清水文行 – ページ 4

Comodo affiliate RA was compromised

2011-03-242021-11-16 清水文行

Comodoより重要サイトの証明書が不正な相手に発行されたという記事。RAはどこだったんでしょうか(参考1, 参考2)。ちょっと昔のnull-prefixの証明書の話とは異なります。

Comodo: Report of incident on 15-MAR-2011
Comodo: The Recent RA Compromise
Firefoxの対応(ブラックリスト)(他のMozilla製品の対応は?)
Microsoftの対応(ブラックリスト)(要Windows Update)

How to avoid fraudulent SSLでは、失効した証明書を

OCSPレスポンダが提供されていてOCSPをサポートしているクライアント使用でも
- OCSPを有効にしていない
- OCSPレスポンダの応答がタイムアウトした場合に有効な証明書とみなすようにしている
場合に、クライアント側が有効な証明書とみなしてしまう
大手ブラウザはそのような状況用にブラックリストを更新 ⇒ 最新にせよ
OCSPを有効にせよ、タイムアウト時に証明書を無効として扱うようにせよ
EV SSLを使用せよ(いきなりサーバ側の話)(現在CAはOCSPをサポートしないといけない参照: EV SSL Certificate Guidelines 11.1.1)

などの、サーバ証明書を売る立場での説明があります。特に今回のような大きな問題の場合は、クライアントが検証用にCRLをダウンロードするタイミングよりOCSPレスポンダへの問い合わせのタイミングのほうが早い場合が多いのでしょう。

秘密鍵がポストされてしまったようなので、ブラックリストでの対応があるクライアントは最新にアップデート、OCSPに対応している場合はタイムアウトした場合も無効となることの確認が急がれます。

参考: MS01-017

Japan Earthquake: Possible scams / malware

2011-03-122021-11-16 清水文行

Japan Earthquake: Possible scams / malware 詐欺、マルウェアを撒くメールが発生する可能性があるのでご注意をという記事 ⇒ その後各種発生しています。詐欺メールの内容は読むに耐えません。

Tsunami in Japan…既に検索エンジンに対するポイズニングが成功しているという記事。

国内でも善意につけこむ各種詐欺

CVE-2011-0411 Plaintext injection in STARTTLS

2011-03-082021-11-16 清水文行

Plaintext command injection in multiple implementations of STARTTLS (CVE-2011-0411) Wietseさんが具体例でSendmailとEximに影響が無い理由とPostfix(2.8リリース時に修正済み)やQmail-TLSなどには影響がある理由を示しながら、いつものように上手に説明をしてくれています。
Bugtraqへのポスト
VU#555316
CVE-2011-0411
NVD

多くのSMTPクライアントはサーバ証明書を検証しない -> その場合そもそもMITMがいない確認ができていないので常にcommand injectionに脆弱な状態 -> だからこの問題は見た目より大きな問題ではない。という皮肉が効いてます…今時だとスマホアプリやIoT機器(こちらはそれなりの値段で買わないと手に入らないものが多いので比較的公開されてませんが、某社製のSSLスタックを積んでたりすると…)のサーバ証明書の検証不備の脆弱性がその状態ですね。

というわけでSTARTTLSからみでSMTP over TLS以外にもしばらく後続がありそうです。

入試問題リアルタイムQAサイト投稿問題対策?

2011-03-022021-11-16 清水文行

金属探知機とか免許とって電波ジャマー導入とか技術的対策はされるでしょうが、ポイント制集合知サイトに限って言うならば、ポイント欲しさに検索して得た文章が適当に転記され、さらに悪いことに締め切ることができるのでいい加減な答えのまま締め切られてしまい修正もできない、という状態のものが少なくありません。正しいかどうかを見極める能力が必要である性質を利用すれば次のような対策が可能?

例えば英語の場合、大学側が英語のテストで赤点を取りまくるけど英語が大好きな生徒を集めます。あるいは人材派遣会社が英語が大好きだけど英語のテストではまったく点が取れない陽気な人を集めます(自分の場合、英語の点が取れない上に好きではないので答を書くことすらできない)。そしてどんな質問にも即答できるように簡単な講習を行います。正しい答えを書くのではなく、とにかくすばやくいい加減に回答する練習です。古きよき例を使うと「あなた方の基地は竹の子に占拠された」を即座に「ALL YOUR BASE ARE BELONG TO BAMBOO CHILDREN」と英訳できればOKです。そして試験当日QAサイトにへばりつかせてがんがん回答させます。これで自動的に容疑者は落第になります。おかしな回答であることで論文盗作チェッカーと同じような仕組みでのチェックも容易になるはずです。

とアホなことを書きましたが、今度はQAサイトから「偽計業務妨害罪」に問われちゃしゃれにならないし、そして何より本当に何か知りたかった人が巻き添えを食うことなので実行するわけにはいかないです。これからQAサイト側も自主的に入試時間中は新規質問受付停止とかするのかもしれませんが、なぜ公開サイトを利用したのかも不明ですし、いたちごっこなのでその方向での対策は無意味かもしれません。お後がよろしゅう。

しかし、結局ガラ携から直投稿ですか…たいした捜査もする必要もなかったということですね…

ハンドルネームという字面を頻繁に目にしたので久々に検索してみて見つけたこのページ「Handle Name は間違った英語か」とても面白く拝読しました。

自転車用リアチャイルドシートリコール問題

2011-03-022021-11-16 清水文行

鉄製「自転車用リヤチャイルドシート」無償交換のお知らせを何気に見てから街を歩いていると、あることあること、そこらじゅうにあります。いや、まじで。それもそのはず〈ニュースリリース〉「鉄製自転車用後席幼児座席(リヤチャイルドシート）」無償交換のお知らせ　〜リコール対象の拡大〜にあるだけで別ブランドもあわせて569,523台。自転車に人がいて止まっていたら、買ったチャリンコ屋で確認した方が良いかもと声をかけるようにしていますが、ぜんぜん知らなかったという人が結構多い感じです。検索してみると、安全には代えられないものの交換品が色も選べないという不満が多いようです。というわけで少しでも多くの人が知る助けになればとJFYIでした。

FreeBSD ACPI acpi_tz0: _CRT value is absurd, ignored (256.0C)

2011-02-242021-11-16 清水文行

HP Compaq nx6320/CT Notebook PC(ノートPC)にFreeBSDをぶち込んだところ表題のメッセージが出続けます。absurdですか、そうですねハンダが溶けそうです。acpi(4) と SEE ALSO の acpi_thremal(4) が関係ありそうです。 hw.acpi.thermal.tz%d._CRT は致命的なのでシャットダウンする温度だそうな。上書きできると書いてありますが、実は一瞬できるように見えるだけですぐにもとの値に戻るようです。 hw.acpi.thermal.polling_rate を 0 にしてポーリングを止めてしまうという荒技だと猛暑のときに機械が壊れそうなので、こちらacpi_tz0: _CRT value is absurd, ignored (256.0C) (was pr kern/105537) FIX?のようにしてみます。

# acpidump -dt >nx6320.asl
# cp -p nx6320.asl nx6320.asl.orig

1 2	# acpidump -dt >nx6320.asl # cp -p nx6320.asl nx6320.asl.orig

中身を眺めると、 ThermalZone (TZ0) の中が記事で参照しているところと同様のようです。単位は0.1Kのようなので、90℃=363.15K=3631.5*0.1K を返すようにしてみます。

--- nx6320.asl.orig     2011-02-10 19:49:59.000000000 +0900
+++ nx6320.asl  2011-02-10 23:12:08.000000000 +0900
@@ -12942,7 +12942,8 @@

             Method (_CRT, 0, Serialized)
             {
-                Return (C316 (0x04, 0x00))
+                Return (3632)
             }

             Method (_TMP, 0, Serialized)

--- nx6320.asl.orig 2011-02-10 19:49:59.000000000 +0900

+++ nx6320.asl 2011-02-10 23:12:08.000000000 +0900

@@ -12942,7 +12942,8 @@

Method (_CRT, 0, Serialized)

{

- Return (C316 (0x04, 0x00))

+ Return (3632)

}

Method (_TMP, 0, Serialized)

これを元に

# mkdir tmp
# iasl ./nx6320.asl
# mv -i ./tmp/acpidump.aml /boot/nx6320.aml

# mkdir tmp

# iasl ./nx6320.asl

# mv -i ./tmp/acpidump.aml /boot/nx6320.aml

あとはハンドブックの通りに /boot/loader.conf に以下を追加。

acpi_dsdt_load="YES"
acpi_dsdt_name="/boot/nx6320.aml"

1 2	acpi_dsdt_load="YES" acpi_dsdt_name="/boot/nx6320.aml"

リブートして表題のメッセージは止まりました。よかったよかった。

PivotXを利用されている方は最新版にアップデートするべし (was: PivotXを利用されている方は2.2.5以降へアップデートするべし CVE-2011-1035)

2011-02-152021-11-16 清水文行

2011/10/8追記: WordPress TimThumb RFI Vulnerability used as Botnet Recruitment Vectorにあるようなurlがquery string上で目立つTimThumbを狙ったアクセスを頻繁に観測していますが、PivotXも2.3.0のリリースノートでさりげなく書いてあるように本体がTimThumbを搭載しています。常にリリース状況を確認して最新にされることをお勧めします。なおこの問題に脆弱なPivotXのfingerprintingも、多くのケースでそうであるようにヘッダも含めてバージョン表示を消したところで即時に可能です。

2011/2/19追記: CVE-2011-1035, Vulnerability Note VU#175068

2011/2/14: PivotX 2.2.4がリリースされても告知が無く、SourceForgeにもリリースのアーカイブファイルがアップロードされないのでどうなっているのか見てたところ、フォーラムで開発チームからいくつか発言が出てきました。

2.2.4は緊急セキュリティ修正、そしてまもなく2.2.4での修正による悪影響を修正した2.2.5が~~出てくるそうです~~2011/2/17早朝に2.2.5リリースされました。SourceForgeにも置かれています。実際に攻撃があったことが複数報告されています。開発チームは詳細の公開を望んでいないようですが、結構誰でもすぐにわかってしまうかも…というかそもそも攻撃が現在進行形であるようなので可及的速やかに~~2.2.4、そしてリリースされ次第~~2.2.5以降にアップデートする必要があることになります。 http://pivotx.net/ の下の方にある最新情報を軒並み注意しておくとよろしいかと思います。アップデートだけではなく images/ と pivotx/templates/ を含むすべてのフォルダにmalwareが置かれていないことも要確認です。必要の無いファイルがある場合はダッシュボードに注意をうながすメッセージが出るようですが、出ないからと安心してしまわないようにしたいものです。全員のユーザ名が予測困難なものであることの確認とパスワードの変更を検討された方がよろしいかもしれません。

直接この問題とは関係無く、admin,system,pivotxなどの容易なユーザ名や、簡単にblogエントリから推測できるようなユーザ名は使用しないことを周知するとよろしいです。またCSRFはかわせないですがscript kiddieによる外部からのpivotx/index.phpへの直接攻撃には、例えばApache HTTPDで10.1.2.128/25,192.168.0.0/16からしかログインできないようにして良い状況でサーバ設定ファイルが変更できるのであれば

<locationMatch "^/*yourblogdir/+pivotx(?:/+(?:index(?:..*)?)?)?$">
   Order Deny,Allow
   Deny from all
   Allow from 10.1.2.128/25
   Allow from 192.168.0.0/16
</locationMatch>
とか
<locationMatch "^/*yourblogdir/+pivotx(?:/+(?:index(?:..*)?)?)?$">
   <RequireAny>
     Require ip 10.1.2.128/25
     Require ip 192.168.0.0/16
   </RequireAny>
</locationMatch>

Order Deny,Allow

Deny from all

Allow from 10.1.2.128/25

Allow from 192.168.0.0/16

</locationMatch>

とか

Require ip 10.1.2.128/25

Require ip 192.168.0.0/16

</RequireAny>

</locationMatch>

さらに403では無くてリダイレクトさせるには追加で

RewriteEngine On
RewriteCond %{REMOTE_ADDR}  !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$
RewriteCond %{REMOTE_ADDR}  !^192.168.
RewriteRule ^/*(yourbogdir)/+pivotx(?:/+(?:index(?:..*)?)?)?$    /$1/? [R=301,L]

RewriteEngine On

RewriteCond %{REMOTE_ADDR} !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$

RewriteCond %{REMOTE_ADDR} !^192.168.

RewriteRule ^/*(yourbogdir)/+pivotx(?:/+(?:index(?:..*)?)?)?$ /$1/? [R=301,L]

.htaccessしか使えない場合はyourblogdir/pivotx/.htaccessファイルを作成して

RewriteEngine On
RewriteCond %{REMOTE_ADDR}  !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$
RewriteCond %{REMOTE_ADDR}  !^192.168.
RewriteRule ^(?:index(?:..*)?)?$ - [F,L]

RewriteEngine On

RewriteCond %{REMOTE_ADDR} !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$

RewriteCond %{REMOTE_ADDR} !^192.168.

RewriteRule ^(?:index(?:..*)?)?$ - [F,L]

(yourblogdirはそれぞれの環境に合わせて)程度の制限をしておいても良いかもしれません。くどいようですがCSRFはこれでは防げません。pivotx/index.phpを利用した直接攻撃だけに対する限定的な緩和策で、基本は常に最新版へのアップデートです。

なおこの問題に脆弱なPivotXのfingerprintingは、多くのケースでそうであるようにヘッダも含めてバージョン表示を消そうとも即時に可能です。

2011/2/22:

netname: VODAFONE-TURKEY-3G-46-106
descr:   Vodafone Turkey 3G IP Pool
country: TR

netname: VODAFONE-TURKEY-3G-46-106

descr: Vodafone Turkey 3G IP Pool

country: TR

から、google.com.tr の検索語 “inurl:jp pivotx” のSERPがReferer:の攻撃を観測しましたよ。

2011/2/17早朝:2.2.5がリリースされてSourceForgeにも置かれました。

2011/2/16朝:pivotx.netさきほど復活しました。

2011/2/15現在:pivotx.netがある共有サーバがダウンしてSourceForgeでも2.2.4以降のリリースとしてのアーカイブは入手方法がありませんが、SVNにコミットされたリリース前版は入手可能です:

http://sourceforge.net/projects/pivot-weblog/develop
http://web.archive.org/web/20160416045740/http://book.pivotx.net/page/1-2 trunk は現在2.3pre-alphaだそうなので、2.2系利用中の方は2.2.xのbranchが良いかと思います。SVN無しでもSorceForgeのレポジトリからのtar機能も一応使えます。リリース前なのでバージョン表記の変更が入ってませんが、 svn co した場合は pivotx/lib.php の $Rev$ が 3505 以降になっているはずです。なおリリースのアーカイブに含まれるextentionsは別途取得となります。gettextの.poファイルはPixotXの実行時に必要ありません。
- svn co https://pivot-weblog.svn.sourceforge.net/svnroot/pivot-weblog/branches/2.2.x 2.2.x
- http://pivot-weblog.svn.sourceforge.net/viewvc/pivot-weblog/branches/2.2.x/

浮動少数問題 Java版 CVE-2010-4476

2011-02-112021-11-16 清水文行

NIST: Vulnerability Summary for CVE-2010-4476 2011/2/18に update 24 関連CVE(結構たくさん)summaryが有効になりました。
Security Alert For CVE-2010-4476 Released
Oracle Security Alert for CVE-2010-4476
CVE-2010-4476(description入りました)

どっかで見たことのある数字のような気がしますが(表記されている1個の値だけではなく範囲になります。DoS仕掛けてくれちゃってる人検出用シグナチャを作る方はこちらやそこから参照されているOpenJDKのBTSですがこちらを。少数をパースする場面って何気に多いですね)。さっそくfp87な機械のEclipseにコピペして自動的に文法チェックされた日にはそのままEclipseハングするので半べそです。2011/2/15に(日本では15日深夜にJava SE 6 Update 24登場しました)6u24が出るまではJava SE Floating Point Updater Toolでしのぎましょうということなので管理者権限でunzipしたjarを実行したら、一生懸命ランタイムライブラリをばらかしてからアーカイブし直してるようでした。インストール先の空き容量がぎりぎりな人はちょっと注意かも。

IPv4無くなりました

2011-02-012021-11-16 清水文行

枯渇時計を表示させていた方はお気づきのことでしょうが、IANAから通常の分配が終了し、Two /8s allocated to APNIC from IANA や【速報】IANAからAPNICへ、二つの/8ブロックが割り振られましたによると近日中に最後の/8の5ブロックを5つのRIRに割り振って完全終了になるそうです。v4.fullbogons.cymru.com は今年から来年にかけて bogons.cymru.com との違いがほとんどなくなるはずです。(Bogons vs. Fullbogons – what’s that all about?) とはいえまだあるっちゃあるわけですが…

2011/4/16 追記:APNICにも通常割り振りの在庫が無くなったそうです。

2011/2/5 参考追加

DNSSEC始めました

2011-01-272022-09-27 清水文行

祝ルートからJPへのチェイン。弊社が利用しているドメイン(co.jp jp ch me es be dk com net org…)もすべてDNSSECおよびDANE/TLSA対応完了。DNSSECが有効でTLSA RR,CAA RRにも対応したセカンダリDNSサーバ,DANE,TLSA,DMARC,DKIM,SPFに関するご相談は弊社へどうぞ。と宣伝をしたところで以下は設定を確認するためのリンク集と自分で確認する手順。

続きを読む →

タイムゾーンのオフセット+09:18:59 はて、18:59はなんぞや?

2011-01-152021-11-16 清水文行

いろいろ検索したつもりでしたが、実は :18:59 timezone と検索することで先人の方々のサイトがヒットし、Google先生がいれば誰でも天才ということで表題の件は簡単に速攻で解決できたことがわかりました。しかしせっかく書いたので恥ずかしながら公開しておきます…

続きを読む →

グリッドへ行く準備

2011-01-152021-11-16 清水文行

TRON Legacy(sun4m i386)を3Dで見たついでにトロンシティへ行く準備をしてみます。

> cd ~/tmp
> tar xjvf binutils-2.21.tar.bz2
> cd binutils-2.21
> ./configure --target=sparc_i386-encom-solaros4 --prefix=~/tron/legacy
> make install
> cd ..
> tar xjvf gcc-core-4.6-20110101.tar.bz2
> tar xjvf gcc-g++-4.6-20110101.tar.bz2
> cd gcc-4.6-20110101
> ./configure --target=sparc_i386-encom-solaros4 --prefix=~/tron/legacy
> make install

> cd ~/tmp

> tar xjvf binutils-2.21.tar.bz2

> cd binutils-2.21

> ./configure --target=sparc_i386-encom-solaros4 --prefix=~/tron/legacy

> make install

> cd ..

> tar xjvf gcc-core-4.6-20110101.tar.bz2

> tar xjvf gcc-g++-4.6-20110101.tar.bz2

> cd gcc-4.6-20110101

> ./configure --target=sparc_i386-encom-solaros4 --prefix=~/tron/legacy

> make install

あとはケビンのプログラムと、テーブル型の筐体にSPARCとi386をぶっこんだシステムを作れば、って普通に並列にするのと違って限りなく大変そうですね。上のも動くわけもなく。お後がよろしゅう。

P.S. config.guessに sparc86x なんてのを見つけました。これなんでしょうね。

TRON Legacy(sun4m i386)を3Dで見てまいりました。

2011-01-142021-11-16 清水文行

良い評判でないながらもそれなりに面白かったので小さいころTRON見とけばよかったと思いました。みなさんどんなストーリーを期待されていたのでしょう。でそんな中、ディスプレイのホコリをなぜか素手で拭き、そしてなぜか既に開いているターミナルエミュレータからloginしようとしているシーン(確かリモートに向かってではなくてloginコマンドをぶち込んでいるように見えた、つまり既に開いているターミナルエミュレータの権限では足りず、なんらかの他の権限を持ってないといけないらしい)があります。ニヤッとするシーンですが、そのまま目の前を

... sun4m i386 ...

1	... sun4m i386 ...

と一瞬よぎります。学生時代から新入社員時代あたりの遠い記憶ながらも、んなアホなと突っ込むシーンでしょうか。BSD由来のSunOS時代である設定なはずのとおりにSolarisなんて野暮は無し、SunOSとだけあったと思いますが(実はSolarOSと書いてあったそうです)、ちゃんと小ネタも仕込んであってにくいですのぉ…はてさて…

Sun(Oracle)のドキュメント検索してみます。ありました。Platform Names and Groups今でも中古屋で転がっていたりする懐かしいものがたくさんという感じです。sun4mアーキテクチャはSPARCのマルチプロセッサ、というわけでi386と共存できないですね。i86pcではないところもミソで、やっぱり正しく突っ込みどころであったようです。くだらないことを調べてる間に実はtopが動いていて、uptimeが9日じゃおかしーだろ、とか突っ込んでるサイトもあったり、他にも小ネタがいろいろあるようですが、topはその時代に既にあったのか(なんと、あったんですねぇ…)とかも含めてブルーレイででも見る機会があったときのお楽しみにとっておくことにします。

最強は”Unix! I know this!”とか言いながらマウスでIRIXを使うジュラシックパークかなぁ…

devel/libltdl22 (port directory error)

2010-12-152016-08-26 清水文行

portupgrade中

        - devel/libltdl22 (port directory error)
        - devel/libtool22 (port directory error)

1 2	- devel/libltdl22 (port directory error) - devel/libtool22 (port directory error)

毎度おなじみ/usr/ports/UPDATING を見ると、バージョン付きでなくなったものがいろいろあるようです。

# portmaster -o devel/autoconf devel/autoconf268
# portmaster -o devel/automake devel/automake111
# portmaster -o devel/libtool devel/libtool22
# portmaster -o devel/libltdl devel/libltdl22

# portmaster -o devel/autoconf devel/autoconf268

# portmaster -o devel/automake devel/automake111

# portmaster -o devel/libtool devel/libtool22

# portmaster -o devel/libltdl devel/libltdl22

か

# portupgrade -o devel/autoconf devel/autoconf268
# portupgrade -o devel/automake devel/automake111
# portupgrade -o devel/libtool devel/libtool22
# portupgrade -o devel/libltdl devel/libltdl22

# portupgrade -o devel/autoconf devel/autoconf268

# portupgrade -o devel/automake devel/automake111

# portupgrade -o devel/libtool devel/libtool22

# portupgrade -o devel/libltdl devel/libltdl22

で置き換えるように指示されていますが、多くの人がビルド専用でしょうから

# pkg_deinstall -R autoconf-\* automake-\* libtool-\*
# portsnap fetch && portsnap update
# portupgrade -o devel/libltdl devel/libltdl22

# pkg_deinstall -R autoconf-\* automake-\* libtool-\*

# portsnap fetch && portsnap update

# portupgrade -o devel/libltdl devel/libltdl22

で十分かも。

PDF -> e-mail添付 -> FAX送信でペーパレス続爆速インストールHylaFAX

2010-11-062016-08-26 清水文行

FAX受信 -> e-mailに引き続き今度は送信側。不適切な設定で勝手に使われるなどして莫大な電話代請求されても責任は取れませんので、細心のご注意を。HylaFAXクライアントを使用すればキューの制御もできて便利ですが、いろいろなOSで使えるような良いものを探すのも面倒です。今回はHylaFAX付属のfaxmailをPostfix経由で使用します。メールを読んでlatin1テキストならばそのまま、MIMEならば引っぺがして変換可能であれば変換してsendfaxに送り込んでくれます。

あて先の電話番号は [email protected] (Postfix master.cfで${user}使用) でも [email protected] (${extension}使用) でも良いですが、今回は簡単のために後者にします。まかり間違っても認証もなしに普通にインターネットから到達できる構成にしてはいけないです。

適切に設定されて動作している内部向け専用Postfixの etc/postrix/master.cf に

fax        unix -       n       n       -       1       pipe
  flags=q user=uucp argv=/usr/local/bin/faxmail -n -T -s a4 -t done -d ${extension}

1 2	fax unix - n n - 1 pipe flags=q user=uucp argv=/usr/local/bin/faxmail -n -T -s a4 -t done -d ${extension}

を追加。ここで指定したfaxという名のサービスに [email protected] で到達させるために、etc/postfix/transports(etc/postfix/main.cfでtransport_maps=regexp: で指定されている場合)に、

/^hoge\+\+?[-.0-9a-yA-Y]{5,13}@fax.test$/       fax:

1	/^hoge\+\+?[-.0-9a-yA-Y]{5,13}@fax.test$/ fax:

を、引っかかるような位置に追加。local_recipient_mapsが/etc/aliases.dbと指定されている場合はreject_unlisted_recipientが使えるように/etc/aliasesに hoge: root とでも追加してnewaliasesしておきます。etc/postfix/main.cfのmydestinationに@のドメイン部分であるfax.testを追加すればPostfixの設定終了でPostfix再起動。

HylaFAXのサーバはデフォルトでIPv6の*:4559をlistenしていて、クライアントはデフォルトでlocalhostのサーバにアクセスします。/etc/hostsで::1がlocalhostではなくてlocalhost-v6である場合には/usr/local/lib/fax/hyla.confに

Host: localhost-v6

1	Host: localhost-v6

を追加。パスワード無しでサーバにアクセスするために/var/spool/hylafax/etc/hosts.hfaxdに

localhost (/etc/hostsの::1の行の先頭)

1	localhost (/etc/hostsの::1の行の先頭)

を追加。この時点で

faxstatコマンドが認証無しで実行できてしまうようになります。続いて/usr/local/lib/fax/faxmail.confに

PageHeaders: Yes
AutoCoverPage: No
Headers: clear

PageHeaders: Yes

AutoCoverPage: No

Headers: clear

などをお好みで追加。/var/spool/hylafax/bin/notifyの内容を見ながら、お好みで/var/spool/hylafax/etc/FaxNotify作成。

TOADDR=FaxMaster@example.jp
NOTIFY_FAXMASTER=errors

1 2	[email protected] NOTIFY_FAXMASTER=errors

hfaxd(hylafax)再起動。ここまでで [email protected] 宛e-mailにPDFやPostScriptを添付しするとFAXとして送信されるようになりました。残念なことにfaxmailはMIMEではないメールの扱いがlatin1のみでtyperulesも効かないので修正が必要です。時間が取れたらパッチ作成。万が一電話番号を間違えたら自力でfaxstatしてfaxrmするのが手間ですが、PDF添付でFAXが送れるだけでも十分実用的。

kana.me 要

投稿者: 清水文行