サーバの端末を開いて、メールのログを流しっぱなしにしてるセッション(screenでまわしてるだけ)につないだら、ずーっとsmtpへのアクセスが出てきてます。

どうもただいま、spammerさん達が我が家にメールを送りつけようと、相当数のサーバからコネクションが張られてる次第です。全てpostgreyによるフィルタでブロックしてくれてますけど…

まったく、こまったものですよ…

ホーメル スパム レギュラーN 340g

posted with amazlet at 11.06.18

ホーメル
売り上げランキング: 6776

Amazon.co.jp で詳細を見る

送信メールサーバのアドレスなどで送信元認証を行うSPFは、現在広く使われていますが、その一方で、DKIM(DomainKeysの標準化)も出てきています。fuga.jpのメール機能のほとんどはGoogle Appsに移しているのですが、実は先日までDKIMが使えない状態でした(gmailでは使えるにもかかわらず!)。

ところが年末あたりに使えるようになったという話を聞いており、せっかくなので再実装してみようということになりました。

なお、DKIMであれSPFであれ、中身の改ざん等チェックにはなりません。あくまで送信元が適切であるかというレベルのものとなります。このあたりの違いには要注意ですよ。

Google Appsにてドメインを持っている場合、コントロールパネルが用意されています。

• http://www.google.com/a/cpanel/管理しているドメイン

管理ユーザ権限でログインし、「ドメインの設定」タブから、コントロールパネルの種類を「拡張版」にして下さい。英語モードの出力になってしまいますが、新機能はまず英語からなのでしょうがないのです。

英語に切り替わったら、「Advanced Tools」→「Authenticate Mail(DKIM)」に入りましょう。これがDKIMを使うための入り口となります。

1. 運用したいドメインを決定します。一つしかないならそれしかありませんね。
2. 灰色部分にある「Generate new record」をクリックします。これでDKIMレコードができます。この際にセレクタと呼ばれるキーワードが指定できますが、こちらは適当でかまいません。私はカスタム化してます。
3. できあがったDKIMレコードを、”セレクタ._domainkeys”としてDNSサーバ上のTXTレコードに入れます。入れたらDNSサーバを再起動(反映)させておきましょう。
4. 最下部にある「Start Authentication」で認証を開始しましょう。レコードがそのうち認識されて(最大48時間とか)利用開始となります。

この状態でgmail等を使い、メールを送信すると、ちゃんと他のサーバに認証済みという形で表示されるようになります(相手側がDKIMに対応している必要がありますが)。以下の画像は、同じくDKIMをサポートしているYahoo! Mail(日本語版、β版)による出力キャプチャです。

ヘッダで確認しても、検査されていることがだいたいわかります。

Received-SPF: pass (mail-iw0-f174.google.com: domain of XXXXXXXX@fuga.jp 
                   designates XXX.YYY.ZZZ.WWW as permitted sender) receiver=mail-iw0-f174.google.com;
                   client-ip=XXX.YYY.ZZZ.WWW; envelope-from=XXXXXXXX@fuga.jp;
Authentication-Results: mta140.mail.tnz.yahoo.co.jp  from=fuga.jp; domainkeys=pass (ok)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=fuga.jp; s=fugahoge;
        h=domainkey-signature:received:mime-version:received:from:date
         :message-id:subject:to:content-type:content-transfer-encoding;
        bh=9rWPv9P93xeKAF76ydrlCVNnELhcN0ksgB4fPV9OKfM=;
        b=cjaVu1ok9S+Ik1ZG8uaquyI/4RZkUOves/ognfGpiSCJ2kFbPtEFp+vxVGtcVReFAg
         bSp0s6Rpo7cT73kDEb6eQMQ8Uh1E8rIEFdcsbuU0p3fa+/tHlUoUP13bZeH8NSLGnsfo
         USHucC2wMs3k0j0VaUro4rWTzNiuD3FQAzvKQ=
DomainKey-Signature: a=rsa-sha1; c=nofws;
        d=fuga.jp; s=fugahoge;
        h=mime-version:from:date:message-id:subject:to:content-type
         :content-transfer-encoding;
        b=tw0cwg8KL86Qg/vPb7VLR2ToZwcGhFemT8IasI6b66P3ynLQUbYD1ntL8DrcdcZyTC
         bMF7YUEE6FS/sS+Se0DmljTAsAHQJ80Na13M1EJFIfBKAgXzHSnRZ00A1UEoT6juCK1j
         HN7qKF8mY7scL+9k80NMXgYiufqmEaVoU1QPg=

ということで、Google Appsにおけるメールの正当性チェックの一手段として、DKIMを追加してみるのも悪くないと思います、けっこうお手軽に行えますしね。

情報処理教科書 情報セキュリティスペシャリスト 2011年版
	上原 孝之 翔泳社 2010-09-17 売り上げランキング : 6647 Amazonで詳しく見る by G-Tools

ショートカットではなくシンボリックリンクにしてくれた方が、個人的にはうれしいですね。そうすればOSレベルになるでしょうから、エクスプローラでしか使えないような変なデータをもたなくていいもの。

どうがないでも示されているように、緊急回避としてのFixItは存在していますが、副作用がそれなりにあるのでどうしたものか悩みますね。

昔ほど必要性が薄れてきているものの、こういうのはあったほうがいくつかのコンテンツ(システム)に埋め込むのにちょうどよいってのもあったりします。そんなわけで現在更新処理を行い、CSRを送ったところです。早ければ今日中にでも必要な手続き(の続き)も終了し、期間延長が行われることでしょう。

とかいってるうちに処理も終わり、無事更新完了。サーバ上の証明書も更新したので、来年の6月までは利用可能になります。

新版暗号技術入門 秘密の国のアリス
	ソフトバンククリエイティブ 2008-11-22 売り上げランキング : 23310 おすすめ平均 わかりやすい 暗号セキュリティの概要を知るのにお勧めの一冊 暗号関連の本の中で、一番わかりやすい本です Amazonで詳しく見る by G-Tools