Postgreyを導入して二ヶ月弱が経過したので、そろそろ簡単に触れてみる。
　こいつはメールサーバで使うspam対策の有名なソフトで、greylistingという手法が実装されている。

　Greylistingってのは大雑把に言ったら、一見さんがメールを配達に来たら「ごめん今ちょっと忙しいから後でまた持ってきて」と言いつつ、配達人たるMTA氏が誰だか記録しといて、ちゃんと後でまた届けに来たら受け取る、という仕組み。
　メール配送は、「後で来てね」と言われたら後でもう一度届けに行け、という取り決めがあるので、まともなメールなら配送がちょっと遅くなるけど届く。でも、spamの配達人となるソフトはせっかちというかキチガイなので、「後で」と言われたその場でメールを投げ捨てることがほとんどらしい。まあspamの配達なんてのは（ソフトにとって）ブラックなお仕事だしなー。そうしないとノルマが達成出来ない、みたいな。

　んでPostgreyだけど、Postfix使ってる人ならyum辺りでインストールしてちょちょいと設定するだけで使えるんで、配送が遅くなるかもなーと思いつつも試してみた。

　導入初日のspamの量はそれまでの1/10くらいになった。大体、100通/日から10通/日くらい。ほほう。でも導入直後は効果が高いかもしれんしな。
　で、Gmailとかのメジャーなところは最初から弾かれないっぽい。でも、超メジャーどころだけかも。
　普通のメールだと、初回の配送は5〜10分くらい待たされることが多いなー。良く引っ掛かるのは、会員登録とかパスワード忘れたとかの申請でメールを待つ時で、基本的に待たされるようになった。他はあんまり気にならない感じだけど。

　テンションが上がって、他に効果のありそうな技があれば併用したいかもなー、とか思ったけど、通常のメールを弾かない安全性、管理の手間に見合う効果、という条件で落ち着いて考えると、greylistingだけで良い気もしてきた。
　確実な安全が見込めない手法は、greylistingの前段に直列で繋いで「Greylistingに掛けるまでもない正当なメールを通すバイパス」の位置付けでしか使えない。Greylistingが後段にあるなら「Greylistingを抜けられない正当なメールなんざ面倒見きれんわボケ」という設計なんだから、遅配を減らす以外の効果が思い当たらないので、導入しない。
　確実に安全な手法なら導入出来るけど、「Greylistingを抜けるようなspamでも結構引っ掛かりそう」という条件を満たさないと多層防御にならない。システムが複雑になれば安全性も下がるし。

　などと言い訳を並べて、Postgrey単独で気楽に運用することに。

　導入から一ヶ月半くらいで、いきなりspamの量がもう一段階、目に見えて減った。10通/日から1通/日くらいに。何だこれ。
　うーん、「このメールアドレスうまく届かねーわ」ってなってきたのかなあ。だといいけど。そもそもうちにspamを送る意味が無い気もするから、お互いに良い話ではあると思うのだ。
　たまたま何か大規模なspam減があったのかもだが。時々あるっぽいし。

　と思いながら半月経過。Gmailの迷惑メールボックス（30日で自動削除）がいつも3000通くらい残ってたのに、今は81通。一ページに収まった。ここ半月のspamは17通だから、あと半月もこの調子が続くなら一画面で見通せそうだが、はてさて。

　まあ、あれです。ちっこい宇宙船が大戦争のとばっちりを受けないように小さくバリア張ってるイメージで。
　いやほんと、うちとかに送っても多分あんまり意味無いし勘弁してください。

追記:
　さらに一ヶ月後、Gmailに残った迷惑メールは12通に。来ない日が普通になってきた。導入前は3000通前後だったんだよな…。
　こうなると余裕も出てくるので、油断して電話番号とか載せてる詐欺メールはポリス方面に送付したくなってきたりもする。巻き込まれないように、とか言ってた割に強気である。総務省や経産省の窓口には既に送付してるけど、詐欺メールの報告ってここで良いんだろか。

　もう一つ、書き忘れてたけど、自己紹介のとこのメールアドレスをJavaScriptで適当にスクランブルしてみた。以前は画像を使ってたけど、クリッカブルじゃないのが面倒だなーと思って。
　まあ、ここからメールを送る人はいないかも、って気もするが。

　まー先に言うとFail2banが問題なんすけどね。
　すっかり忘れてたけど、ふと思い出したのでIPv6対応を再開してみたのだ。

　さくらのVPSは多分もう全部IPv6対応な気がするので、素直に公式のCentOS6向け解説の通りに設定してみよう。
　せっかくメモも兼ねたblogなので、主に自分用としてまとめてみる。

　まずコンパネの「仮想サーバ情報」でIPアドレス確認。「詳細」を押すとゲートウェイとネームサーバのアドレスも出る。

　/etc/sysconfig/networkに、

NETWORKING_IPV6="yes"
IPV6_DEFAULTDEV="eth0"
IPV6_DEFAULTGW="ゲートウェイのアドレス"

のように追記。

　/etc/sysconfig/network-scripts/ifcfg-eth0に、

IPV6INIT="yes"
IPV6_ROUTER="no"
IPV6ADDR="アドレス"

のように追記。アンダーバーがあったり無かったりしてうざい。

　せっかくだから/etc/resolv.confにも、

nameserver ネームサーバのアドレス

とか追記しといたけど普通に要らないと思うし、公式の手順でも特に触ってない。いいんだ、半分実験用の鯖だからな！

　大阪リージョン以外はこのまま

# service network restart

でいいみたいなんだけど、大阪リージョンだと公式の解説に「一度落としてコンパネから起動してほしいナリ♥」的なことがまともな文章で書いてあるので、ざっくり

# shutdown -h now

で落としてコンパネから起動した。

　で、ifconfig -aを実行して、eth0にinet6 addr: アドレス Scope:Globalがあれば、インターフェース設定は良し、と。
　netstat -rnA inet6も実行して、Destinationが::/0のNext Hopがゲートウェイのアドレスになってれば、ゲートウェイの設定も良し、と。
　最後に、ping6 ipv6.google.com辺りでテストすればおしまい。

　あとはまー、各種サービスの設定か。つっても、何もしなくてもIPv6対応のサービスばかりなのだが。
　だがしかし、Fail2banで防御しておきたいサービスは残念ながら当面IPv4専用にすることに。通したいIPv6トラフィック以外をファイアウォールで全部弾くのが一番楽そうな気がするので、そうしてみた。
　Fail2banのIPv6サポートが簡単そうに思えてなかなか来ないなーと思ってたら、そもそもIPv6だと攻撃者がいちいちアドレスを変えるとか余裕な訳で、うーむ…。もうこのアプローチは駄目なんかなあ。最近はbotnetから来るから、IPv4でもいまいち止まってない感じだし。
　とはいえ、それなりに減る、ってのも相当有難いしなあ。Postgreyとかもそうだけど。いや、Postgreyは1/10くらいに減ってるから、それなりどころじゃないが。
　Fail2banがほぼ通用しなくなるか、IPv6でSMTPとか話せるようにしないと困る時代が来たら、その時にはスパッと諦めるとして、それまでは特定のサービス以外はIPv4だけで動かすかなあ。という何だかすっきりしない結論になるのであった。うーむむむ。

　まー何となくすっきりしない。こういう時は何か問題を抱えてる可能性が低くないんだよな、面白いことに。面白がってる場合でもないが。気ーになーるぞーう。