錦稜会 KINRYOKAI

２４：taRgreyによるスパム対策(taRgrey)

Date 2012-10-7 0:21:18 | Topic: CentOS 6.3(6.4)に挑戦

参考URL：http://centossrv.com/postfix-targrey.shtml
これは防備録の為の記入です。サーバーは仮であり、本運用はしていませんし、本運用で別のサーバーが動いているので、スパムのチェックが出来ておりません。現在は運用中です
yumdownloaderがあるyum-utilsをインストール
# yum -y install yum-utils
インストールされていた。
次はpostfixのソースのダウンロード
# yumdownloader --source postfix
ありゃりゃ、ソースは無いって。じゃあどこにある？　下記にあった
# wget http://vault.centos.org/6.2/os/Source/SPackages/postfix-2.6.6-2.2.el6_1.src.rpm
上記はXOOPSが勝手にリンクを張り途中から文字色が変わっている、本来は全部緑。
この後もwgetの後ろの色が変化しているのは同じ理由。
前はなかったが、今は6.5にもある。但し、標準でインストールされるバージョンは 2.6.6-6.el6_5だがソースは少し古い 2.6.6-2.2.el6_1 です
今では2.6.6-6のsrc.rpmもある。場所：http://vault.centos.org/6.6/os/Source/SPackages/postfix-2.6.6-6.el6_5.src.rpm
但し、どちらのバージョンもソースRPMをインストール後、作成される物は postfix-2.6.6.tar.gzと同じでサイズやタイムスタンプも同じですので、どちらのソースでもお好きな方を使って下さい。
# wget http://vault.centos.org/6.5/os/Source/SPackages/postfix-2.6.6-2.2.el6_1.src.rpm
ソースをインストール
# rpm -ivh postfix-2.6.6-2.2.el6_1.src.rpm
警告: グループ mockbuild は存在しません - root を使用します
と警告が出るが無視
ソースの展開先へ移動
# cd rpmbuild/SOURCES/ (VER 6.4 はrpm/SOURCES）
tar.gzの展開とDIRの移動
# tar zxvf postfix-2.6.6.tar.gz
# cd postfix-2.6.6
スリープパッチをダウンロード
# wget http://k2net.hakuba.jp/pub/postfix-2.3.3-sleep.patch
以前見たWEBにcentosのpostfixはパッチが当たっていて、標準のpostfixとは違っていると書いてたので、ダウンロードしたパッチと比較してたら、やはりパッチを当てる位置が違っていたので、/root/rpmbuild/SOURCES/postfix-2.6.6/postfix-2.3.3-sleep.patchの修正。(VER 6.4 はrpmbuildではなく rpm ）

--- postfix-2.6.6/src/smtpd/smtpd_check.c	2006-11-07 15:29:24.000000000 +0900　←最初の２行を修正
+++ postfix-2.6.6.new/src/smtpd/smtpd_check.c	2012-10-06 15:25:52.000000000 +0900

@@ -203,6 +203,7 @@　←11行目 @@ -204,6 +204,7 @@から修正

@@ -3543,6 +3544,7 @@　←11行目 @@ -3428,6 +3429,7 @@から修正

@@ -3638,8 +3640,35 @@　←19行目 @@ -3523,8 +3525,35 @@から修正

（修正済のパッチのダウンロードはここをクリック）
パッチを当てて、DIRの移動
# patch -p1 < postfix-2.3.3-sleep.patch
# cd ..
Postfixソース再アーカイブ
# rm -f postfix-2.6.6.tar.gz && tar czvf postfix-2.6.6.tar.gz postfix-2.6.6
DIRの削除
# rm -rf postfix-2.6.6/
DIRを移り、rpm作成
# cd
本当はrpmbuildはrootでやってはいけないのが常識のようだが（理由はここを参照)、少し面倒なのでrootで慎重に作業をする。
# rpmbuild -bb --clean --define "dist .`echo postfix-*.src.rpm |awk -F. '{print $(NF-2)}'`" /root/rpmbuild/SPECS/postfix.spec
ありゃいっぱい足りない (VER 6.4 はrpmbuildではなく rpm ）
db4-devel, zlib-devel, openldap-devel, cyrus-sasl-devel pcre-devel, mysql-devel, openssl-devel なのでこれらをyumでインストールする
# yum install db4-devel zlib-devel openldap-devel cyrus-sasl-devel pcre-devel mysql-devel openssl-devel
再度挑戦
# rpmbuild -bb --clean --define "dist .`echo postfix-*.src.rpm |awk -F. '{print $(NF-2)}'`" /root/rpmbuild//SPECS/postfix.spec
出来たpostfixをインストール
# rpm -Uvh --force /root/rpmbuild/RPMS/x86_64/postfix-2.6.6-2.2.el6_1.x86_64.rpm (VER 6.4 はrpmbuildではなく rpm ） 2013/2/23 訂正
後始末
# rm -f rpmbuild/RPMS/x86_64/postfix-*　(VER 6.4 はrpmbuildではなく rpm ）
# rpmbuild --rmsource --rmspec /root/rpmbuild/SPECS/postfix.spec 　(VER 6.4 で最後の所は /root/rpm/SPECS/postfix.spec ）
# rm -f postfix-2.6.6-2.2.el6_1.src.rpm

Postgreyインストール
# wget http://pkgs.repoforge.org/postgrey/postgrey-1.34-1.rf.src.rpm
SRPMの展開
# rpm -ivh --nomd5 postgrey-1.34-1.rf.src.rpm
警告: グループ dag は存在しません - root を使用します
警告は無視し、DIRを移動これ以降VER6.4ではrpmbuild の所は rpmに読み替えてください
# cd rpmbuild/SOURCES/
Postgreyソース展開し、DIRを移動
# tar zxvf postgrey-1.34.tar.gz
# cd postgrey-1.34
targreyパッチダウンロード
# wget http://k2net.hakuba.jp/pub/targrey-0.31-postgrey-1.34.patch
パッチを当て、DIRの移動
# patch -p0 < targrey-0.31-postgrey-1.34.patch
# cd ..
Postgreyソース再アーカイブ
# rm -f postgrey-1.34.tar.gz && tar czvf postgrey-1.34.tar.gz postgrey-1.34
パッチを当てたので、ソースに使ったDIRを消し、DIRを移動し、RPMを作る
# rm -rf postgrey-1.34
# cd
# rpmbuild -bb --clean --define "dist .`echo postgrey-*.src.rpm |awk -F. '{print $(NF-2)}'`" /root/rpmbuild/SPECS/postgrey.spec
Postgrey依存パッケージインストール
# yum -y install postgrey && rpm -e postgrey
postgreyのインストール
# rpm -Uvh rpmbuild/RPMS/noarch/postgrey-1.34-1.rf.noarch.rpm
エラー: 依存性の欠如: perl(Parse::Syslog) は postgrey-1.34-1.rf.noarch に必要とされています
とエラーが出た。Parse::Syslogのインストールは
# wget apt.sw.be/redhat/el6/en/i386/rpmforge/RPMS/perl-Parse-Syslog-1.10-1.el6.rf.noarch.rpm
# rpm -ivh perl-Parse-Syslog-1.10-1.el6.rf.noarch.rpm
警告: perl-Parse-Syslog-1.10-1.el6.rf.noarch.rpm: ヘッダ V3 DSA/SHA1 Signature, key ID 6b8d79e6: NOKEY
と警告は出るがインストールされる。
別のホストでやったら、依存性の欠如もっと出た

perl(BerkeleyDB) は postgrey-1.34-1.rf.noarch に必要とされています
perl(IO::Multiplex) は postgrey-1.34-1.rf.noarch に必要とされています
perl(Net::DNS) は postgrey-1.34-1.rf.noarch に必要とされています
perl(Net::Server) は postgrey-1.34-1.rf.noarch に必要とされています
perl(Net::Server::Daemonize) は postgrey-1.34-1.rf.noarch に必要とされています
perl(Net::Server::Multiplex) は postgrey-1.34-1.rf.noarch に必要とされています
perl(Parse::Syslog) は postgrey-1.34-1.rf.noarch に必要とされています

これは # yum -y install postgrey && rpm -e postgrey をやり忘れた為
再度postgreyのインストール
# rpm -Uvh rpmbuild/RPMS/noarch/postgrey-1.34-1.rf.noarch.rpm
後始末
# rm -rf rpmbuild/SOURCES/*
# rm -f rpmbuild/RPMS/noarch/*
# rm -f postgrey-1.34-1.rf.src.rpm
# rm -f perl-Parse-Syslog-1.10-1.el6.rf.noarch.rpm

/etc/postfix/main.cfの設定

smtpd_recipient_restrictions =
    permit_mynetworks
    permit_sasl_authenticated
    reject_unauth_destination
−−追加(ここから)−−
    check_recipient_access hash:$config_directory/whitelist_recipient
    check_client_access    hash:$config_directory/whitelist_client
    check_client_access    regexp:$config_directory/permit_client_nots25r
    check_policy_service   inet:60000
    permit

smtpd_data_restrictions =
    permit_mynetworks
    permit_sasl_authenticated
    reject_unauth_destination
    check_recipient_access hash:$config_directory/whitelist_recipient
    check_client_access    hash:$config_directory/whitelist_client
    check_client_access    regexp:$config_directory/permit_client_nots25r
    check_policy_service   inet:60000
    permit
−−追加(ここまで)−−

taRgrey用Postfix設定ファイルダウンロード
# wget http://k2net.hakuba.jp/spam/postfix.conf.2.tar.gz
解凍
# tar zxvf postfix.conf.2.tar.gz
各ファイルをコピー
# cp postfix.conf.2/whitelist_recipient /etc/postfix/
# cp postfix.conf.2/whitelist_client /etc/postfix/
# cp postfix.conf.2/permit_client_nots25r /etc/postfix/
# rm -fr postfix.conf.2/
# rm -f postfix.conf.2.tar.gz
whitelist_recipientのDB化
# postmap /etc/postfix/whitelist_recipient
whitelist_clientのDB化
# postmap /etc/postfix/whitelist_client
/etc/rc.d/init.d/postgreyの設定

#OPTIONS="--unix=$SOCKET"　←コメントアウト
OPTIONS="--dbdir=$DBPATH --inet=127.0.0.1:60000 --tarpit=125 --targrey --retry-count=2 --delay=3600"　←追記

postgreyの起動、postfix再起動など
# service postgrey start
# chkconfig postgrey on
# service postfix restart
その後メールのテストをする
postfixにパッチを当てているため、自動アップデートを無効にする。
# yum -y install yum-versionlock
# sed -i 's/enabled = 0/enabled = 1/g' /etc/yum/pluginconf.d/versionlock.conf
# touch /etc/yum/pluginconf.d/versionlock.list
# rpm -q postfix >> /etc/yum/pluginconf.d/versionlock.list
# rpm -q postgrey >> /etc/yum/pluginconf.d/versionlock.list
/etc/cron.daily/yum-check-updateの作成

#!/bin/bash

# versionlockパッケージアップデートチェックスクリプト

YUMTMP=$(mktemp)
for pkg in `cat /etc/yum/pluginconf.d/versionlock.list`
do
    chkname="$chkname `rpm -qi $pkg|grep Name|awk '{print $3}'`"
done
yum --noplugins check-update $chkname > $YUMTMP
[ $? -eq 100 ] && cat $YUMTMP
rm -f $YUMTMP

# chmod +x /etc/cron.daily/yum-check-update
アップデート検知時はroot宛にメール通知されるので、最新版で再インストールする

This article comes from 錦稜会 KINRYOKAI
https://www.kinryokai.net

The URL for this story is:
https://www.kinryokai.net/article.php?storyid=162