ホーム » t-saitoh の投稿 (ページ 81)

作者アーカイブ: t-saitoh

システム

最近の投稿

アーカイブ

カテゴリー

DNSにDMARCを設定

2020-02-08

SPF, DKIM の設定がうまく動いているようなので、DMARC も設定してみよう。

DMARC は、SPF, DKIM にてメールの送信者認証で問題が発生した際にそのメールをどう扱ってほしいかを受け取り側に伝えるための設定。なりすましを受けたら報告してもらえるという意味でも便利かも。

DMARCの設定

ひとまず、なりすましは無いと思うけど、DMARCの設定ミスでメールが消えても困るから、p=none を設定し、問題が起こっても特になにもしてもらわないことにする。メール受信時の成功などの統計用情報が送られてくるメールアドレスと、失敗(なりすまりが発生?やばい!?)のメールアドレスを設定

mydns.jp の自宅ドメインの設定で、以下のような情報を返すように設定を行う。

_dmarc.tsaitoh.net IN TXT “v=DMARC1;
     p=none;
     rua=mailto:report-a@tsaitoh.net;
     ruf=mailto:report-f@tsaitoh.net”

p=none(なにもしない)でなく、p=quarantine(隔離), p=reject(廃棄), に設定すると、レポートメールが送られるようになる。

DMARCの状態レポートの受信設定

上で設定した、統計用メール、失敗用メールの受取先を実際に配送できるように、/etc/aliases に登録。

$ sudo vi /etc/aliases # 以下を追加
report-a: root
report-f: root
$ sudo newaliases

試しに Google のメールアドレスにメールを送ったら、dmarc=pass が表示されるようになった。(現時点では、p=none なので report-a 宛などのメールは送られてこない)

Authentication-Results: mx.google.com;
       dkim=pass header.i=@tsaitoh...
       dkim=pass header.i=@tsaitoh...
       spf=pass (google.com: domain of ...
       dmarc=pass (p=NONE sp=NONE dis=NONE) ...

DMARCレポート

後日 p=quarantine にレベルを上げたら、以下の様なレポートが届く様になった。なりすまし被害なしってことで。

自宅メールサーバをDKIM対応へ

2020-02-08 / 自宅メールサーバをDKIM対応へ への1件のコメント

Yahoo のメールアカウントに、迷惑メール対策のため「DMARC」導入を開始しますとのメールが届いている。送信側ドメイン認証のひとつで、なりすましだった場合の取り扱いを設定することができるらしい。

しかし、自宅メールサーバは、mydns.jp を用いたダイナミックDNSを用いたサイト。このため、メールサーバを立ち上げても spam 送信元と誤認(なりすましと誤認)される可能性も高く、自宅サーバからのメールは、受け取り側で迷惑メールフォルダに落ちないか心配したり、すぐに相手に届くか不安であった。

ということで、DMARC の前に、DKIM にて信用してもらえるように設定を行う。DKIMは受信したメールが正しいメールサーバから送られ改ざんされていないか確認する方式SPFは以前に導入済みだけど、正しいメールサーバから発信されたか確認する方式なので、DKIM ほどの信頼はない。

opendkim のインストール

Debian では、opendkim のパッケージが配布されているので必要なパッケージをインストールする。設定のために セレクタ名 を postfix としてプライベートキーを生成する。/etc/dkimkeys/postfix.txt には、DNS に登録する “IN TXT” の設定が生成される。

$ sudo aptitude install opendkim opendkim-tools
$ cd /etc/dkimkeys
$ sudo opendkim-genkey -D /etc/dkimkeys -b 1024 -d tsaitoh.net -s postfix
$ sudo chown opendkim:opendkim /etc/dkimkeys/*

opendkim の設定として、上記処理で作られたプライベートキーを登録し、DKIM キーを付加する処理のためのサーバと接続するためのソケットを定義する。

((( 以下のファイルを編集 )))
$ sudo vi /etc/opendkim.conf
Domain   tsaitoh.net
KeyFile  /etc/dkimkeys/postfix.private
Selector postfix

Socket   inet:8892@localhost

DKIM 電子署名を付加するための postifix の設定

postfix でメールを送信する時に opendkim に接続し DKIM の電子署名を付加するために、前述のソケットに対応する設定を以下の様に記載する。

((( /etc/postfix/main.cf )))
$ sudo vi /etc/postfix/main.cf
smtpd_milters = inet:127.0.0.1:8892

DKIM のための DNS の設定

DNSに、公開鍵などの設定を行う。mydns.jp を使っているので、mydns.jp にログインし、DOMAIN INFO にて、以下の設定を加える。

_adsp._domainkey   IN TXT dkim=unknown
postfix._domainkey IN TXT v=DKIM1; h=sha256; k=rsa; p=XXX...XXX

DNS設定が正しく反映されているか確認。

$ nslookup -query=TXT _adsp._domainkey.tsaitoh.net 8.8.8.8
_adsp._domainkey.tsaitoh.net    text = "dkim=unknown"
$ nslookup -query=TXT postfix._domainkey.tsaitoh.net 8.8.8.8
postfix._domainkey.tsaitoh.net  text = "v=DKIM1; h=sha256; k=rsa; p=XXX...XXX

サーバの再起動とDKIMの確認

$ sudo service opendkim start
$ sudo service postfix restart

試しに Google のアカウントにメールを送ったら、メールヘッダに以下が表示されるようになった。SPF は、以前に設定済みなので、自宅サーバからのメールは、確実に相手に届くようになったと思われる。

ARC-Authentication-Results: i=1; mx.google.com;
        dkim=pass header.i=@tsaitoh.net ....
        spf=pass (google.com: domain of ....

これで遊びませんか?

2020-02-08

@TohruSaitoh-20/02/02

2020-02-03

  • 02/02 RT @Fton_Hikikomoru: 理系女子がリケジョなら、
    情報系女子はジョジョなのでは?
  • 02/02 暖房用の灯油の買い出しで、車の中に灯油が少しこぼれて、車の中が灯油臭い。>_<
  • 01/30 RT @FukuiKousen: 第13回全国高専英語プレゼンテーションコンテストで福井高専が文部科学大臣賞を受賞
  • 01/28 いつもなら、都心の雪に「そんな雪で騒ぐな!」って思うけど、今年は福井の何倍も雪降ってて、驚いてる。


この記事は@TohruSaitohのつぶやきのまとめです。

ラズパイのインタフェース名

2020-01-28

自宅の raspberry-pi の設定を触っていて、何気に raspi-config を起動して設定を確認していたら、適当にポチポチさわってて、Network Options, N3 Network Interface Names の設定を触ったようで、再起動がかかったらネットワークがつながらない。

しかたがないので USBキーボードとHDMI のモニタつなげて、直接設定を触ろうとするものの、HDMI に信号が出てこない。

これでは、設定を触ろうにも何もできない。

raspi-config を使わないで設定を変更

もう raspberry-pi 単独では触りようがないので、micro-SD を外して、母艦のサーバで 起動時の設定を触ることとした。

間違って触った Network Interface Names は、古い eth0 などのインタフェース名でなく、enx112233aabbcc みたいな MAC アドレス を交えた新しいインタフェース名を使うような設定(predictable interface naming)。この機能が動き出したおかげで、インタフェースの初期化に失敗している。この設定を戻さないと。

$ sudo bash
((( raspberry-piの/bootフォルダをマウント )))
# mount -t vfat /dev/sdd1 /mnt  デバイス名/sddの部分は要変更

((( predictable interface naming を無効化 )))
# vi /mnt/cmdline.txt
net.ifnames=0  ファイル末尾に追加

((( sshサーバ機能を有効化 ))) 
# touch /mnt/ssh

((( HDMI の出力を有効化 )))
# vi /mnt/config.txt
hdmi_safe=1    先頭の方のこの行をコメントアウト
               低解像度のsafeモードでHDMIを設定

# umount /mnt
((( raspberry-piのrootをマウント )))
# mount -t ext4 /dev/sdd2 /mnt
((( ネットワークの設定ファイルを変更 )))
# vi /mnt/etc/dhcpcd.conf
...

んで、母艦で編集していた micro-SD を raspberry-pi に差し戻して起動。

@TohruSaitoh-20/01/26

2020-01-27

ねこすた


この記事は@TohruSaitohのつぶやきのまとめです。

Raspberry-Pi のファーム壊れた

2020-01-26

Raspberry-Pi、ネットワーク越しに rpi-update してた途中でWiFi中継器のネットワークが切れてしまった。おかげでファームウェアの更新に失敗。どうもファームウェアがぶっ飛んだようで、起動しなくなった。タイミング最悪。

その RPi は、ITオンチな1F両親向けに、家族の予定をLED掲示板に表示させてるために使ってた。でも、買い替えるといっても RPi4 買うほどの処理じゃないしな。

難しい話抜きで、Google Nest 買った方が便利かな。でも、OK,Google、使いこなせないだろうしなぁ…

階段で肘を激しく強打

2020-01-14

階段で転んで、肘を激しく打ってしまった。

翌日に人間ドックを予定している中、痛みも酷いし即病院とも思ったが、冷やしていたらジンジンとくる程でもないし、ひとまず様子見。

人間ドック2日コース受診

2020-01-14

人間ドックを、この数年受けていなかったので予約をしていたが、脳ドックなども受けられる様にしたら、この時期になった。福井県済生会病院でうけたけど、泊まる部屋もシングルだし、検診フロアはリゾート地みたいな雰囲気出してる。

1日目

1日目は、前日21:00以降の食事抜きで、糖尿病検査のための糖負荷試験というヤツで、朝イチの血液検査後に甘いサイダー飲んで、1時間後,2時間後に採血となった。

1日目のシメに、MRIとCT検査。MRI は初めて受けたけど、騒音が凄かった。例えるなら、古いウルトラマンで異星人に精神攻撃を受けているシーンの効果音で、それが15分続く。気分が悪くなる人もいるというけど、分からなくもない。

不健康自慢しても変だし、問題ないネタだけBLOGに書いておこう。超音波検査で腎臓?に、小さな嚢胞があると言われたけど、血液検査を合わせて考えると、大丈夫なヤツらしい。あと、聴覚検査では以前職場の健康診断でも言われているけど、左耳の高音域が聞こえが悪いと、改めて言われる。

人間ドックの前日の夜に階段でコケて、激しくヒジ付近を打って、内出血とかしたと思うので、血液検査は変な値でるかなぁ…。

2日目は、胃カメラなので1日目21:00以降は再び絶食。

{CAPTION}
{CAPTION}
{CAPTION}
{CAPTION}

2日目

朝から、最後のシメの胃カメラ。事前に鎮静剤の注射を打ってもらうと、苦しまなくて済むと勧められ、改めて確認する。しかし、鎮静剤を打つ場合は、事前に診察を受け、終わっても鎮静剤の効き目が残るため車の運転ができないらしい。車で来ているのもあり、あきらめて普通の胃カメラ。相変わらずのゴホゲホウゲウガ状態で苦しんだ。

結果としては、若干胃が荒れて赤く逆流性胃炎で小さなポリープが数個あったけど、問題ないレベルとのことであった。

胃カメラの後に、前日のMRIの結果を教えてもらった。これまた高血圧などが原因でなりやすい血流が悪くなった小さな脳梗塞部分があったけど、これまた加齢を考えるとよくあるレベルとのことであった。しかしながら、高血圧やコレステロールなどの状態が続けば状態が悪化するとのことで、改めて高血圧・コレステロールといった生活習慣病を改善するように、食事制限や運動を勧められる。

ほかにも、ちょっとした問題はあるけど、即入院といった問題点が無かったので一安心。

サーバの電源トラブル

2020-01-11

朝、UPS がピーピー鳴って、サーバの電源が落ちた。

電子レンジにコーヒーサーバが重なると、ブレーカーが落ちる前に UPS が反応することがある。

我が家では、サーバが DHCP サーバとなっているから、ルータなどが生きていても、ネットワークが一切使えなくなる。

UPS の劣化などを疑うけど、更新は2017年1月なので、バッテリー状態も最悪なほどでもないはず。

apcupsdによる電源停止は正しく動作

UPS が再び正常に通電できるまで、少し手間取ったけど、復旧後に状態を確認。サーバが死ぬ前にシャットダウンを開始し、正常に電源停止が出来ている。

# grep apcupsd /var/log/syslog
Jan 11 08:59:30 perrine apcupsd[823]: Power failure.
Jan 11 08:59:36 perrine apcupsd[823]: Running on UPS batteries.
Jan 11 08:59:42 perrine apcupsd[823]: Reached run time limit on batteries.
Jan 11 08:59:42 perrine apcupsd[823]: Initiating system shutdown!
Jan 11 08:59:42 perrine apcupsd[823]: apcupsd exiting, signal 15

apcupsd-cgi をインストール

UPS の状態を確認するが、電源電圧が朝の起床に合わせて95[V]を下回っている

しかし、munin では、サンプリング感覚が5分なので、落ちる瞬間にどういう状態になっているのか確認したい。ひとまず、apcupsd を CGI から表示するパッケージが出ているので、それをインストール。

apcupsd/apccontrol

apcupsd の設定ファイルを見ていると、/etc/apcupsd/apccontrol というスクリプトから、状態に応じて様々な警告が出ている。電源が UPS の電源に切り替わる時には onbattery スクリプトから、管理者宛にメールを出している。改めてメールを確認すると、

perrine UPS perrine Power Failure !!!
 
DATE     : 2020-01-11 08:59:35 +0900  
HOSTNAME : perrine
VERSION  : 3.14.14 (31 May 2016) debian
UPSNAME  : perrine
CABLE    : USB Cable
DRIVER   : USB UPS Driver
UPSMODE  : Stand Alone
STARTTIME: 2019-12-30 16:18:32 +0900  
MODEL    : APC ES 550G 
STATUS   : ONBATT 
LINEV    : 88.0 Volts
LOADPCT  : 23.0 Percent
BCHARGE  : 100.0 Percent
TIMELEFT : 19.7 Minutes
MBATTCHG : 5 Percent
MINTIMEL : 3 Minutes
MAXTIME  : 5 Seconds
SENSE    : Low

落ちる瞬間の電圧は、88[V] 。ちょうど、ママの朝トーストとバリスタのスイッチを入れていたあたりだな。

どちらにしろ、onbattery スクリプト起動から、killpower 開始まで若干の15秒ほどの時間があるし、メールだけでなく google-home-notifier を使って、電源異常を喋らせるようにしてみた。

投稿ナビゲーション

過去の投稿 新しい投稿

Google 検索

My Google   Yahoo

Microsoft

ファンサイト

メタ情報