sendmail

$Id: cf.html,v 1.9 2000-05-11 10:15:59+09 naito Exp $

ここに述べていることは, すべて私が実行した方法であり, これによる損害等については, 一切私は責任を持ちません. 各自の責任で行なって下さい.

CF を利用した sendmail.cf の作成と SPAM 対策

CF による sendmail.cf の作成方法

CF とは, 京都大学の中村素典氏を中心にして作成された sendmail.cf を効率的に作成するためのツールです.
現在の CF の version (CF-3.7Wpl2-smtpcheck-patch2) では sendmail.8.10.1 のすべての機能に対応する sendmail.cf を作成できないようですが, CF の README.jpn を読んでみればわかりますが, ここではとりあえず sendmail release 8.9 (V8) に対応する sendmail.cf を作成することにします.

パッケージの使用方法は, CF に付属する README.jpn を読んで下さい. 極めてわかりやすく書いてあります.
ここでは, sendmail.cf を作成するための definition file 中で, SPAM 対策のとり方について説明します.
以後, CF のパッケージは $CFSRCDIR に展開されているとします.

CF を利用した SPAM 対策

CF において SPAM 対策を講じた sendmail.cf を作成するための方法は, $CFSRCDIR/doc/MANUAL.jpn の 2645 行目から書いてあります.

以下では, それを実践した私の方法を記録しておきます.

SPAM とは

SPAM とは当該ホストに対して, 大量（数千から数十万）のダイレクト・メールのような電子メールを中継させるというものです. これは, 以下のような問題をひきおこします.

計算機資源の違法な浪費（本来の正常な業務の効率の低下）
対策後の苦情メール対策（訴訟を起こすという警告もあります。）
中継に利用されたホストのブラックリスト掲載の可能性。（ブラックリストに掲載された場合、そのホストからのアクセスが広い範囲で拒否されることになります。）

（注：この文章は, NICE のページの SPAM 対策の部分から（無断）借用致しました. ）

SPAM を防ぐには

SPAM は該当ドメイン外（例えば, 名古屋大学多元数理科学研究科の場合 math.nagoya-u.ac.jp です）から, やはり該当ドメイン外に対するメールの中継のうち, 大量かつ不正なもののことを指します.
SPAM を防ぐためには, 該当ドメインを（エンベロープ） FROM および（エンベロープ） TO に持たないメールのうち, 不正なものの中継を拒否すれば良いのですが, sendmail には, どのメールが不正なものかを知る方法はありません.
さらに, 単に FROM が該当ドメインのものであったとしても, それが偽造されていないという保証はありませんので, 発信元のホストが 133.6.XXX.YYY のもの（すなわち自ドメインのＩＰアドレス）であるかどうかもチェックする必要があります.

これらの条件を整理して書き直してみると, 以下の２条件の両方にマッチしたメールのみを中継する設定を行なえば良いことがわかります.

FROM または TO のいずれかが該当ドメインに属している. すなわち, 当該ドメイン内から発信されたメールか, 当該ドメイン内宛のメールである.
発信元が当該ドメイン内のホストである.

ここで, 第一の条件は全く問題がないのですが, 第二の条件が問題となります. 例えば, Eudora のようなパーソナル・コンピュータ上のメール・ツールを利用して, 正当なユーザがドメイン外部（例えば, 自宅からプロバイダを利用しているようなことを想定しています）から FROM を math.nagoya-u.ac.jp にしてメールを発信したいと考えているとします.
実際, 自宅からプロバイダを利用してメールを発信する時などでは, FROM に大学(等)のアドレスを記入してアクセスしたいことがあります. この場合, 実際のメールの配送を行なってくれるホスト (Eudora では SMTP ホスト) に対して, メールの中継を要求して配送を行なっています.
このような場合には, 第二の条件にマッチしないことになり, 上のような利用法を行なっているユーザには非常な不便が出てきます. しかしながら, 現状では, SPAM の手口も悪質になって来ているので, 多少の不便さを我慢しなくてはならない状況になってきています.
以前は, このような不便さについて「我慢しろ！」と言っていれば済んだのですが, 出張先にノートＰＣなどを持っていき, 出張先の大学でＤＨＣＰによるネットワーク接続をして, メールの送受信だけをするなどという状況が発生してきているので, これを単に「我慢しろ」と言っていれば済む状況ではありません.
そこで, 今回（２０００年４月）に, 以下のような設定を行うことにしました.

設定の目標

メールサーバの設定.
- 【条件１】 SMTP 接続の接続元がメールサーバであるときには, エンベロープＦＲＯＭ, エンベロープＴＯが何であっても無条件に中継を許可する.
  これは, メールサーバが各種メーリング・リストを処理しているため, メーリング・リスト参加者のうち, 組織外部からの参加者のメールに関しては, エンベロープＦＲＯＭが組織外部のドメイン名になっている可能性があるため.
- 【条件２】 SMTP 接続の接続元が他の組織内部のホストであるときには, エンベロープＦＲＯＭが組織のドメイン名であるものに限り中継を許可する.
  SMTP 接続の接続元は, メールサーバ以外のワークステーションのこともあれば, 研究室などのパーソナルコンピュータであることもあります.
  パーソナルコンピュータの MUA (Mail User Agent, いわゆるメーラです) が生成するエンベロープＦＲＯＭは, MUA で各ユーザが簡単に設定できますが, クライアント・ワークステーションから転送されてくるメールのエンベロープＦＲＯＭには注意が必要です.
- 【条件３】組織外のホストであって, 確実に信用できるホストからの SMTP 接続か, または, 組織内部の特別な事情のあるホストからの SMTP 接続であって, エンベロープＦＲＯＭが, その事情から決定できる特定のものであるときには, メールの中継を許可する.
  要するに, 自宅からのＰＰＰ接続を行っていて, その際にプロバイダなどのメールアドレスを使っているとか, 自宅にドメインを持っているユーザなどの場合です.
- 【条件４】以上の条件に該当しない場合で, 組織外部からの APOP 接続があった場合には, APOP 接続を行ったホストからの SMTP 接続の場合, APOP 接続を行ったユーザをエンベロープＦＲＯＭに持つメールに関しては, APOP 接続後一定時間だけメールの中継を許可する.
  いわゆる POP AUTHORITY という手段で, 一定時間内であれば APOP の接続後に中継を許可するというやつですが, その際に, エンベロープＦＲＯＭをチェックして, 特定のユーザと SMTP 接続の接続元のＩＰアドレスというペアでチェックを行います.
  一般的な POP AUTHORITY の記述に関しては, " POP before SMTP for Sendmail " という spam.abuse.net のページをご覧下さい.
- 【条件５】以上の条件に該当しない場合で, エンベロープＴＯが組織内部のメールに関しては中継（受信）を許可する.
  これは, 組織外部からのメールの受信を許可するという条件です. これができなければお話にならない.
- 【条件６】以上の条件に該当していても, 特定のホストからの接続, または特定のエンベロープＦＲＯＭを持つものは, SMTP 接続を拒否するか, メールの中継を拒否する.
  いわゆるブラックリストです.
- 【条件７】以上の条件に該当しない場合には, メールの中継を拒否する.
  これが SPAM 対策の本質的な部分です.
- 【その他】メールサーバでは条件６以外のホストに関しては, SMTP 接続の拒否の設定はしません.
クライアントワークステーションの設定.
- クライアントワークステーションは, localhost 以外の SMTP 接続を拒否し, さらに, 受け取ったメールをすべてメールサーバに転送します. その際, エンベロープＦＲＯＭはドメイン名まで含むものを利用します.

CF の設定方法

クライアントワークステーションの sendmail.cf

基本的には, 受信したメールをすべてメールサーバに転送すれば良いので, CF のパッケージにある null-v8.def を利用します.

null-v8.def を適当な名前（ここでは, ＯＳの名前をつけて, solaris-null.def としておきます．）につけ変えて, 以下を変更します.

OS_TYPE=solaris2.6   # ＯＳの指定.
SPOOL_HOST='mailhost.math.nagoya-u.ac.jp' # メールサーバの指定.
ALWAYS_APPEND_DOMAIN=yes # 内部へのメールであってもドメイン名をつける.

このような定義ファイルを作成して, make を

make solaris-null.cf

と実行すると, solaris-null.cf が作成されます.

ところが, なぜか, 内部へのメールはエンベロープＦＲＯＭにドメイン名がつかないので, このあと, cf ファイルを手で修正します. cf ファイルの変更点は以下の通りです.

Dm の書き換え：マクロ定義 m を定義します.
```
#Dmmy.domain.name
```
を
```
Dmmath.nagoya-u.ac.jp
```
に変更します. これによって, $m は "math.nagoya-u.ac.jp" となります.
Dj の書き換え：マクロ定義 j を定義します.
```
#Dj$w.$m
```
をコメント・アウトします. これにより, $j は "hostname.math.nagoya-u.ac.jp" となります.
ルールセット 11 への追加：エンベロープＦＲＯＭにドメイン名を追加します.
S11 の
```
R$=S    $@$1@$j
```
の次の行に
```
R$+     $@$1@$m
```
を付け加えます. これによって, エンベロープＦＲＯＭにドメイン名を持たないものに対して, ドメイン名をつけることができます. ここで, sendmail.cf 中の LHS と RHS の間は TAB で区切られていることに注意します.

以上の３点の書き換えで, クライアント・ワークステーションの sendmail.cf は完成しました. これを（Solaris 2.6 の場合は） /etc/mail に sendmail.cf としてコピーして, sendmail を再起動すればおしまいです.

メールサーバの sendmail.cf

メールサーバで上に書いた条件を満たすようにするには, CF のパッケージにある sendmail-v8.def を利用します.

sendmail-v8.def を適当な名前（ここでは, ＯＳの名前をつけて, server.def としておきます．）につけ変えて, 以下を変更します. （各変数の意味は, CF のドキュメントを参照してください）

OS_TYPE=solaris2.6             
MY_DOMAIN=math.nagoya-u.ac.jp  
MY_NAME=rabbit                 
OFFICIAL_NAME='$w.$m'          
MY_ALIAS=mailhost
FROM_ADDRESS='$m'
RECIPIENT_GENERIC=yes
REWRITE_GENERIC_FROM=yes
REWRITE_GENERIC_TO=yes
REWRITE_LOCAL_ON_RELAY=generic
ACCEPT_ADDRS='$m'
ACCEPT_LOWER=yes
ONE_TOKEN_HOST=reject
REDIRECT=yes
ALWAYS_APPEND_DOMAIN=yes
RES_NUMERIC=no
USERTABLE_MAPS='snowy.math.nagoya-u.ac.jp=dbm:/etc/mail/sendmail/ut.snowy \
	tintin.math.nagoya-u.ac.jp=dbm:/etc/mail/sendmail/ut.snowy \
	eagle.math.nagoya-u.ac.jp=dbm:/etc/mail/sendmail/ut.eagle'
TRUSTED_USERS='root postmaster'
NIS_DOMAIN=numath-sol
ERROR_MODE='mail'
TIMEOUT_QUEUERETURN='4d'
TIMEOUT_QUEUEWARN='1d'
ALLOW_BOGUS_HELO='True'
HSTAT_DIR='.hoststat'
# ここまでは sendmail 中継制限とは直接関係しない.
MAIL_RELAY_RESTRICTION=yes
# SMTP 接続に関する条件
CHECK_HOST_ALLOW=/etc/mail/sendmail/check_host_allow
CHECK_HOST_DENY=/etc/mail/sendmail/check_host_deny
CHECK_RELAY_DEFAULT=allow # (allow/deny) default
# 【条件１】を処理する部分.
LOCAL_HOST_IPADDR=/etc/mail/sendmail/local_host_ipaddr
LOCAL_HOST_DOMAIN=/etc/mail/sendmail/local_host_domain
# 【条件２】を処理する部分.
CLIENT_HOST_IPADDR=/etc/mail/sendmail/client_host_ipaddr
CLIENT_HOST_DOMAIN=/etc/mail/sendmail/client_host_domain
CLIENT_FROM_DOMAIN=/etc/mail/sendmail/client_from_domain
# 【条件６】を処理する部分.
SPAM_LIST=dbm:/etc/mail/sendmail/spamlist
# 【条件３】を処理する部分.
ROAM_HOST_IPADDR=/etc/mail/sendmail/roam_host_ipaddr
ROAM_HOST_DOMAIN=/etc/mail/sendmail/roam_host_domain
ROAM_USERS=/etc/mail/sendmail/roam_users
# 【その他】
CLIENT_DENY_TO=/etc/mail/sendmail/client_deny_to
ALLOW_RECIPIENT_DOMAIN=/etc/mail/sendmail/allow_recipient_domain
ALLOW_RELAY_FROM=/etc/mail/sendmail/allow_relay_from
ALLOW_RELAY_TO=/etc/mail/sendmail/allow_relay_to
REJECT_EXTERN_SRR=no

ここまでの設定で完成していない部分は, 【条件４】を処理するパートです. これに関しては, 手で sendmail.cf を書き換えることで対応します.

各項目の説明

MAIL_RELAY_RESTRICTION
メールの転送制限を行なうかどうかを設定します.
これを yes に設定します. default の no に設定してしまうと, 以下の部分をいくら設定しても無視されてしまいます.
【Example】
MAIL_RELAY_RESTRICTION=yes
CHECK_HOST_ALLOW CHECK_HOST_DENY CHECK_RELAY_DEFAULT
CHECK_HOST_ALLOW は SMTP 接続を許可するホストのＩＰアドレスを記述したファイル名を指定します.
CHECK_HOST_DENY は SMTP 接続を拒否するホストのＩＰアドレスを記述したファイル名を指定します.
CHECK_RELAY_DEFAULT は上の２つに該当しなかったときの動作を規定します.
【Example】
CHECK_HOST_ALLOW=/etc/mail/sendmail/check_host_allow CHECK_HOST_DENY=/etc/mail/sendmail/check_host_deny CHECK_RELAY_DEFAULT=allow # (allow/deny) default
今回は, ここで指定したファイルはすべて空にしておきます. このファイルには１行に一つのエントリを記述します. （すなわち, sendmail では scanf("%s",...) によってファイルが読まれます. これは以後すべて共通です.） 133.6 と書くと, 133.6.XXX.YYY にマッチします.
LOCAL_HOST_IPADDR LOCAL_HOST_DOMAIN
LOCAL_HOST_IPADDR に指定したファイルに書かれたＩＰアドレスを持つホスト, または, LOCAL_HOST_DOMAIN に指定したファイルに書かれたドメイン名を持つホストからのメールはすべて, 無条件に中継を行います.
ここで, ドメイン名に nagoya-u.ac.jp を指定すると, *.nagoya-u.ac.jp にマッチします.
【Example】
LOCAL_HOST_IPADDR=/etc/mail/sendmail/local_host_ipaddr LOCAL_HOST_DOMAIN=/etc/mail/sendmail/local_host_domain
```
----- /etc/mail/sendmail/local_host_ipaddr
133.6.130.5
-----/etc/mail/sendmail/local_host_domain
rabbit.math.nagoya-u.ac.jp
-----
```
CLIENT_HOST_IPADDR CLIENT_HOST_DOMAIN CLIENT_FROM_DOMAIN
CLIENT_HOST_IPADDR に指定したファイルに書かれたＩＰアドレスを持つホスト, または, CLIENT_HOST_DOMAIN に指定したファイルに書かれたドメイン名を持つホストからのメールで, そのエンベロープＦＲＯＭが CLIENT_FROM_DOMAIN に指定したファイルに書かれたものとマッチするメールは中継が許可されます.
ここで, ドメイン名に nagoya-u.ac.jp を指定すると, *.nagoya-u.ac.jp にマッチします.
【Example】
CLIENT_HOST_IPADDR=/etc/mail/sendmail/client_host_ipaddr CLIENT_HOST_DOMAIN=/etc/mail/sendmail/client_host_domain CLIENT_FROM_DOMAIN=/etc/mail/sendmail/client_from_domain
```
----- /etc/mail/sendmail/client_host_ipaddr
133.6.130
133.6.86.
-----/etc/mail/sendmail/client_host_domain
math.nagoya-u.ac.jp
-----/etc/mail/sendmail/client_from_domain
math.nagoya-u.ac.jp
-----
```
この例では, math.nagoya-u.ac.jp というエンベロープＦＲＯＭを持つメールだけが中継されます.
ROAM_HOST_IPADDR ROAM_HOST_DOMAIN ROAM_USERS
ROAM_HOST_IPADDR に指定したファイルに書かれたＩＰアドレスを持つホスト, または, ROAM_HOST_DOMAIN に指定したファイルに書かれたドメイン名を持つホストからのメールで, そのエンベロープＦＲＯＭが ROAM_USERS に指定したファイルに書かれたものとマッチするメールは中継が許可されます.
CLINET_* との違いは, エンベロープＦＲＯＭのマッチが, 正確にユーザ名まで比較されることです.
【Example】
ROAM_HOST_IPADDR=/etc/mail/sendmail/roam_host_ipaddr ROAM_HOST_DOMAIN=/etc/mail/sendmail/roam_host_domain ROAM_USERS=/etc/mail/sendmail/roam_users
```
----- /etc/mail/sendmail/roam_host_ipaddr
133.6.47.111
133.6.47.112
-----/etc/mail/sendmail/roam_host_domain
foo.math.nagoya-u.ac.jp
bar.math.nagoya-u.ac.jp
-----/etc/mail/sendmail/roamusers
userA@math.nagoya-u.ac.jp
userB@math.nagoya-u.ac.jp
-----
```
この例では, SMTP 接続元が一致して, userA@math.nagoya-u.ac.jp または userB@math.nagoya-u.ac.jp というエンベロープＦＲＯＭを持つメールだけが中継されます.
SPAM_LIST
SPAM_LIST に指定したファイルに書かれたものからのメールは, その中継を拒否します. ここでの判定は,
- 発信者が指定されている時：メールの FROM で判定.
- ドメインが指定されている時：メールの FROM で判定.
- アドレス（のネットワーク部）が指定されている時：接続元のＩＰアドレスで判定.
となります.
また, 外部データベースを利用しているので, このファイルを変更しても, データベースをアップデートすれば, sendmail の再起動は不要です.
【Example】
SPAM_LIST=dbm:/etc/mail/sendmail/spamlist
```
----- /etc/mail/sendmail/spam_list
foo@bar.com       comment
1.1.1.1           comment
bar.ac.jp         comment
-----
```
この例では, dbm を利用しているので, ファイルを書き換えたあと,
```
makemap dbm spam_list < spam_list
```
によってデータベースをアップデートする必要があります. 最後に "comment" というのがついているのは, データベースを作成するときに, makemap がエラーを出さないためのダミーのフィールドです.
ALLOW_RECIPIENT_DOMAIN ALLOW_RELAY_FROM ALLOW_RELAY_TO REJECT_EXTERN_SRR
ALLOW_RECIPIENT_DOMAIN は, このメールサーバが受理する宛先ドメイン名のリストを記述したファイルを指定します. （データベース形式可）
ALLOW_RELAY_FROM , ALLOW_RELAY_TO は, ここに記述されたファイルに指定されたエンベロープＦＲＯＭまたは, エンベロープＴＯを持つメールに関しては, 無条件に中継を許可します.
REJECT_EXTERN_SRR に yes を指定すると, 外部から送られてくるメールに関しては, ソースルーティングを拒否できます.
【Example】
ALLOW_RECIPIENT_DOMAIN=/etc/mail/sendmail/allow_recipient_domain ALLOW_RELAY_FROM=/etc/mail/sendmail/allow_relay_from ALLOW_RELAY_FROM=/etc/mail/sendmail/allow_relay_to REJECT_EXTERN_SRR=no
今回は, これらのファイルはすべて空にしました.

さらなる設定

ここまでの設定では,

【条件４】以上の条件に該当しない場合で, 組織外部からの APOP 接続があった場合には, APOP 接続を行ったホストからの SMTP 接続の場合, APOP 接続を行ったユーザをエンベロープＦＲＯＭに持つメールに関しては, APOP 接続後一定時間だけメールの中継を許可する.
【条件５（の一部）】外部からの接続で, エンベロープＦＲＯＭが自分のドメイン名を持つものは中継を子比する.

という設定が行われていません. これを設定するには, 上で作成した定義ファイルを元に作成した, sendmail.cf を手で書き換えることが必要となります.

cf ファイルの変更

cf ファイルを以下の考えに基づいて変更していきます.

APOP 接続を行ったユーザとＩＰアドレスの組を記述する外部データベースファイルを指定する.
そのファイルには以下のようなエントリを記述します. たとえば, ユーザ userA がＩＰアドレス 2.2.2.2 というホストから APOP 接続を行った場合,
```
userA@2.2.2.2    comment
```
というファイルを APOP のログを監視しているデーモンが作成して, 即座にデータベースをアップデートすると仮定します. このテキストファイルは /etc/mail/sendmail/roaming であるとします.
【cf ファイルの変更】
sendmail.cf を探していくと,
```
F{RoamDom} -o /etc/mail/sendmail/roam_host_domain
```
という行が見つかります. この直後に
```
Kroaming dbm -a@allow@ -o /etc/mail/sendmail/roaming
```
を追加します. これは, /etc/mail/sendmail/roaming.dir と /etc/mail/sendmail/roaming.pag というデータベースからの読み出しを指定しているマクロです.
ここで指定された SMTP 接続元（ 2.2.2.2 ）からのメールで, エンベロープＦＲＯＭとして, userA@math.nagoya-u.ac.jp を持つメールはその他の条件に関係なく中継を許可します.
ここで, math.nagoya-u.ac.jp はメールサーバのドメイン名 Dm によって指定される文字列です.
【cf ファイルの変更】
- sendmail.cf を探していくと, Scheck_mail で始まる行が見つかります. （これはエンベロープＦＲＯＭに関するチェックを行う, check_mail ルールセットです.）その中で,
```
R$={RoamIP}$* $| $* $| $*	$@ $>Check_mail_roam $4
R$* $| $*$={RoamDom} $| $*	$@ $>Check_mail_roam $4
R$={LocalIP}$* $| $* $| $*	$@ $>Check_mail_local $4
R$* $| $*$={LocalDom} $| $*	$@ $>Check_mail_local $4
R$={ClientIP}$* $| $* $| $*	$@ $>Check_mail_client $4
R$* $| $*$={ClientDom} $| $*	$@ $>Check_mail_client $4
```
  という行が見つかります. この行の直後に
```
R$* $| $* $| $*<@$=m>$*		$: $1 $| $2 $| $(roaming $3@$1 $) $| $3<@$4>$5
R$* $| $* $| $* @allow@ $| $*<@$=m>	$@ $>Check_mail_local $4<@$m>
R$* $| $* $| $* $| $*		$: $1 $| $2 $| $4 
```
  を追加します.
  【解説】
  check_mail ルールセットの上の行の直前までには, LHS として,
```
${client_addr} $| ${client_name} $| sender<@sender_domain>
```
  というものが来ていますから, 追加した１行めで, sender_domain が $m に一致していれば, sender@${client_addr} をデータベース roaming から検索します. もし, 一致するエントリが存在すれば, LHS は
```
${client_addr} $| ${client_name} $| comment @allow@ | sender<@sender_domain>
```
  と書き替ります. したがって, 追加した２行めにマッチし, その場合, 内部からのメールと認識すれば良いので, check_mail_local ルールセットに行きます.
  もし, 一致しない場合には, $| で区切られた第３番目のフィールドを削り（追加した３行め）ます.
- さらに, Scheck_rcpt で始まる行を探し（これはエンベロープＴＯに関するチェックを行う check_rcpt ルールセットです.）, その中で,
```
R$={RoamIP}$* $| $* $| $* $| $*		$@ $>Check_rcpt_roam $4 $| $5
R$* $| $*$={RoamDom} $| $* $| $*	$@ $>Check_rcpt_roam $4 $| $5
R$={LocalIP}$* $| $* $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5
R$* $| $*$={LocalDom} $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5
R$={ClientIP}$* $| $* $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5
R$* $| $*$={ClientDom} $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5
```
  という行が見つかります. この行の直後に
```
R$* $| $* $| $*@$=m $| $*		$: $1 $| $2 $| $(roaming $3@$1 $) $| $4 $| $5
R$* $| $* $| $* @allow@ $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5
R$* $| $* $| $* $| $* $| $*		$: $&{client_addr} $| $&{client_name} $| $&f $| $5
```
  を挿入します.
  【解説】
  check_rcpt ルールセットの上の行の直前までには, LHS として,
```
${client_addr} $| ${client_name} $| from@address $| sender<@sender_domain>
```
  というものが来ています. その後の書き換えは check_mail ルールセットの場合と同じです.
ここまで書き換えて, check_mail , check_rcpt ルールセットのテストを行うと, 以下のような問題が出ることがわかります.
- CLIENT_* に一致する場合に, エンベロープＦＲＯＭが spamtest@ の時に, check_mail ルールセットから spamtest @ が帰ってくる.
  【対処法（cf ファイルの変更）】
  Check_mail_client ルールセットの最終行に
```
R$-@	$@ $>Check_mail_client $1<@>
```
  を挿入します.
- ROAM_* に一致する場合に, エンベロープＦＲＯＭが spamtest@ の時に, check_mail ルールセットから spamtest @ が帰ってくる.
  【対処法（cf ファイルの変更）】
  Check_mail_roam ルールセットの先頭行に
```
R$-                     $@ $>Check_mail_remote $1       user
R$-@                    $@ $>Check_mail_remote $1       user
```
  を挿入します.

メールの中継制限で使われている規則 LOCAL_* , CLIENT_* , ROAM_* , APOP 認証による roaming のうち, CLIENT_* , ROAM_* には重複がある可能性があります. さらに, ROAM_* に一致し, CLIENT_FROM 以外のものを発信したいという可能性を考慮する必要があります.

現実的には, CLIENT_* は内部のホストをすべて指定し, ROAM_* には, ダイアル・アップ接続（内部ホスト）と, 特別な外部のホスト（教官の自宅にあるドメインなど）を指定しています. さらに, ダイアル・アップ接続などでは, 特別に許可した外部のメールアドレス（たとえば, プロバイダのアドレス）などで発信を認める必要があります.

ここまでの設定であると, これらがコンフリクトしているので, それを修正するために, 以下のような変更を行います.

check_mail ルールセットでの

R$={RoamIP}$* $| $* $| $*	$@ $>Check_mail_roam $4
R$* $| $*$={RoamDom} $| $*	$@ $>Check_mail_roam $4
R$={LocalIP}$* $| $* $| $*	$@ $>Check_mail_local $4
R$* $| $*$={LocalDom} $| $*	$@ $>Check_mail_local $4
R$={ClientIP}$* $| $* $| $*	$@ $>Check_mail_client $4
R$* $| $*$={ClientDom} $| $*	$@ $>Check_mail_client $4

を

R$={LocalIP}$* $| $* $| $*	$@ $>Check_mail_local $4
R$* $| $*$={LocalDom} $| $*	$@ $>Check_mail_local $4
R$={ClientIP}$* $| $* $| $*	$@ $>Check_mail_client $4
R$* $| $*$={ClientDom} $| $*	$@ $>Check_mail_client $4
R$={RoamIP}$* $| $* $| $*	$@ $>Check_mail_roam $4
R$* $| $*$={RoamDom} $| $*	$@ $>Check_mail_roam $4

に変更し,

check_rcpt ルールセットでの

R$={RoamIP}$* $| $* $| $* $| $*		$@ $>Check_rcpt_roam $4 $| $5
R$* $| $*$={RoamDom} $| $* $| $*	$@ $>Check_rcpt_roam $4 $| $5
R$={LocalIP}$* $| $* $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5
R$* $| $*$={LocalDom} $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5
R$={ClientIP}$* $| $* $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5
R$* $| $*$={ClientDom} $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5

を

R$={LocalIP}$* $| $* $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5
R$* $| $*$={LocalDom} $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5
R$={ClientIP}$* $| $* $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5
R$* $| $*$={ClientDom} $| $* $| $*	$@ $>Check_rcpt_inside $4 $| $5
R$={RoamIP}$* $| $* $| $* $| $*		$@ $>Check_rcpt_roam $4 $| $5
R$* $| $*$={RoamDom} $| $* $| $*	$@ $>Check_rcpt_roam $4 $| $5

に変更します.

さらに, Check_mail_client ルールセットの

R$-			$@ OK				user
R$-<@$=w>		$@ OK				user@localhost
R$-<@$*$={ClientFrom}>	$@ OK				user@good.domain

の直後に

R$*			$: $&{client_name} $| $1
R$*			$: $&{client_addr} $| $1
# Now, we have "${client_addr} $| ${client_name} $| original_token"
R$={RoamIP}$* $| $* $| $*	$@ $>Check_mail_client_and_roam $4
R$* $| $*$={RoamDom} $| $*	$@ $>Check_mail_client_and_roam $4
R$* $| $* $| $*			$: $3

を挿入し, 新しいルールセット Check_mail_client_and_roam を追加します.

SCheck_mail_client_and_roam
R$-			$#error $@ 5.7.1 $: 553 FQDN addressing required
R$-@			$#error $@ 5.7.1 $: 553 FQDN addressing required
R$*<@$*>$*		$: $1<@$2>$3 $| $1@$2$3
R$* $| $={RoamUsers}	$@ OK	matches to {RoamUsers}
R$* $| $*		$#error $@ 5.7.1 $: 553 Sorry, your address is not for our domain

このルールセットに到達するものは, CLIENT_* , ROAM_* の両方に一致し, エンベロープＦＲＯＭが CLIENT_FROM に一致しないものに限ります. そこでエンベロープＦＲＯＭが ROAM_USERS に一致したものだけをＯＫと見なし, そうでないものはエラーと処理します.
ここの場面で Check_mail_roam ルールセットを使ってしまうと, ROAM_USERS に一致しないものが, Check_mail_remote ルールセットに行き, 外部からのメールと見なされてしまいます. つまり, 本来は内部からのメールにも関わらす, 外部からのメールと見なされ, 内部宛のメールだけは中継が行われてしまいます.

さらに問題点を見つけてしまいました. 最初の CF の定義ファイルでは, *.math.nagoya-u.ac.jp 宛のメールも受け取ることになっていたのですが, rabbit.math.nagoya-u.ac.jp 宛以外のものを受け取ってくれません. これは, Check_rcpt_local ルールセットで, そのような形のものをローカルと見なしていないためと思われます.
そのため, Check_rcpt_local ルールセット中で, 以下のような書き換えを行います.

# destination address check (localization)
R$* $| <@$=w>:$*	$1 $| $>3 $3			strip my acceptables
R$* $| $*<@$=w>		$1 $| $>3 $2			strip my acceptables
R$* $| <@$*$={AcceptDom}>:$*	$1 $| $>3 $4		strip my acceptables
R$* $| $*<@$*$={AcceptDom}>	$1 $| $>3 $2		strip my acceptables

の中間に２行追加します.

# destination address check (localization)
R$* $| <@$=w>:$*	$1 $| $>3 $3			strip my acceptables
R$* $| $*<@$=w>		$1 $| $>3 $2			strip my acceptables
######### (Naito for lower one token)
R$* $| <@$-.$=m>:$*	$1 $| $>3 $4			strip my acceptables
R$* $| $*<@$-.$=m>	$1 $| $>3 $2			strip my acceptables
#########
R$* $| <@$*$={AcceptDom}>:$*	$1 $| $>3 $4		strip my acceptables
R$* $| $*<@$*$={AcceptDom}>	$1 $| $>3 $2		strip my acceptables

これで, *.math.nagoya-u.ac.jp 宛のメールも受け取ることができます.

以上で sendmail.cf の変更はおしまいです.

こんなに書き換えるのなら, もう少し整理して書き換えた方が良いような気になってきましたが...

naito@math.nagoya-u.ac.jp