naoki86star

このインターネットの片隅で、バルスと唱えてみる

自宅にSMTPサーバを立ててみる(via フレッツ)

先日フレッツ接続な自宅でサーバたててみるみたいなこと書いたときに、実は自分ではメールサーバ自体は過去一度も立てたことなかったのです。書いたら試してみたくなりました。試してみたら、分かっていなかった見えてなかったことがわらわらでてきて、それの顛末記、です。

見落としていたこと

OB25

今今な時代OB25は初歩的なことなのですが、これをどう扱うかをデザインしないと家でSMTPサーバが実現できない、と思いました。
 OB25に従うべきサービス事業者の配下に置くサーバということであれば、定跡に従うなら、submissionポートでの送信となる、と理解しています。 この時点で、汎用的なメールサーバにするためにはメールをリレーしてくれるサーバが必要ということになる、という理解です。なぜかというと、submissionでリレーしてくれるところは普通認証を要求してくるはずです、そう考えてます。

よって、自宅側に置いたメールサーバを機能させるために、作戦的に
1)メールリレーサーバとして自分の使える既存のアカウントを使う
2)メールリレーサーバをインターネット側に立てる
の2つとりあえず思いつきました。あと作戦というより選択肢として
3)受信専用でデザインする

1)は、そもそもメールサーバを自分でという実質的な意味が低下しているわけです。
2)は、実質的には自宅側にメールサーバを立てれてない、ということにみえます。。。

3)はこれはこれで、emailの仕組みを使ってなにか通常と違う目的を追求できそうな気がしてきました。*1

顛末

自分はOCNのフレッツを契約しています。自分の契約にはメールアカウントがひとつついていて、アクセス先としてsnmpサーバとpop3サーバの情報が記載されてます。OCN網内ではOB25にかからないとのことで、このsmtpサーバをリレーサーバに設定させてもらい組んでみました。

   ((                    ))
  ((        internet        ))
   ((                    ))
           |             |
~~~~~~~~~~~|~~~~~~~~~~~~~|~~~~~~~
 OCN網     |             |
   +----------------+    |↓
   |ocnのsmtp-server|    |↓受信メール
   +----------------+    |↓
           |             |
         ↑ +-------------+
         送信メール       |
    ~ ~ ~ ~ ~  ~ ~ ~ ~ ~ | ~ ~ ~
                         |
                   +----------+
                   | WN-G300R |
                   +----------+
                         |
                +---------------+
                |    postfix    |
                |      on       |
                | raspberry pi2 |
                +---------------+

ブロードバンドルータで25/tcp開けました。
postfix には当然のように中継mailはさせないようにしてあります。*2

その他
  • ocnのsmtpはstarttlsっての対応してないみたいです。個人的にまったく気にならないです。むしろいずれocnのsmtpも何か今風に変わっていって、リレーとか許可してくれなくなるのかもとかちょっと思いました。*3
  • spfレコードの登録してみました。

前に書いたように、PPPoE切れたりでIP変わったら自動でドメインのAレコード登録し直す作戦は、SPFレコードも対象にしないと、でした。
でもspfレコードはメールをocnにリレーしてもらう限りは意味がないみたいです。gmailに飛ばしてOriginal Messageを見てみると直接の送信元のspfレコードが重要みたいです。

  • 送信時にはopendkimってのを使ったdkim署名をつけるようにしました。

署名するしないメールを送信元で制限できるので自分の使うメーラーまでも許可にしてます。これもgmailに飛ばしてOriginal Messageで塩梅をみてみることできます。

  • IMAPとかwebmailとかはやってません。*4
  • メーラーはmuttてのをお試し中です。
おまけ

OB25の呪縛は、cloud/vpsでも無縁でなかったことを知りました。

  • vultr.comではWhat Ports Are Blocked?を読むといくつかブロックポートがあるようで25はお願いの余地がある模様。
  • melbicom.netも初期状態でOB25をかけている模様、はずしてくれるかどうかは問い合わせ次第か?
  • 他のcloud/vpsサービスも、最初からあいているか、お願いベースで空けてくれるか、まったく聞いてもらえないのかはIPSによりけりな雰囲気

2019/7/16追記

OCNでは2019/10以降メール送受信(個人顧客)のセキュリティを強化するそうです。これの件でOCNからのメール読むようになって知りました。

*1:人の書くメールは対象にならない気がします

*2:絵の中のraspberry pi2と同じセグメントだけ許可

*3:全然ocnのHPとかみないで情報も集めないで書いていてごめんなさい

*4:spamassasinてのはちょっと興味ある