コンソールのmail.logの内容

ご進展のご様子なによりです。いろいろご不便をおかけしております。
先日説明した"bounce"の件ですが、返送ではなく、不達状態／跳ね上がっている状態（当該キュー待ち行列待機）／保留中の状態の方かもしれません。確信がいまひとつ持てませんので悪しからず。message-id は The global uniqe identifier of a message の意味のようです。
先日も少し触れました、いくつかあるソフトウェア問題のうち、Postfix を有効にしてしまうプログラムがインストールされているのかもしれません。同様に、Norton Anti-Virusを調査対象に含め（ベンダーが当社製品は問題ないと主張しても）、ローカルポートやカーネルのPostfix領域へアクセスするようなものをインストールしていないか調べてみてはどうですか？Postfixのメカニズムを要求するアプリケーションが出回っていてもおかしくないです。LittleSnitchのような代物はインストールしていませんか？
これらが原因でないとすると、何らかの理由でシステム内部のfilesystemの整合性が異常をきたしているということになります。原因究明が困難な場合は、新規ユーザアカウントをつくり、ユーザ・スペースに起因するものか切り分けてみます。それも該当しなければ、システムの「アーカイブとインストール」を検討します。
あるWebサイトを訪れたときの悪玉Cookieによる遠因かもしれません。ブラウザのCookie, Cacheを消去したり、リセットしてみては。悪玉までいかなくとも実に嫌らしいCookieや仕掛けが多いので、私はすべてPrivoxy技術を借りて自動ブロック（Windows機のみ）しています。
問題のログを発見した直前〜２４時間前に何をしていたかを思い出してみるのもよいでしょう。Windows機を接続して一時 Mac機とファイル共有ができる状況にあったとか．．．
Apple米国サイトでは、Postfix に係わるディスカッションは"Postfix"で検索すると沢山存在します。予期せぬ出来事もあります。ご自身の余裕と調整してみるのもよいかもしれません。中には即解決に結びつくヒントが隠されているものがあるかもしれません。以下は検索で出力された最初の数ページから概説を一瞥し適当にピックアップしたものです。
●おやおや と思える記事
Postfix: how to configure fallback relay or dynamic relay depending on env
http://discussions.apple.com/thread.jspa?messageID=3202247&#3202247
●解明（投稿者の問題）できた記事
Topic: postfix question
http://discussions.apple.com/thread.jspa?messageID=2529494&#2529494
How to stop postfix sending pending e-mails?
http://discussions.apple.com/thread.jspa?messageID=2123182&#2123182
●ディスカッションなしの分
Topic: postfix showing up in network volumes menu
http://discussions.apple.com/thread.jspa?messageID=1795172&#1795172
Topic: what is a "postfix"-volume?
http://discussions.apple.com/thread.jspa?messageID=3262058&#3262058
Topic: dull postfix mystery - only look if you're clever and bored
http://discussions.apple.com/thread.jspa?messageID=1888527&#1888527
Postfix 関連のディレクトリ／ファイル群情報の変化・異常を調べるのであれば、アクセス用パスを以下に示します。
Command + shift キー押し下げでディレクトリのパスを入力し、return キーでたどり着きます。（不可視ファイルとディレクトリに関する説明サイト例　http://www.westwind.com/reference/OS-X/invisibles.html）
usr/libexec/postfix/script ホルダ... 空
プログラム：
usr/sbin/lookupd...
Size: 212 KB
Created/Modified/Last opened: 03/27/06 12:26:52
usr/sbin/postfix...
Size: 76 KB
Created/Modified/Last opened: 03/21/05 12:52:52
内部用プログラム：
usr/libexec/postfix/bounce...
Size: 160 KB
Created/Modified/Last opened: 03/21/05 12:52:53
usr/libexec/postfix/cleanup...
Size: 196 KB
Created/Modified/Last opened: 03/21/05 12:52:53
usr/libexec/postfix/local...
Size: 208 KB
Created/Modified/Last opened: 03/21/05 12:52:53
usr/libexec/postfix/pickup...
Size: 136 KB
Created/Modified/Last opened: 03/21/05 12:52:53

usr/libexec/postfix/qmgr...
Size: 180 KB
Created/Modified/Last opened: 03/21/05 12:52:53
/System/Library/LaunchDaemons/org.postfix.master.plist
Size: 0.5 KB
Created/Modified/Last opened: 03/21/05 12:52:59

/private/etc/postfix/postfix-script
Size: 6 KB
Created/Modified/Last opened: 03/21/05 12:52:42
/private/etc/postfix/postfix-files
Size: 15 KB
Created/Modif

/private/etc/postfix/postfix-files
Size: 15 KB
Created/Modified/Last opened: 03/21/05 12:52:42
/private/etc/postfix ホルダ内部には他にも関連ファイル群がありますが、こちらは割愛しました。（/private/etc 内部はセキュリティ上重要なファイルがいくつもあるため、私はそれらをブートドライブ以外の場所にバックアップして、ファイル情報を把握しています。）

/usr/share/zsh/4.2.3/functions/_postfix
Size: 0.5 KB
Created/Modified/Last opened: 03/21/05 08:39:24
/private/var/spool/postfix/アクセス不可のディレクトリ群
私のマシンのhostsとhostconfigファイルの最後に拡張子txtを付けて開いたときの中味：
/etc/hosts
##
# Host Database
#
# localhost is used to configure the loopback interface
# when the system is booting. Do not change this entry.
##
127.0.0.1 localhost
255.255.255.255 broadcasthost
::1 localhost
/etc/hostconfig
AFPSERVER=-NO-
AUTHSERVER=-NO-
AUTOMOUNT=-YES-
CUPS=-AUTOMATIC-
NFSLOCKS=-AUTOMATIC-
NISDOMAIN=-NO-
TIMESYNC=-YES-
QTSSERVER=-NO-
WEBSERVER=-NO-
SMBSERVER=-NO-
SNMPSERVER=-NO-
SPOTLIGHT=-YES-
さて、最後にセキュリティ関連について少し触れます。決してがっちゃんを煽る意図はありません。
pickup - Postfix local mail pickup には、「The pickup daemon is moderately security sensitive. It runs with fixed low privilege and can run in a chrooted environment. However, the program reads files from potentially hostile users.」という落ちがありますよ。こちらが、いろいろなOSプラットフォームに提供されているPostfixのホームページと有志による日本語版Webサイトです。
http://www.postfix.org/start.html
http://www.kobitosan.net/postfix/postfix.html
Mac OS X の設計思想の土台は強固なセキュリティです。しかも複数レイヤーシステムを採用しています。さらに、システム内部のカーネルはmonolithic構造となっています。ところが、外部から導入されたPostfix は、monolithic構造にはなっていないということです。2001年から2005年までの間に１０件ほどのPostfixのセキュリティ脆弱性が修復されました。これらの中にはリモートの攻撃者によりDDoS攻撃という深刻なものもありました。DDoS攻撃のあり方は、ISPサポート諸氏が認識している古典的なものよりも、ISPのサーバ側のフィルタリングを透過するパケットを標的ホストやネットブロックに対して小規模に行う傾向が強いです。
特に、http://secunia.com/advisories/9433/ や CVE-2003-0468 内容はあなたのログとの照合の一助になると思います。
Apple 社では、こちらのサイトに紹介されています:
http://docs.info.apple.com/article.html?artnum=300667-ja
原文 http://docs.info.apple.com/article.html?artnum=300667
# Postfix
利用可能なバージョン：Mac OS X v10.3.6、Mac OS X Server v10.3.6
CVE-ID: CAN-2004-1088
影響：CRAM-MD5 を使う Postfix が、適切な認証なしでリモートユーザにメールの送信を許可する。
説明：送信者の認証に CRAM-MD5 を使う Postfix サーバは、繰り返しの攻撃に対するセキュリティの問題がありました。状況によっては、ユーザの認証に成功したことのある証明書を短期間再利用することが可能でした。ユーザの認証に使用されていた CRAM-MD5 アルゴリズムは、ウインドウの繰り返しをしないように更新されています。この問題は、 Mac OS X v10.2.8 または Mac OS X Server v10.2.8 では起こりません。この問題の発見は、Morgan Stanley 社の Victor Duchovni 氏の功績によるものです
# postfix
利用可能なバージョン：Mac OS X v10.3.5 および Mac OS X Server v10.3.5
CVE-ID: CAN-2004-0925
影響：SMTPD AUTH が有効な場合のサービス拒否
説明：postfix で SMTPD AUTH が有効になっている場合、ユーザ名を含んでいるバッファが認証の試みの間に正しくクリアされません。最大長の名前のユーザのみが認証されることが可能です。この問題は、Mac OS X v10.3 または Mac OS X Server v10.3 より前のバージョンのシステムには影響しません。この問題の発見は、EyeSee360 の Michael Rondinelli 氏の功績によるものです。

Postfix 関連のディレクトリ内のファイルは動かしたり移動しないように。
textファイルにして中味を見れるものは、処理を行われる場合にはオリジナルの複製をデスクトップにドラッグしてから行ってください。

安食さん、いろいろありがとうございます。
昨日、いろいろ調べていたらいつものアカウントでログインできなくなりました。
後日、詳細アップさせていただきます。

So-netのDNSプライマリネームサーバであり、がっちゃんが割り当てられていると思われる 202.238.95.24（dnss1.so-net.ne.jp）は「再帰的な問い合わせ」を許すという不適切な構成が（脆弱性に及ばず）が存在するのです。これは、小生が過去に契約していたPlalaやそれ以前のISPと同じ状況です。現在は、PlalaではDNS（小生に割り当てられていたサーバ）の構成は適切に修正されています。ぷらら社長に嘆願書を送付しても取り組んでくれませんでしたので、So-netへスイッチしました。加入して間もなく、So-netも同じDNS構成状況でしたので、４月から９月ごろまで再三再四にわたり不適切な構成を正すようにお願いしてきたのですが、今もって修正されていません。がっちゃんがPlalaで無視されていたように、当初はSo-netも同じでした、総務省へ苦情を申し立てたところ、翌日So-netの統括責任者から電話がありました。しかし、修正を約束するものではなく、日本のISP業界の性みたいな言い訳をするだけでした。今後、電気通信事業法がどう整備されるかはわかりませんが、現行ではそのような状況提供に対する罰則も明確な規定もありません。それで不本意ながらコストのかかる自衛手段を講じました。
では、「再帰的な問い合わせ」を許すという構成を放置しておくと、どのような影響が起きうるかと申しますと：
１．誰にでも第三者情報取得を許可する。
２．悪意ある者が「キャッシュ汚染」を容易に行える。
３．DDoS（Destiributed Denial of Service）分散型サービス拒否攻撃に悪用される可能性がある。
４。DoS「バウンス（Bounce）」攻撃が他のネットワークやシステムに対して行われる可能性がある。
再帰的な問い合わせは、他のDNSサーバーからの応答内容をキャッシュとして一時的に保存します。これにより偽の情報が送り込まれる「キャッシュ汚染」やDoS攻撃などにつながる危険性があると言われています。DNSではゾーン転送を通常許可する設定となっており、ゾーン転送を簡単に可能にするプログラムを誰でも入手できることから、内部ネットワークの情報が攻撃者に読み取られる危険性もあるのです。OCNやPlalaとの契約時には、実際に小規模なDDoS攻撃を何回も受けました。
「再帰的な問い合わせ」を許すDNS構成がどれほど不快なものか、詳細はインターネット至るところで掲載されています。以下のサイトやpdfファイル（注：クリックすると直接ダウンロード開始）もあります。
●「DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起」JCERT
http://www.jpcert.or.jp/at/2006/at060004.txt
● The Continuing Denial of Service Threat Posed by DNS Recursion (v2.0) US-CERT発行
http://www.us-cert.gov/reading_room/DNS-recursion121605.pdf
●「DNS の再帰的な問い合わせを悪用したDDoS 攻撃手法の検証について」警察庁発行 pdf
http://www.cyberpolice.go.jp/detect/pdf/20060711_DNS-DDoS.pdf
● 第66回 IETF Meeting 報告（前編）〜DNS関連テーマ報告〜
http://jpinfo.jp/event/2006/0801IETF1.html
ネットワークとホスト間の往来情報内容を詳しく調べたり、捕捉したり、破損することも可能になるわけです。リモートによる不正アクセスも仕掛けやすくなるでしょう。Web ブラウザの利用に限らずメールの利用においてもＤＮＳは一定の大切な役割を果たしているのです。実は、がっちゃんの『 RE: コンソールのmail.logの内容( msg # 3.3: 作成日 2006/10/20 12:51 pm )』の記事メールは当方へ到着していません。アップル社のメールサーバに問題がないとすれば、別レイヤー（インターネット層）で問題が起きていることになります。

安食さん、本当にいろいろありがとうございます。
前回指摘して頂いたこともまだ良く飲み込めず、言葉の意味を調べつつまだ理解しようとしている段階なのですが、今日の時点でわかったことがあります。
実は、OSの再インストールを行いました。PC全体をフォーマットしたわけではなくてOSの再インストールのみです。（その前にHardware Testを実行してみましたがこちらは異常なしでした）
すると、セキュリティソフトが稼働しなくなりました（FWとNAVの２つともです）
→これはOSを再インストールしたことでOSのバージョンが下がった（ダイヤルアップなのでまだOSのupdateをしていません）けれども、FWとNAVはそのままだからOSのバージョンが下がったことによる不具合だと思っています（そんなことないのでしょうか？）が、違っていたらご指摘下さい。
次にいつものアカウントでログインできなくなった（フリーズではありません、ログインパスワードをいれても前に進まない、違ったパスワードを入れても「違う」という反応もない）再起動しても同じで別のアカウントでログインしましたが、一時的なものだったのか翌日はいつものアカウントでログインできました。
　FWとNAVを再インストールして、postfixが自動的に稼働するか調べてみました。symantec schedulerでLiveUpdateを設定しておくと、このトピックの最初のログが出たアカウントでログインしている時のみ稼働するようです。（別アカウントではLiveUpdateが実行されてもmail.logにはログはありませんでした）
また、「PDJ」についてですが、私はこれをフォルダ名だと言いましたが（これはこれで間違いないのですが）実は問題の起こっているアカウントの「ユーザ名」でもあることがわかりました。通常私は「アカウント」の「名前」と「ユーザ名」を同じにしていたのですがこの『PDJ』については「名前」と「ユーザ名」が別々になっていました。従って「PDJ」というユーザ名は存在することになります。（ログイン時に表示される「名前」と違う「ユーザ名」にしたという記憶がなく、大変申し訳ありませんでした）
今までのところ、Postfixはユーザ名「PDJ」のアカウントでログインしsymantec schedulerでLiveUpdateが行われる時他に自動的に稼働するようです。
それからDNSの件ですが、私も自分の利用DNSが何かおかしなことになっているのではないかと以前調べました。おかしいと断言できる程の知識がなかったのでそのままになっていたのですが。
ターミナルの使い方がまだよくわかっていないのでUNIXの本を読んでがんばります。まだ今日現在、postfixまでたどり着けていません。私も何がpostfixを動かしているのか知りたいのですが。
たくさんの情報どうもありがとうございました。「DNS の再帰的な問い合わせ」についても読んでみます。

突然ログインできなくなった核心部分は、何らかの理由でデフォルトから変更を加えられていたユーザログイン名（PDJ）で、ログインをしようとした事によるもと思えます。あなた自身が勘違いしてデフォルトログイン名でログインしなかった。或いは、デフォルトログイン名でログインしたが内部システムのログインプロセスが認識しなかったように診えます。
なので、当初のmail.logに報告された通り、変更されたログイン名 "PDJ@......" が unknown userなので駄目ですよということだったのではないでしょうか。しかし、Mac OS X ではユーザ名を簡単に変更できないようになっています--Apple／アップル社では、通常は変更しないことを推奨しています。きっと変更後に問題が起きた事例が多かったからでしょう。
ご参考： http://docs.info.apple.com/article.html?artnum=106824-ja
名前、ユーザ名、コンピュータ名（「共有」項目）は正しく構成されていたのですか？構成は正しく、ログイン名もミスタイプしていないと確証もてれば、ソフトウェアが原因ということになります。サードパーティ製品（バグを含む）が引き金となったか、ＯＳ内部が混乱／損傷していたかでしょう。
『実は、OSの再インストールを行いました。PC全体をフォーマットしたわけではなくてOSの再インストールのみです。』この部分がはっきりとしませんので、それに続く文節が理解できません。Mac OS X 10.4 の市販インストールから起動して、「アーカイブ＆インストール」をしたのでしょうか？
そうであると仮定した場合は、FWとNAVセキュリティソフトが稼働しなくなったのは辻褄が合います。次の文書を参考にしてください。
2005年12月更新文書： http://docs.info.apple.com/article.html?artnum=107120-ja
本年７月に更新された文書： http://docs.info.apple.com/article.html?artnum=107120
ご参考： http://docs.info.apple.com/article.html?artnum=302350-ja
Mac OS X 10.4.8 でセキュリティを含むカーネルのどの部分が更新されたのか、NAV のプログラムが最後に更新されたのはいつなのか等々をよく調べてみるとよいでしょう。不安定なシステム状況が今後も続くのでしたら、ディスクの初期化からやり直すということも視野に入れるとよいでしょう。

AirPort 検認応答内部システムがカーネルメモリ損傷を引き起こす
という脆弱性ニュース（米国時間 11/１− 2公開）
http://secunia.com/advisories/22679/
http://www.securityfocus.com/brief/344
あなたの機種も影響を受けます。リモートからシステム内部アクセスを許可したり、DoS 攻撃に悪用されます。同じような脆弱性でもっと深刻なレベルは次のPHPの脆弱性問題です。該当するシステム構成環境にあると、Mac OS X上で影響を受ける可能性があります。
http://secunia.com/advisories/22653/
参考技術情報（PHP on Mac OS X）：
http://developer.apple.com/internet/opensource/php.html
私は、あなたの今回の問題がこれらのいずれかの或いは両方の影響を受けているといっているのではありませんので申し添えます。

オリジナル「PDJ」に対してログインのパラメータ「pdj」がいけないのかな．．．
Case Sensitiveを要求されるのかどうか、私にはわかりません。連休後に時間があれば調べて見ます。

安食さん、いろいろありがとうございます。
まず、mail.logがでなくなりました。
＞突然ログインできなくなった核心部分は、何らかの理由でデフォルトから変更を加えられていたユーザログイン名（PDJ）で、ログインをしようとした事によるもと思えます。あなた自身が勘違いしてデフォルトログイン名でログインしなかった。或いは、デフォルトログイン名でログインしたが内部システムのログインプロセスが認識しなかったように診えます。
ログイン時にはいつも「名前」が表示されるようになっています。その名前を選んでパスワードを入力してログインするので「ログイン名」をミスタイプすることはないです。この件ですが、今気づきましたが「アカウント」ー「ログインオプション」ー「ログイン時の表示」で「ユーザのリスト」と「名前とパスワード」のどちらを表示させるか選ぶようになっていますが「ユーザのリスト」を選択しても反映されません。名前の方が表示されます。何か設定の方法がまずいのでしょうか？
また、
＞何らかの理由でデフォルトから変更を加えられていたユーザログイン名（PDJ）
教えて頂いたところを見ると「上級ユーザであればおそらくショートネームと関連情報の変更は可能ですが、、」とありますが、私は上級ユーザではないですし、途中でユーザ名（ショートネーム）を変更した記憶はありません。従ってPDJというユーザ名は現在存在することになり 「unknown user」になる理由がわかりません。
PDJを検索してみると「ホームフォルダ名」と「ユーザ名」以外に「PDJ」という名前のフォルダが２つとPDJ.sparseimageという書類がありました。（自分で作成した覚えはないの自動的に作成されるものでしょうか）仮にPDJ１とPDJ２とすると中身は
PDJ１はPDJ.sparseimage
PDJ２はcom.apple.applicationaccess.plist、com.apple.iChatAgent.plist、com.apple.mcxprinting.plist
というものが入っていました。
＞Mac OS X 10.4 の市販インストールから起動して、「アーカイブ＆インストール」をしたのでしょうか？
そうです。それでFWもNAVも再度インストールしようとしたのですが、FWの方はインストールすると「OSを初期化します」というメッセージが出たあと水色の縞のバー（ゴミ箱を空にする時にでるもの）が出てしばらくすると「致命的なエラーが発生しました。NetBarrierデーモンが実行されていません。NetBarrierデーモンが実行されていないとその設定を行うことはできません。お使いのMacを再起動しなければいけない可能性があります」と表示されたので再起動しましたが症状は変わらなかったので、これをアーカイブして再度インストールしなおすと今度はできました。
　それで、当初はmail.logはでなかったのですが、いろいろやっているうちにユーザ名PDJと管理者権限のユーザ名でまた出始めたので（Symantec Schedulerが実行される時）一昨日、再度OSのアーカイブ＆インストールを実行しました。
　すると今度はSymantec Schedulerが実行されても今のところmail.logは出ていません。
　本日わかったことは以上ですが、PDJのフォルダが２つもあるのが気になります。
他のアカウントはホームフォルダ、普通のホルダが１個づつだったので。

一つ訂正があります。
PDJというユーザ名を途中から変更した覚えはないのですが、「管理者権限」を途中から取りました。（別アカウントに管理者権限を移しました）

Content not available

Content not available

Content not available

Content not available