postfix MTA基本 LinuC102 第8回

LinuC レベル1 102試験対策シリーズの第8回です。前回はログ管理を扱い、/var/log/maillog という名前を目にしました。今回はその maillog を実際に育てる主役 ── メール配送エージェント（MTA） を扱います。MTA の代表格 postfix を導入し、mail コマンドでメールを送り、mailq でキューを確認し、/etc/aliases でローカル配送先を整える、という一連の流れを実機で読み解きます。

サーバ運用では「cron の実行結果」「監視アラート」「バックアップ完了通知」をメールで受け取る場面が多く、MTA はその土台になります。

環境前提

ディストロ：AlmaLinux 9.6（Minimal Install）
ユーザー：developer（sudo NOPASSWD）
検証環境：Hyper-V on Windows 11
関連VM：linuc-alma（10.0.10.132）
導入パッケージ：postfix（MTA本体）、s-nail（mail コマンドを提供）。本記事の演習で dnf install する
本記事はローカル配送（同一ホスト内）と mail コマンドの動作確認が中心。外部サーバへの中継・受信は設定書式の紹介に留める

コンテンツ

今ここマップ
この記事で身につくこと
第1章：メールの登場人物 ── MUA / MTA / MDA
第2章：postfix の導入と最小構成
第3章：mail コマンドでメールを送る
第4章：メールキューの確認と操作
第5章：エイリアス ── /etc/aliases
第6章：オープンリレーを避ける
- 6.1 オープンリレーとは
- 6.2 既定の postfix は安全
第7章：現場での使いどころ
- 現場での使いどころ
第8章：ヒヤリハット
第9章：やってみよう
理解度チェック
次回予告
LinuC 102 試験対策シリーズ（全12回）

今ここマップ

LinuC 102 試験対策シリーズ（全12回）

  第1回 シェル環境のカスタマイズ
  第2回 Bashスクリプト入門
  第3回 ネットワーク基礎
  第4回 ネットワークトラブルシューティングとDNS
  第5回 ユーザ・グループ管理と sudo 設定
  第6回 ジョブスケジューリングと時刻管理
  第7回 ログ管理実践
▶ 第8回 メール配送エージェント(MTA)の基本    ← いまここ
  第9回 ファイアウォールと SELinux 入門
  第10回 暗号化によるデータ保護
  第11回 クラウドセキュリティの基礎
  第12回 オープンソースの文化

この記事で身につくこと

MUA / MTA / MDA の役割の違いを説明できる
postfix の main.cf の主要パラメータ（myhostname inet_interfaces mydestination 等）を読める
mail コマンドでメールを送信できる
mailq でキューを確認し、postqueue -f で再配送できる
/etc/aliases と newaliases の役割を説明できる

第1章：メールの登場人物 ── MUA / MTA / MDA

1.1 メールが届くまでの経路

1通のメールが送信者から受信者に届くまでには、複数の役割のソフトウェアがバケツリレーをします。

送信者 → [MUA] → [MSA] → [MTA] → … → [MTA] → [MDA] → 受信者のメールボックス → [MUA] → 受信者

1通のメールが送信者から受信者へ届くまでの経路を示したフロー図。送信者の MUA がメールを書き、MSA（587番ポート）が投稿を受け付け、送信側 MTA（25番ポート、postfix）がサーバ間転送する。送信側 MTA は DNS の MX レコードを引いて宛先 MTA を決める。インターネットを経由して受信側 MTA（25番ポート、postfix）が受け取り、MDA（postfix の local）がメールボックスへ配送し、受信者の MUA が読む。postfix は MTA であり、ローカル配送時は local が MDA も兼ねることを表している。 — 図 08-01. メール配送の経路 ── MUA / MSA / MTA / MDA

略語	正式名	役割	代表ソフト
MUA	Mail User Agent	人がメールを読み書きする	Thunderbird、Outlook、`mail`
MSA	Mail Submission Agent	MUA からの投稿を受け付ける（587番ポート）	postfix（submission）
MTA	Mail Transfer Agent	サーバ間でメールを転送する（25番ポート）	postfix、sendmail、exim
MDA	Mail Delivery Agent	最終的にメールボックスへ届ける	postfix の local、procmail、dovecot-lda

今回の主役 postfix は MTA です。サーバ間のメール転送を担い、ローカル配送のときは内部の local プログラムが MDA の役割も果たします。

1.2 MX レコード ── ドメイン宛メールの宛先

「user@example.com 宛のメールを、どのサーバに届ければいいか」を決めるのが DNS の MX レコード（Mail eXchanger）です。第4回で学んだ dig で確認できます。

$ dig example.com MX +short

送信側 MTA は、宛先ドメインの MX レコードを引いて「どの MTA に渡すか」を決定します。

1.3 誰のために MTA を動かすのか

「自分はメールサーバを作る予定はない」という人でも、サーバには MTA が必要になります。理由は システム自身がメールを送りたい場面 があるからです。

運用担当のため：cron ジョブの実行結果（特にエラー）を MAILTO= 宛に送る。第6回で /etc/crontab の MAILTO=root を見た
監視のため：ディスク逼迫・サービス停止などのアラートをメールで飛ばす
バックアップ運用のため：日次バックアップの成否を通知する

つまり MTA は「メールサーバを作る人」だけでなく すべてのサーバ運用者 に関わる基盤です。

📖 試験Tipsボックス1：メールの登場人物

主題：1.09.3（重要度：中）
出題パターン：「MTA の代表例は？」「MDA の役割は？」「MX レコードは何を決める？」「MUA と MTA の違いは？」

暗記ポイント

MUA = Mail User Agent（人が読み書き：Thunderbird、mail）
MTA = Mail Transfer Agent（サーバ間転送、25番：postfix、sendmail、exim）
MDA = Mail Delivery Agent（メールボックスへ配送：procmail、dovecot-lda）
MSA = Mail Submission Agent（MUA からの投稿受付、587番）
MX レコード = DNS でドメイン宛メールの宛先 MTA を指定

第2章：postfix の導入と最小構成

2.1 postfix と s-nail を導入する

AlmaLinux 9 の Minimal Install には postfix が含まれません。導入します。あわせて mail コマンドを提供する s-nail パッケージも入れます。

実行コマンド（linuc-alma）：

$ sudo dnf install -y postfix s-nail

実行結果（抜粋）：

インストール済み:
  libicu-67.1-10.el9_6.x86_64  postfix-2:3.5.25-1.el9.x86_64  s-nail-14.9.22-9.el9_7.x86_64

完了しました!

かつて RHEL系で標準だった mailx パッケージは AlmaLinux 9 のリポジトリから廃止され、後継の s-nail が /usr/bin/mail を提供します。コマンド名・基本オプションは mailx 時代と互換なので、教材・試験で「mailx」と書かれていても操作は同じです。

2.2 postfix を起動する

実行コマンド（linuc-alma）：

$ sudo systemctl enable --now postfix
$ systemctl is-active postfix
$ systemctl is-enabled postfix

実行結果：

Created symlink /etc/systemd/system/multi-user.target.wants/postfix.service → /usr/lib/systemd/system/postfix.service.
active
enabled

enable --now は「自動起動を有効化（enable）」と「今すぐ起動（start）」を同時に行うオプションです（第3回 systemd で学習）。

2.3 LISTEN ポートを確認する ── 既定は localhost のみ

postfix が SMTP（25番ポート）でどこを待ち受けているか確認します。

実行コマンド（linuc-alma）：

$ ss -tnlp | grep :25

実行結果：

LISTEN 0      100        127.0.0.1:25        0.0.0.0:*
LISTEN 0      100            [::1]:25           [::]:*

127.0.0.1 と [::1]（IPv6 ループバック）のみで待ち受けています。外部 IP（192.168.1.132 等）では LISTEN していない ため、外部のサーバや攻撃者が直接この postfix に接続することはできません。これは inet_interfaces = localhost 設定による安全な初期状態です（第6章で詳述）。

2.4 main.cf の主要パラメータ

postfix の設定ファイルは /etc/postfix/main.cf です。直接読むと数百行ありますが、postconf コマンドで個別に確認できます。

実行コマンド（linuc-alma）：

$ postconf myhostname mydomain myorigin inet_interfaces mydestination mynetworks relayhost

実行結果：

myhostname = linuc-alma.localdomain
mydomain = localdomain
myorigin = $myhostname
inet_interfaces = localhost
mydestination = $myhostname, localhost.$mydomain, localhost
mynetworks = 127.0.0.1/32 [::1]/128
relayhost =

パラメータ	意味
`myhostname`	自ホストの FQDN
`mydomain`	ドメイン部
`myorigin`	送信元アドレスのドメイン（差出人の `@` 以降）
`inet_interfaces`	待ち受けるインターフェース（`localhost`＝外部不受付、`all`＝全IF受付）
`mydestination`	「自分宛」と認識するドメイン（ここに無いドメインは外部へ転送扱い）
`mynetworks`	中継を許可する信頼ネットワーク
`relayhost`	中継先サーバ（空なら宛先 MX へ直接配送）

既定値からの差分だけを見たいときは postconf -n を使います。設定を変更したら sudo systemctl reload postfix（または sudo postfix reload）で反映します。

📖 試験Tipsボックス2：postfix main.cf 主要パラメータ

主題：1.09.3（重要度：中）
出題パターン：「自分宛と認識するドメインを指定するパラメータは？」「外部受信を有効にする設定は？」「中継先を指定するには？」

暗記ポイント

設定ファイルは /etc/postfix/main.cf
myhostname 自ホストFQDN
mydomain ドメイン部
myorigin 送信元ドメイン
inet_interfaces（localhost＝外部不受付、all＝受信）
mydestination 自分宛認識ドメイン
mynetworks 中継許可ネット
relayhost 中継先
確認は postconf（全部）・postconf -n（差分のみ）
反映は systemctl reload postfix

第3章：mail コマンドでメールを送る

3.1 シンプルな送信

mail コマンドの基本形は「本文をパイプで渡し、-s で件名、最後に宛先」です。自分自身（developer）に送ってみます。

実行コマンド（linuc-alma）：

$ echo "Hello from developer" | mail -s "LinuC mail test" developer

このコマンドは何も出力せずに完了します。メールが postfix に渡され、ローカル配送されたためです。主なオプションは次のとおりです。

オプション	意味
`-s "件名"`	件名（Subject）を指定
`-c アドレス`	CC（カーボンコピー）
`-b アドレス`	BCC（ブラインドカーボンコピー）
`-r アドレス`	差出人（From）を指定
`-a ファイル`	ファイルを添付

本文に日本語を含めると quoted-printable という方式でエンコードされ、生ファイルを cat したときに読みにくくなります。動作確認は英語本文で行うのが分かりやすいです。

3.2 配送ログを追う

送ったメールがどう処理されたかは /var/log/maillog に残ります（第7回で学んだ mail.* -/var/log/maillog のルート）。

実行コマンド（linuc-alma）：

$ sudo tail -6 /var/log/maillog

実行結果（例）：

postfix/pickup[15096]: D825160E6C3F: uid=1000 from=<developer>
postfix/cleanup[15107]: D825160E6C3F: message-id=<20260516075258.D825160E6C3F@linuc-alma.localdomain>
postfix/qmgr[15097]: D825160E6C3F: from=<developer@linuc-alma.localdomain>, size=396, nrcpt=1 (queue active)
postfix/local[15110]: D825160E6C3F: to=<developer@linuc-alma.localdomain>, orig_to=<developer>, relay=local, delay=0.03, dsn=2.0.0, status=sent (delivered to mailbox)
postfix/qmgr[15097]: D825160E6C3F: removed

処理の流れが追えます。pickup（受付）→ cleanup（整形・ヘッダ付与）→ qmgr（キュー管理）→ local（ローカル配送）→ removed（キューから削除）。各行頭の D825160E6C3F は キューIDで、1通のメールを追跡する手がかりになります。status=sent (delivered to mailbox) が配送成功の印です。

3.3 届いたメールを確認する

ローカル配送されたメールは /var/spool/mail/<ユーザ名>（mbox 形式）に溜まります。

実行コマンド（linuc-alma）：

$ cat /var/spool/mail/developer

実行結果（例）：

From developer@linuc-alma.localdomain  Sat May 16 16:52:58 2026
Return-Path: <developer@linuc-alma.localdomain>
X-Original-To: developer
Delivered-To: developer@linuc-alma.localdomain
Received: by linuc-alma.localdomain (Postfix, from userid 1000)
	id D825160E6C3F; Sat, 16 May 2026 16:52:58 +0900 (JST)
Date: Sat, 16 May 2026 16:52:58 +0900
To: developer@linuc-alma.localdomain
Subject: LinuC mail test
User-Agent: s-nail v14.9.22
Message-Id: <20260516075258.D825160E6C3F@linuc-alma.localdomain>
From: developer <developer@linuc-alma.localdomain>

Hello from developer

ヘッダ（Return-Path、Date、Subject、From 等）と本文が見えます。引数なしの mail コマンドを実行すると、対話的にこのメールボックスを読むこともできます（q で終了）。

📖 試験Tipsボックス3：mail コマンド

主題：1.09.3（重要度：中）
出題パターン：「件名を指定するオプションは？」「本文を標準入力から渡すには？」「メールスプールの場所は？」

暗記ポイント

mail -s "件名" 宛先
本文はパイプ echo 本文 | mail ... または標準入力
-c CC、-b BCC、-r 差出人、-a 添付
メールスプールは /var/spool/mail/<ユーザ名>（mbox 形式）
引数なし mail で受信箱を対話的に閲覧
AlmaLinux 9 では mailx 廃止、s-nail が mail を提供（操作は互換）

第4章：メールキューの確認と操作

4.1 mailq でキューを見る

すぐに配送できないメール（宛先サーバがダウン等）は キュー に溜まります。キューの中身は mailq または postqueue -p で確認します。

実行コマンド（linuc-alma）：

$ mailq

実行結果：

Mail queue is empty

ローカル配送は一瞬で完了するためキューには残りません。外部宛で配送に失敗したメールがあると、ここに宛先・キューID・エラー理由が表示されます。

4.2 キューディレクトリの構造

キューの実体は /var/spool/postfix/ 配下のディレクトリ群です。

ディレクトリ	意味
`incoming`	受け付けた直後
`active`	配送処理中
`deferred`	配送失敗・再試行待ち
`hold`	管理者が保留にしたもの
`bounce`	配送不能（差出人へ返送）
`corrupt`	壊れたメッセージ

4.3 強制再配送と削除

キューに溜まったメールの操作コマンドは次のとおりです。

コマンド	意味
`mailq` / `postqueue -p`	キュー一覧表示
`sudo postqueue -f`	キュー全体を今すぐ再配送（flush）
`sudo postsuper -d <キューID>`	指定したメールを削除
`sudo postsuper -d ALL`	キュー内の全メールを削除
`sudo postsuper -h <キューID>`	指定メールを hold（保留）

宛先サーバが復旧したのに再試行を待ちたくない、というときに postqueue -f で即座に配送を試みます。スパムが大量にキューに溜まったときの緊急対応で postsuper -d ALL を使うこともあります。

第5章：エイリアス ── /etc/aliases

5.1 aliases の役割

/etc/aliases は ローカル配送先を別の宛先に読み替える 変換テーブルです。

実行コマンド（linuc-alma）：

$ grep -v '^#' /etc/aliases | grep -v '^$' | head

実行結果（抜粋）：

mailer-daemon:	postmaster
postmaster:	root
bin:		root
daemon:		root
adm:		root
lp:		root
sync:		root
shutdown:	root

書式は エイリアス: 転送先 です。この例では、bin や daemon といったシステムアカウント宛のメールはすべて root に集約されます。postmaster（メール管理者の慣習的な宛先）も root へ。これで「システムアカウント宛のメールは全部 root を見れば分かる」状態になります。

5.2 root 宛メールを実運用者へ転送する

多くのシステム通知が root に集まりますが、運用者は普段 root のメールボックスを見ません。そこで /etc/aliases の末尾に次の1行を足すのが定番です（本記事では変更しません）。

root:    admin@example.com

これで root 宛メールが運用チームの実アドレス（さらにそこから Slack 連携など）へ流れます。

5.3 newaliases で変換テーブルを再生成する

/etc/aliases はテキストファイルですが、postfix が実際に参照するのは高速検索用のバイナリ /etc/aliases.db です。テキストを編集したら 必ず newaliases で .db を再生成 します。

実行コマンド（linuc-alma）：

$ sudo newaliases
$ ls -la /etc/aliases /etc/aliases.db

実行結果（例）：

-rw-r--r--. 1 root root  1529  6月 23  2020 /etc/aliases
-rw-r--r--. 1 root root 12288  5月 16 10:15 /etc/aliases.db

newaliases を忘れると、テキストを編集しても変更が反映されません。「aliases を直したのに転送されない」というトラブルの大半はこれです。なお、ユーザ個人レベルの転送は自分のホームに ~/.forward ファイルを置く方法もあります（newaliases 不要）。

📖 試験Tipsボックス4：aliases と newaliases

主題：1.09.3（重要度：中）
出題パターン：「/etc/aliases の役割は？」「編集後に必要なコマンドは？」「ユーザ個人の転送設定は？」

暗記ポイント

/etc/aliases = ローカル配送先の変換テーブル
書式は エイリアス: 転送先（postmaster: root 等）
編集後は必ず sudo newaliases で /etc/aliases.db（hash 形式バイナリ）を再生成
newaliases 忘れは反映されないトラブルの定番
ユーザ個人の転送は ~/.forward（newaliases 不要）
システムアカウント宛は既定で root に集約

第6章：オープンリレーを避ける

6.1 オープンリレーとは

オープンリレーとは「誰でも、どこからでも、第三者宛のメールを中継できてしまう」状態の MTA を指します。一見「親切な設定」に見えますが、実際には スパム送信者の踏み台 にされます。攻撃者はあなたのサーバを経由して大量のスパムを送り、結果として:

自社サーバの IP アドレスが ブラックリスト登録 され、正規のメールも届かなくなる
大量送信でネットワーク帯域・サーバ負荷を消費される
スパムの送信元として自社が責任を問われる

6.2 既定の postfix は安全

第2章で確認したとおり、AlmaLinux 9 の postfix は既定で inet_interfaces = localhost です。外部から SMTP 接続を受け付けないため、そもそも踏み台にしようがありません。さらに中継を許可するネットワークも mynetworks = 127.0.0.1/32 [::1]/128 とループバックのみです。

外部からメールを受け付けるメールサーバを構築する場合は、inet_interfaces = all に変える必要がありますが、そのときは同時に次の制限を必ず設定します。

mynetworks：中継を許可する自社ネットワークだけを明示
smtpd_recipient_restrictions：reject_unauth_destination を含め、自分宛・信頼ネット以外への中継を拒否

現代の postfix は既定で「自分宛（mydestination）と信頼ネット（mynetworks）以外への中継を拒否」する動作になっているため、うっかり inet_interfaces = all にしただけではオープンリレーにはなりません。問題が起きるのは mynetworks を広げすぎたり、制限ルールを自分で緩めたりしたときです（次章のヒヤリハット）。

第7章：現場での使いどころ

現場での使いどころ

cron 実行結果の通知：第6回で見た /etc/crontab の MAILTO=root。cron ジョブが標準出力・標準エラーに何か出すと、その内容が root 宛メールで届く。/etc/aliases で root を実運用者に転送しておく
監視アラート：監視ツール（Zabbix、Nagios 等）がしきい値超過時にメール送信。MTA が動いていないとアラートが飛ばない
バックアップ完了通知：日次バックアップスクリプトの末尾で mail -s "backup OK" admin を実行
中継方式（relayhost）への集約：各サーバが直接インターネットにメールを出すのではなく、relayhost に社内 SMTP サーバや Amazon SES / SendGrid を指定して集約。送信元IP評価の管理が一箇所で済み、各サーバはポート25を外に開けなくてよい
システム障害の一次通知：サービス起動失敗時に systemd の OnFailure= でメール送信ユニットを起動する、といった組み合わせ
maillog でのトラブル調査：「メールが届かない」と言われたら grep 宛先アドレス /var/log/maillog でキューID を特定し、status= を見て sent / deferred / bounced を切り分ける

第8章：ヒヤリハット

現場ヒヤリハット：mynetworks を広げすぎてオープンリレーの踏み台にされかけた

あるチームが、社内の複数サーバから1台のメールサーバ経由でメールを送る構成を作っていた。「社内サーバなら全部許可してしまえば楽」と考えた担当者が、main.cf に次のように書いた。

inet_interfaces = all
mynetworks = 0.0.0.0/0

mynetworks = 0.0.0.0/0 は「全世界のIPアドレスを信頼ネットワークとみなす」という意味。これで postfix は 誰からの中継要求でも受け入れるオープンリレー になった。

数時間後、サーバの CPU 使用率とネットワーク帯域が跳ね上がった。mailq を見ると、見覚えのない海外ドメイン宛のメールが数万件キューに溜まっていた。スパム送信者にスキャンされ、踏み台として大量のスパム中継に使われていた。

$ mailq | tail -3
-- 48213 Kbytes in 39472 Requests.

応急対応：inet_interfaces を localhost に戻して systemctl reload postfix → 外部接続を遮断 → sudo postsuper -d ALL でキューのスパムを全削除。さらに、サーバの IP が複数のスパムブラックリスト（RBL）に登録されてしまい、解除申請に数日かかった。

教訓：

mynetworks には 本当に中継を許可する自社ネットワークだけを、CIDR で具体的に書く（10.0.10.0/24 など）。0.0.0.0/0 は絶対に書かない
外部からメールを受け付けるサーバを作るときは、構築後に 必ずオープンリレーチェック を行う（外部から telnet サーバ 25 で第三者宛の中継を試し、拒否されることを確認）
「楽だから全部許可」は、セキュリティでは最も危険な発想。許可は最小範囲から始める
メールサーバを公開するなら、SPF / DKIM / DMARC や送信ドメイン認証もセットで設計する

「設定を緩めれば動く」は、たいてい「攻撃者にとっても動く」を意味する。MTA の中継許可は、最小範囲から始めるのが鉄則。

第9章：やってみよう

linuc-alma にログインして次の4つの演習を順に実行してください。所要時間は20〜30分です。演習1でパッケージを導入し、以降は読み取りと自分宛メール送信のみで、外部に影響しません。

演習1：postfix と s-nail を導入して起動する

実行コマンド（linuc-alma）：

$ sudo dnf install -y postfix s-nail
$ sudo systemctl enable --now postfix
$ systemctl is-active postfix
$ ss -tnlp | grep :25

確認ポイント：

postfix と s-nail が「インストール済み」になる
is-active が active
LISTEN が 127.0.0.1:25 と [::1]:25 のみ（外部IPでは LISTEN しない）

演習2：mail コマンドで自分宛に送る

実行コマンド（linuc-alma）：

$ echo "Hello from developer" | mail -s "LinuC mail test" developer
$ sudo tail -6 /var/log/maillog
$ cat /var/spool/mail/developer

確認ポイント：

maillog に pickup → qmgr → local → removed の流れがある
status=sent (delivered to mailbox) が出ている
/var/spool/mail/developer に件名「LinuC mail test」のメールが届いている

演習3：キューとパラメータを確認する

実行コマンド（linuc-alma）：

$ mailq
$ sudo ls /var/spool/postfix/
$ postconf myhostname inet_interfaces mydestination mynetworks relayhost
$ postconf -n | head

確認ポイント：

mailq は Mail queue is empty（ローカル配送は即完了）
キューディレクトリに incoming active deferred 等が並ぶ
inet_interfaces が localhost、mynetworks がループバックのみ

演習4：エイリアスを読む

実行コマンド（linuc-alma）：

$ grep -v '^#' /etc/aliases | grep -v '^$' | head
$ sudo newaliases
$ ls -la /etc/aliases /etc/aliases.db

確認ポイント：

システムアカウント（bin、daemon 等）宛がすべて root に集約されている
newaliases 実行後に /etc/aliases.db のタイムスタンプが更新される

困ったらマニュアルを引きます。man postconf（設定の全パラメータ解説）man 5 aliases man mailq man postsuper man postqueue。postconf -d で全パラメータの既定値も確認できます。

理解度チェック

次の5問を ○×で答えてください。解答は記事末尾にあります。

postfix は MTA（Mail Transfer Agent）であり、サーバ間のメール転送を担う。
mail -s の -s オプションはメールの送信者（Sender）を指定する。
postfix で「自分宛」と認識するドメインを指定するパラメータは mydestination である。
/etc/aliases を編集したあとは newaliases を実行しないと変更が反映されない。
mynetworks = 0.0.0.0/0 は、中継を許可するネットワークを安全に最小化する設定である。

解答

○（MTA。MUA は人が読み書きするソフト、MDA はメールボックスへの配送）
×（-s は Subject＝件名。送信者の指定は -r）
○（mydestination に無いドメインは外部転送扱いになる）
○（postfix が参照するのはバイナリの /etc/aliases.db。newaliases で再生成する）
×（0.0.0.0/0 は全世界を信頼する＝オープンリレー。自社ネットワークだけを CIDR で具体的に書く）

次回予告

次回（第9回）は 「ファイアウォール（firewalld / ufw）と SELinux 入門」 です。AlmaLinux の firewalld の zone / service / port、Ubuntu の ufw との比較、そして SELinux の Enforcing / Permissive モードと ausearch による拒否調査を扱います。今回の「オープンリレーを避ける」で触れた「外部からのアクセスを制限する」という発想を、ファイアウォールでさらに掘り下げます。