next up previous contents
Next: 5.1.3 DNS と Mail Up: 5.1 mail の仕組みとPostfix Previous: 5.1.1 配送

5.1.2 mail aliases

受け取ったメイルを mail aliases で再配送するにあたり、重要となる のは、どの程度のサーバ間でメイルシステムを構築するかによる。 これには、ユーザのメイルスプール用のシステムや、外とのやり取りを 行うためのメイルゲートウェイが含まれる。こうしたシステムが多数 ある場合の問題は、ドメインの外からは通常こうした多数のホストの 存在は隠蔽されていなければならないという問題である。実際、この ようなホストが全て外からも参照可能であるならば、このようなホスト 各々に外からメイルが届く状態を考えなければならず、セキュリティ的にも 設計的にも非常に複雑になってしまうからである。つまり、ここで問題 になっているのは、外からは隠蔽されたシステムが、内部においては 如何にして協調動作を行うかという問題であり、その解決のキーとなる のが実は mail aliases なのである。このようにして、内部協調動作の 鍵となるのが mail aliases なのであるが、その際に協調性を保障するのは 単純に mail aliases の同一性の保障なのである。簡単に言えば、 サイト内部の配送において、ある人へのメイルは全て同一の行き先を 示していなければ、最悪の場合はループやピンポンを起こす結果となる。 (勿論、もっと高度な、いわゆる隠蔽をサイトの中の部門別に行う という方法も考えらるが、実はそれは部門をサイトと考える方法とそれほど 大きな違いはない。) このように、mail aliases の同一性を、あるいは同じデータを利用している というメカニズムを保障する方法として、NISを用いる方法がある。 幸い、Postfix には最初からNIS への対応がなされているので、NIS は 常に利用出来るのであるが、NIS のデータセキュリティモデルは非常に 脆弱なものであるので、NIS を用いるかどうかはサイトの選択による。 また、近年ではLDAP(Lightweight Directory Access Protocol)の環境も 整備されて来ており、Postfix もLDAPに対応しているので、これから システムを構築するという場合や、システムの見直しを考えている場合 にはLDAPを検討するのが良いであろう(認証もLDAPに対応しつつあるので)。 とは言え本章では、原始的ではあるが、ファイルベースで同一性が保障されている と仮定する(ちいさなサイトではそれほど困難ではないだろう)。

ローカルの /etc/aliasesの例を下に掲げる。 (sendmail の標準では /etc/mail/aliases であるので、注意が必要。 同一にするのならば、シンボリックリンクを張れば良い。) 

#
staff: kanayama,sakamoto,saga,momma
kanayama: kanayama@pc2f001.summer00.wakhok.ac.jp
sakamoto: sakamoto@pc2f002.summer00.wakhok.ac.jp
saga: saga@pc2f003.summer00.wakhok.ac.jp
momma: momma@pc2f004.summer00.wakhok.ac.jp

きちんと aliases が同一であるように pc2f001.summer00.wakhok.ac.jp などの個々のホストを調整していたならば(通常、必ずどちらかで 編集して、コピーするようにすれば良い)、pc2f002についた kanayama 宛のメイルは必ず kanayama@pc2f001.summer00.wakhok.ac.jp へと転送される。 つまり、個々人の mail spool ホストを固定することが可能になるのである (ちなみに、上の staff のように複数の人を一つの aliases として登録する事も 出来る)。 この aliases がないと、あるホストに到着したメイルが受け取って良いと考えられる メイルならば(つまり、ユーザー登録されたユーザー)、そのホストはメイルを受け 取ってしまう。その結果、複数のホストに個人宛のメイルが分散されてしまう 事があるわけである。 ちなみに、メイルの届く可能性のある全てのホスト上で すべてのユーザーのホームディレクトリが参照することが出来る場合には、 ~/.forward も参照される。従って、メイルの転送においては、 /etc/aliases, ~/.forward が順に参照されるが、基本的に .forward ファイルはユーザーの自由になる、つまりカスタマイズ可能な ものなので、これに配送を頼るのは得策とは言えない。 (但し、管理者が正しく設定していても、ユーザが間違った設定を ~/.forward にしてしまえばメイルの無限ループが生じたり、メイル が着かないということは起こり得る。一方、~/.forward を見ないという 設定も可能であるが、これはこれでユーザにとっては不便になるので 止める訳にも行かないだろう)。


Noriyo Kanayama