現在、次のルールを使用しています。
ufw allow out from my_local_ip to any port 587
これは私の好みには少しゆるすぎます。私はそれを強化し、GmailのSMTPサーバーIPアドレスのみに制限したいと思いますが、それらは常に変化しています。発信メールが宛先に届かなくなるまで待ち、ブロックされたIPアドレスのsyslogを確認し、それをufw構成スクリプトに追加しました。しかし、今でははるかに高い信頼性が必要です。
Ufwでsmtp.gmail.comを使用する方法はありますか?私はそうは思わないが、私は尋ねると思った。他のアイデアはありますか?ありがとう。
更新
Izxの提案を受けて、whoisから次の(短縮)情報を取得しました。
$ whois 74.125.53.108
...
NetRange:74.125.0.0-74.125.255.255
CIDR:74.125.0.0/16
...
この情報を使用して、UFW構成スクリプトで次のコマンドを作成しました(他にも開く範囲があることに気付きました。これは単なる例です)。
ufw allow out from 192.168.2.5 to 74.125.0/24.0/24 port 587
しかしufwはそれを好みません。だから私はそれを次のように変更しました:
ufw allow out from 192.168.2.5 to 74.125.0.0/24 port 587
このufwは受け入れましたが、明らかにこれは3番目のオクテットが0であるこの範囲のアドレスのみをブロックします。では、3番目のオクテットについても0-255を取得するにはどうすればよいですか
ドメインを定期的に解決し、ファイアウォールルールを最新のIPで更新するスクリプトが必要です。代わりに、次の方法を試してください。
このようなドメインには、多くの場合、複数のIPが関連付けられています。 Host domain.tld
を使用してリストを取得します。
$ホストsmtp.gmail.com smtp.gmail.comはgmail-smtp-msa.l.google.com。 gmail-smtp-msa.lのエイリアスです.google.comのアドレスは74.125.127.108 gmail-smtp-msa.l.google.comのアドレスは74.125.127.109 です
しかし、あなたの質問に基づいて、これら2つはおそらく変化し続けます。したがって、ネットブロック全体をホワイトリストに登録することをお勧めします-whois
を使用しますIPを使用:
$ whois 74.125.127.108 NetRange:74.125.0.0-74.125.255.255 CIDR:74.125.0.0/16 OriginAS: NetName:GOOGLE NetHandle:NET-74-125-0-0-1 Parent:NET-74-0-0-0-0 NetType:Direct割り当て RegDate:2007-03-13 Updated:2012-02-24 Ref:http://whois.arin.net/rest/net/NET-74- 125-0-0-1 ...
NetRange
/CIDR
は、74.125.0.0/16のホワイトリストの対象を示します。 Googleはこの範囲のIPをsmtp.gmail.comに割り当てることができます
次のコマンドは、いくつかのドメインを返します。
nslookup -q=TXT _spf.google.com 8.8.8.8
それぞれに対してnslookupを実行します。
nslookup -q=TXT _netblocks.google.com 8.8.8.8
nslookup -q=TXT _netblocks2.google.com 8.8.8.8
nslookup -q=TXT _netblocks3.google.com 8.8.8.8
From: http://support.google.com/a/bin/answer.py?hl=ja&answer=60764
無料のGMailと有料のGSuite GMailは異なるサーバーを使用します。私が実行するとき:
Sudo doveadm dump /home/vmail/acme.com/postmaster/Maildir | grep google.com
209.85.128.0/17
の範囲内のアドレスを提供します。
ARINには、 GOGL に対するAPI応答もあります。