reject = SPF_Not_Pass (default) - Reject if result not Pass/None/Tempfail.
#  HELO_reject = Softfail - Reject if result Softfail and Fail
#  HELO_reject = Fail - Reject on HELO Fail
#  HELO_reject = Null - Only reject HELO Fail for Null sender (SPF Classic)
#  HELO_reject = False - Never reject/defer on HELO, append header only. 
#  HELO_reject = No_Check - Never check HELO.
HELO_reject = SPF_Not_Pass
 
#  HELO pass restriction policy.
#  HELO_pass_restriction = helo_passed_spf - Apply the given restriction when
#    the HELO checking result is Pass.  The given restriction must be an
#    action as defined for a Postfix SMTP server access table access(5).
#HELO_pass_restriction
 
#  Mail From rejection policy.  Options are:
#  Mail_From_reject = SPF_Not_Pass - Reject if result not Pass/None/Tempfail.
#  Mail_From_reject = Softfail - Reject if result Softfail and Fail
#  Mail_From_reject = Fail - Reject on Mail From Fail (default)
#  Mail_From_reject = False - Never reject/defer on Mail From, append header only
#  Mail_From_reject = No_Check - Never check Mail From/Return Path.
Mail_From_reject = Fail
 
#  Reject only from domains that send no mail. Options are:
#  No_Mail = False - Normal SPF record processing (default)
#  No_Mail = True - Only reject for "v=spf1 -all" records
 
#  Mail From pass restriction policy.
#  Mail_From_pass_restriction = mfrom_passed_spf - Apply the given
#    restriction when the Mail From checking result is Pass.  The given 
#    restriction must be an action as defined for a Postfix SMTP server
#    access table access(5).
#Mail_From_pass_restriction
 
#  Reject mail for Netural/Softfail results for these domains.
#  Recevier policy option to reject mail from certain domains when SPF is not
#  Pass/None even if their SPF record does not produce a Fail result.  This
#  Option does not change the effect of PermError_reject or TempError_Defer
#  Reject_Not_Pass_Domains = aol.com,hotmail.com
 
#  Policy for rejecting due to SPF PermError.  Options are:
#  PermError_reject = True
#  PermError_reject = False
PermError_reject = False
 
#  Policy for deferring messages due to SPF TempError.  Options are:
#  TempError_Defer = True
#  TempError_Defer = False
TempError_Defer = False
 
#  Prospective SPF checking - Check to see if mail sent from the defined IP
#  address would pass.
#  Prospective = 192.168.0.4
 
#  Do not check SPF for localhost addresses - add to skip addresses to 
#  skip SPF for internal networks if desired. Defaults are standard IPv4 and
#  IPv6 localhost addresses.
skip_addresses = 127.0.0.0/8,::ffff:127.0.0.0//104,::1//128
 
#  Whitelist: CIDR Notation list of IP addresses not to check SPF for.
#  Example (default is no whitelist):
#  Whitelist = 192.168.0.0/31,192.168.1.12
 
#  Domain_Whitelist: List of domains whose sending IPs (defined by passing
#  their SPF check should be whitelisted from SPF.
#  Example (default is no domain whitelist):
#  Domain_Whitelist = pobox.com,trustedforwarder.org
 
# Domain_Whitelist_PTR: List of domains to whitelist against SPF checks base
# on PTR match.
# Example (default is no PTR whitelist)
# Domain_Whitelist_PTR = yahoo.com
 
# Type of header to insert to document SPF result. Can be RFC 4408
# Received-SPF (SPF) or RFC 5451 Authentication Results (AR). It cannot be
# both.
# Examples: (default is Received-SPF):
# Header_Type = AR
# Header_Type = SPF
 
# Every Authentication-Results header field has an authentication identifier
# field ('Authserv_Id'). This is similar in syntax to a fully-qualified domain
# name. See policyd-spf.conf.5 and RFC 5451 paragraph 2.3 for details.
# Default is None.  Authserv-Id must be provided if Header_Type 'AR' is used.
# Authserv_Id = mx.example.com

ほとんど、現状（デフォルト）のままで良いと思いますが、 編集した場合は、Postfixの再起動を行います。

$ /etc/init.d/postfix restart
Stopping Postfix Mail Transport Agent: postfix.
Starting Postfix Mail Transport Agent: postfix.