中継の制限−マシンごとの中継【effect.dat】設定

「マシンごとの中継」(effect.dat)設定で拒絶する設定を行う場合は、自身のメールサーバ・SMTPサーバに接続してくる接続元IPアドレスや送信元のエンベロープ情報を調べた上で、【effect.dat】に定義することにより行います。
次の表は、マシンごとの中継【effect.dat】ファイルを記述したときの中継ルールについてまとめたものです。

1. 【effect.dat】未定義(デフォルト)または 【effect.dat】192.168.0.* default 指定時の動作
Recipent > 内部ドメイン
(アカウントあり) 		内部ドメイン
(アカウントなし) 		外部ドメイン
▼ From  
内部ドメイン
(アカウントあり) 		×
内部ドメイン
(アカウントなし) 		× × ×
外部ドメイン
 × ×

2. 【effect.dat】192.168.0.* (true) 指定時の動作 - 対象の中継を無条件に許可します
192.168.0.*からの送信受け付け
Recipent > 内部ドメイン
(アカウントあり) 		内部ドメイン
(アカウントなし) 		外部ドメイン
▼ From  
内部ドメイン
(アカウントあり) 		×
内部ドメイン
(アカウントなし) 		×
外部ドメイン
 ×
192.168.0.*以外からの送信受け付け
Recipent > 内部ドメイン
(アカウントあり) 		内部ドメイン
(アカウントなし) 		外部ドメイン
▼ From  
内部ドメイン
(アカウントあり) 		×
内部ドメイン
(アカウントなし) 		× × ×
外部ドメイン
 × ×

3. 【effect.dat】192.168.0.* false 指定時の動作 - 対象の中継を拒否します
192.168.0.*からの送信受け付け
Recipent > 内部ドメイン
(アカウントあり) 		内部ドメイン
(アカウントなし) 		外部ドメイン
▼ From  
内部ドメイン
(アカウントあり) 		× × ×
内部ドメイン
(アカウントなし) 		× × ×
外部ドメイン
 × × ×
192.168.0.*以外からの送信受け付け
Recipent > 内部ドメイン
(アカウントあり) 		内部ドメイン
(アカウントなし) 		外部ドメイン
▼ From  
内部ドメイン
(アカウントあり) 		×
内部ドメイン
(アカウントなし) 		× × ×
外部ドメイン
 × ×

4. 【effect.dat】192.168.0.* norelay 指定時の動作 - 対象のIPから存在するローカルアカウント宛のメールは受領しますが、外部中継は拒否します
192.168.0.*からの送信受け付け
Recipent > 内部ドメイン
(アカウントあり) 		内部ドメイン
(アカウントなし) 		外部ドメイン
▼ From  
内部ドメイン
(アカウントあり) 		× × (※1)
内部ドメイン
(アカウントなし) 		× × ×
外部ドメイン
 × ×
(※1)SMTP認証で認証されているセッションは、許可(○)されます。
192.168.0.* norelay,0 とすると、SMTP認証で認証されているセッションについても禁止(×)になります。
192.168.0.* norelay,2 とすると、対象IPからの送信は、SMTP認証より優先条件となり一律受領処理されます。
192.168.0.*以外からの送信受け付け
Recipent > 内部ドメイン
(アカウントあり) 		内部ドメイン
(アカウントなし) 		外部ドメイン
▼ From  
内部ドメイン
(アカウントあり) 		×
内部ドメイン
(アカウントなし) 		× × ×
外部ドメイン
 × ×

5. 【effect.dat】192.168.0.* only 指定時の動作 - 指定したIPアドレスのみ接続による外部への中継を許可し、その他のマシンからの接続は外部アカウントから内部アカウントへの受信のみ許可します
192.168.0.*からの送信受け付け
Recipent > 内部ドメイン
(アカウントあり) 		内部ドメイン
(アカウントなし) 		外部ドメイン
▼ From  
内部ドメイン
(アカウントあり) 		×
内部ドメイン
(アカウントなし) 		× × ×
外部ドメイン
 × ×
192.168.0.*以外からの送信受け付け
Recipent > 内部ドメイン
(アカウントあり) 		内部ドメイン
(アカウントなし) 		外部ドメイン
▼ From  
内部ドメイン
(アカウントあり) 		× × ×
内部ドメイン
(アカウントなし) 		× × ×
外部ドメイン
 × ×

【effect.dat】記述例
  1. ネットワーク範囲の制限
    2.  ネットワークの範囲指定を行う場合は、IPアドレスを指定する方法で行ってください。
    IPアドレスと "true"、"default"、"false" などとの間の区切り文字は半角スペースです。[tab]コードでの区切りは無効ですのでご注意ください。
    1. class A の範囲を無条件に許可したいとき
      10.*.*.*
        または
      10.*.*.* true
    2. class B の範囲を無条件に許可したいとき
      192.168.*.*
        または
      192.168.*.* true
    3. class C の範囲を無条件に許可したいとき
      192.168.1.*
        または
      192.168.1.* true
    4. 192.168.1.0〜192.168.1.15のアドレスの範囲を無条件に許可したいとき
      192.168.1.0/28
        または
      192.168.1.0/28 true
    5. 192.168.1.0〜192.168.1.15のアドレスからの受信を拒否したいとき
      192.168.1.0/28 false
    6. 192.168.1.0〜192.168.1.15のアドレスからのみデフォルト条件での中継を可能にしたいとき
      192.168.1.0/28 default
      0.0.0.0 only
    7. 192.168.1.0〜192.168.1.15のアドレスからのみデフォルト条件での中継かつ外部からのローカル宛のみ受信したいとき(他の外部リレーは拒否)
      192.168.1.0/28 default
      *.*.*.* norelay

  2. 送信元エンベロープによる制限
    3.  ドメイン名による指定は送信元エンベロープ(Mail From:)との比較に利用されます。
    下記の例のうち、特に a.c.f.の例の例はドメイン名を "true" 指定していますが、これは理論的に設定可能であるという意味で、実際に設定するとセキュリティ上問題を招きます。たとえば、この指定方法で内部ドメイン名を "true" 設定してしまうと、内部ドメイン名を使って接続されるものは、無条件に受理され、しかもどんなアカウントでもSMTP認証設定に関係なく無条件送信できることになります。通常時には決してしないように十分注意してください。
    IPアドレスと "true"、"default"、"false" などとの間の区切り文字は半角スペースです。[tab]コードでの区切りは無効ですのでご注意ください。
    1. 送信元エンベロープが特定のドメインの場合に受信を許可したいとき (※注意)
      abc.co.jp
        または
      abc.co.jp true
    2. 送信元エンベロープが特定のドメインの場合に受信を拒否したいとき
      abc.co.jp false
    3. 特定の送信元エンベロープの場合に受信を許可したいとき
      abc@abc.co.jp
        または
      abc@abc.co.jp true
    4. 特定の送信元エンベロープの場合に受信を拒否したいとき
      abc@abc.co.jp false
    5. 特定の送信元エンベロープのみ、中継を可能にしたいとき
      abc@abc.co.jp only
    6. ワイルドカードによる送信元エンベロープの場合に受信を許可したいとき
      a*c@abc.co.jp
        または
      a*c@abc.co.jp true
      abc@abc*.co.jp
        または
      abc@abc*.co.jp true
    7. ワイルドカードによる送信元エンベロープの場合に受信を拒否したいとき
      a*c@abc.co.jp false
        または
      abc@abc*.co.jp false
    8. ワイルドカードによる送信元エンベロープのみ、中継を可能にしたいとき
      a*c@abc.co.jp only
        または
      abc@abc*.co.jp only
    9. 送信元エンベロープが空白の場合に拒否したいとき
      #blank false
    10. 送信元エンベロープが "<>" の場合に拒否したいとき
      #<> false
    11. 送信元(MAIL FROM:)のドメイン部が数値(IP)の場合に拒否したいとき
      #number false
    12. 送信元(MAIL FROM:)のドメイン部が空白(アカウントのみ)の場合に拒否したいとき
      #nodomain false
    13. 送信元(MAIL FROM:)のドメイン部がホスト名のみの場合に拒否したいとき
      #host false
ちなみに、【effect.dat】設定に利用する情報は、SMTP受信ログ(inlog)接続マシンログ(acceptlog)などに記録された接続元IPアドレスや送信元アドレスの情報を利用してください。
  1. IPアドレスで設定する場合
    上記ログに記録された"接続元IPアドレス"にあるIPアドレスを設定します。
  2. メールアドレスで設定する場合
    上記ログに記録された"送信元アドレス"にあるメールアドレスを設定します。

(関連FAQ)
中継の制限【effect.dat】で設定する default と true の違い、only の意味は?
中継の制限【effect.dat】での only 指定は特殊な働き方をすることに注意
中継の制限【effect.dat】で最下行に「norelay」の記述行を加えたときの動きについて
中継の制限【effect.dat】でSMTP認証と関連する "norelay,2" オプション
送信しようとすると、' 550 Sorry ・・・, I don't allow unauthorized relaying . ' が表示されて送信できない
SMTP認証有効時に内部アカウントから内部アカウントへ自動転送されない