Microsoft PowerPoint - s03-水越賢治-IW2011-S3DKIM-3 [互換モード]

Similar documents
ENMA とは 送信ドメイン認証の ( 受信側 ) 検証をおこなう milter Sendmail Postfix と連携動作 認証結果をヘッダとして挿入 認証結果ヘッダの例 Authentication-Results: mx.example.jp; spf=pass smtp.mailfrom=

導入ドキュメント

DNSとメール

AWS からのメール配信の選択肢 1. EC2 上に Mail Transfer Agent (MTA) を構築して配信 2. Amazon Simple Service (SES) の利利 用 3. 外部 配信サービスの利利 用 3. については AWS 特有の 手順はない

OpenAM 9.5 インストールガイド オープンソース ソリューション テクノロジ ( 株 ) 更新日 : 2013 年 7 月 19 日 リビジョン : 1.8

導入ドキュメント

PowerPoint プレゼンテーション

SLAMD導入手順

( )

Microsoft Word - XOOPS インストールマニュアルv12.doc

Sendmail AD連携モジュールキャンペーン

MRS-NXシリーズご利用ガイド

PowerPoint プレゼンテーション

VB実用Ⅲ⑩ フリーデータベースⅡ

KDDI ホスティングサービス G120 KDDI ホスティングサービス G200 WordPress インストールガイド ( ご参考資料 ) rev.1.2 KDDI 株式会社 1

Helix Swarm2018.1インストール手順

共通フィルタの条件を設定する 迷惑メール検知 (SpamAssassin) の設定 迷惑メール検知 (SpamAssassin) とは.

R80.10_FireWall_Config_Guide_Rev1

スマート署名(Smart signing) BIND 9.7での新機能

1. POP3S および SMTP 認証 1 メールアイコン ( ) をクリックしてメールを起動します 2 一度もメールアカウントを作成したことがない場合は 3 へ進んでください メールアカウントの追加を行う場合は メール メニューから アカウントを追 加 をクリックします 3 メールアカウントのプ

Microsoft Word - Activ 利用の手引きVer2.0.doc

LGWAN-1.indd

目次 はじめに サービス内容 管理者機能 利用者機能

メール設定

SMTP ルーティングの設定

2015年10月24日 OSC 2015 Tokyo/Fall Linuxシステムをもっと安全で便利に 冗長化システムのご紹介 PowerDNSも冗長化しました 株式会社デージーネット OSS研究室 大野 公善

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

サービス内容 サービス内容 アルファメールダイレクトのサービス内容 機能 対応環境についてご案内します 基本サービス 管理者機能 アルファメールダイレクトをご利用になる前に まず管理者の方がメールアドレスの登録や 必要な設定を行います すべての設定は ホームページ上の専用フォームから行います < 主

自己紹介 指崎則夫 ( さしざきのりお ) SCUGJ 運営スタッフ Microsoft MVP

WagbySpec7

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

サービス内容 サービス内容 ドメインサービス Web サービスのサービス内容についてご案内します このたびは ドメイン /Web サービスをお申し込みいただきまして 誠にありがとうございます 本冊子は ドメイン /Web サービスの運用を管理される方向けの内容で構成されております お客様のご利用環境

Office365 AL-Mail

DBMSリポジトリへの移行マニュアル

HDC-EDI Manager Ver レベルアップ詳細情報 < 製品一覧 > 製品名バージョン HDC-EDI Manager < 対応 JavaVM> Java 2 Software Development Kit, Standard Edition 1.4 Java 2

目次 1. はじめに 本文書の目的 前提条件 略語 事前準備 ホスト名の名前解決 Linux 版パッケージ システム要件 ソフトウェア要件 パッケージ構成

目次 1 環境 バージョン インストール環境 インストール手順 前提条件 CentOS SSHD の設定 VSFTPD の設定 コンテンツ管理 CGI のイ

DNSサーバー設定について

HENNGE One HENNGE DLP 移行作業手順書 HENNGE DLP( 旧基盤 ) ご利用中のお客様向け資料 発行日 :2019 年 2 月

Microsoft PowerPoint Windows-DNS.pptx

目次 メールの基本設定内容 2 メールの設定方法 Windows Vista / Windows 7 (Windows Live Mail) Windows 8 / Windows 10 (Mozilla Thunderbird) 3 5 Windows (Outlook 2016) メ

I N D E X リダイレクト画面投稿手順 リダイレクト画面投稿手順 2 1 管理画面にログイン 2 右上の + 追加 を押す メールサービスのご利用について 4 メールソフト設定方法 ご利用のバージョンにより 画面や設定項目が異なる場

11-09-BOUNCEHAMMER-AT-KOF2013.graffle

1. 概要 この章では HDE Controller X LG Edition をお使いの方に向けて LGWAN 接続に特化した設定の説明をします HDE Controller X LG Edition 以外の製品をご利用のお客様はこの章で解説する機能をお使いになれませんのでご注意ください 452

MIRACLE MH for SNMP サポート SLA( サービスレベルアグリーメント ) ML-CS-0747 本書は サイバートラスト株式会社 ( 以下 サイバートラスト ) が MIRACLE MH for SNMP サポート ( 以下当サポートサービス ) の内容について説明するものである

HDE Controller X 1-5. DNS サーバー

1 TCP/IPがインストールされていて正常に動作している場合は ループバックアドレィング5.3 ネットワークのトラブルシューティング スでリプライが返ってきます リプライが返ってこない場合 なんらかの原因でサービスが無効になっていたり TCP/IPプロトコルが壊れていたりする可能性があります 2

大阪大学キャンパスメールサービスの利用開始方法

X-MON 3.1.0

XAMPP で CMS のお手軽 テスト環境を手に入れよう 2011/5/21 上村崇 1

サービス内容 サービス内容 アルファメールプレミアのサービス内容についてご案内します このたびは アルファメールプレミアをお申し込みいただきまして 誠にありがとうございます 本冊子は アルファメールプレミアをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によ

Microsoft Word - FTTH各種設定手順書(鏡野地域対応_XP項目削除) docx

Nagios XI - SNMPでのLinux監視

インストール手順 2 セットアップの種類 [ 標準インストール (S)] [Thunderbird を既定のメールプログラムとして使用する (U)] にチェックを入れ [ 次へ (N)] をクリックします インストール手順 3 セットアップ設定の確認 [ インストール (I)] をクリックします 2

Zenlogicへの移行マニュアル

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

Apache2.2(mod_ssl) は ECDSA 鍵について非対応となっております 1-2. 証明書のインストール Apache(mod_ssl) への証明書のインストール方法について記述します 事前準備 事前準備として サーバ証明書 中間 CA 証明書を取得してください 事前準備

はじめに 1. 概要本書では SuitePRO V3 にて提供している迷惑メールフィルタのバージョンアップ手順について案内しています なお この手順につきましては 迷惑メールフィルタ機能について オンラインマニュアルの内容通りに設定されていることを前提条件とします

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

( 目次 ) 1. WordPressインストールガイド はじめに 制限事項 サイト初期設定 WordPressのインストール ( コントロールパネル付属インストーラより ) WordPressのインストール ( 手動インス

アルファメール 移行設定の手引き Outlook2016

別紙 : 検証環境の構築手順 ( 章 ) 1. サーバ設定 1.1 IP アドレス設定 サーバは以下の 6 台を用いる pgpool-ii サーバ 2 台 DB サーバ 3 台 上位サーバ 1 台 OS は全サーバで CentOS 6.4 x86_64 とする pgpool-ii のサー

Helix Swarm2018.1アップグレード手順

Bizメール&ウェブ ビジネス メール設定ガイド

目次 1. メールソフト THUNDERBIRD Thunderbird とは インストール 設定 メールの受信 メールの送信 AL-MAIL からのメールボックスの移行 ダウンロ

2 1: ネットワーク設定手順書 が完了後に行なってください 鏡野町有線テレビ 各種設定手順書 この手順書では以下の内容の手順を解説しています メール設定 ホームページの掲載 お客様がご利用の OS により設定方法が異なる部分があります OS をご確認の上 作業を行なってください お客

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

Transcription:

送信ドメイン認証 運用実践 DKIM 設定 運用 IAjapan 迷惑メール対策委員会水越賢治

SPF と DKIM 送信ドメイン認証技術 DNSで送信側ポリシーを公開するのは同じ DKIMは送信メールごとに署名する 送信メールサーバでの処理が必要

DKIM の特殊性 送信メールサーバで署名が必要 SPFより面倒 PKI インフラを使う ちょっと難しい? 負荷が増える 複数ドメインを扱うサーバでは複雑 複数の鍵管理 メール送信毎に処理が必要 DKIM 普及が遅れている理由

OpenDKIM とは オープンソースのDKIMフィルタ 受信メールのDKIM 確認 送信メールの署名 複数ドメインのサポート 大規模化への対応 DNS Queryのキャッシュ 鍵管理 DBの活用 LDAPなどに接続 小規模サイトから ISP グレードまで対応

DKIM 運用システムの設計 インストールの前に OpenDKIMは設定範囲が広い 構築するメールサーバの機能 規模に合わせる 例 1 例 2 例 3 単一ドメインのメールサーバ 企業の Dual Hme Mail Gateway xsp のメールサーバ

OpenDKIM の導入初級編 まずは単一ドメインのシンプルなメールサーバ OpenDKIMのインストール OpenDKIMの設定 DNS 登録 テスト

OpenDKIM のインストール Linux 系ならバイナリでの提供もあり rpm なら http://pkgs.rg/dwnlad/pendkim Debian, Ubuntu もあり ただしバイナリパッケージは後述するオプションはなし FreeBSDならPrtsで その他はコンパイルして cnfigure で構成 コンパイル Sha256 サポートのため OpenSSL 0.9.8 以降が必要 milter サポートのため sendmail の libmilter が必要

rpm のインストール rpm の入手は以下から http://dwnlad.fedra.redhat.cm/pub/epel/6/i386/pendkim-2.4.2-5.el6.i686.rpm 依存パッケージは EPELから以下のファイル libpendkim-2.4.2-5.el6.i686.rpm libpendkim-devel-2.4.2-5.el6.i686.rpm 標準リポジトリから sendmail-milter

インストールされるファイル 設定ファイルは /etc/pendkim/ 以下に コマンド類は /usr/bin/pendkim-* 主な設定ファイルは /etc/pendkim/pendkim.cnf 鍵は /etc/pendkim/keys/ 以下に 起動スクリプトは /etc/init.d/pendkim

Opendkim.cnf simple 最低限以下を修正 PidFile /var/run/pendkim/pendkim.pid Mde sv <- sは送信時の署名 vは受信時の確認 Syslg yes SyslgSuccess yes LgWhy yes UserID pendkim:pendkim Scket inet:8891@lcalhst Umask 002 Cannicalizatin relaxed/simple Dmain example.cm <- 自分のドメイン名 Selectr default KeyFile /etc/pendkim/keys/default.private

MTA の設定 OpenDKIMはmilterなのでMTAの設定が必要 Pstfix ではmain.cfに以下の行を追加 smtpd_milters = inet:127.0.0.1:8891 <- pendkim.cnfと合わせる nn_smtpd_milters = $smtpd_milters milter_default_actin = accept Sendmail では m4 に以下の行を追加 INPUT_MAIL_FILTER(`pendkim', `S=inet:8891@lcalhst') 複数のmilterがあるときは順番に注意 受信はenmaを使った方がいい 設定ができたらMTAをリスタート

pendkim を起動 準備ができたら起動 # service pendkim start あれ 鍵を作ってないけど? rpmに付属している起動スクリプトは自動で鍵を作る 作成するドメイン名は fqdn から hstname を除いたもの 作成するセレクタは default 勝手に作って欲しくないかも /etc/syscnfig/pendkimを編集 #AUTOCREATE_DKIM_KEYS=NO <- コメントアウトすれば作らない #DKIM_SELECTOR=default #DKIM_KEYDIR=/etc/pendkim/keys

鍵を作る 鍵は自分で作ろう /etc/syscnfig/pendkim AUTOCREATE_DKIM_KEYS=NO を設定 /etc/pendkim.cnf Dmain example.cm Selectr default KeyFile /etc/pendkim/keys/example.cm/default.private 鍵を生成 mkdir /etc/pendkim/keys/example.cm /usr/bin/pendkim-genkey -D /etc/pendkim/keys/example.cm/ -d example.cm -s default chwn -R pendkim:pendkim /etc/pendkim/keys/example.cm chmd 600 /etc/pendkim/keys/example.cm/default.private chmd 644 /etc/pendkim/keys/example.cm/default.txt

DNS への登録 公開鍵をDNSに登録してDKIM 運用開始宣言 公開鍵といくつかのタグをTXTレコードに記載 pendkim-genkeyで鍵を生成すると作ってくれる セレクタ名.txtというファイル /etc/pendkim/keys/example.cm/default.txt このファイルの内容をそのままzneファイルに登録 タグの例 v=dkim1 DKIM versin1 r=pstmaster replay mail address k=rsa 鍵アルゴリズム p=.. 公開鍵

ADSP の登録 Authr Dmain Signing Practices 送信側でのDKIMの扱いを宣言する dkim=< タグ > unknwn このドメインでは扱いを規定しない -> dkimするかもしれないししないかも all このドメインではかならずdkimをつける discardable このドメインではかならずdkimをつける ない場合は破棄していい ない場合はunknwnと見なされるがつけた方がいい 現状ではdiscardableは推奨されない 例 _adsp._dmainkey.example.cm. IN TXT dkim=unknwn

OpenDKIM 運用編 運用の基本はログ監視 Milterが正しく起動しているか 受信時には確認結果が記録 送信時には署名結果が残る DNS の運用重要性が増える これまでよりDNS queryが増える DNS query 失敗はdkim failの原因になる

OpenDKIM 導入中級編 初級編のモデルはかなり単純 現実的には以下の機能が必要になることが多い マルチドメイン署名 マルチホーム xsp はもちろん 企業でも複数ドメインのメール運用 DKIMでは送信時の署名が問題に OpenDKIMではマルチドメインと複数鍵の管理が可能 マルチホームしたメールゲートウェイ プライベートアドレスでの運用 例外ポリシー メール転送

マルチドメイン対応 鍵とセレクタの管理を外部ファイルにして複数ドメイン対応 pendkim.cnfの以下の行を変更 KeyFile /etc/pendkim/keys/default.private -> 削除 KeyTable refile:/etc/pendkim/keytable -> 追加 SigningTable refile:/etc/pendkim/signingtable -> 追加 KeyTable ファイルにはセレクタと鍵のファイルパスを記述 sel1._dmainkey.dm1.cm dm1.cm:sel1:/etc/pendkim/keys/dm1.cm/sel1.private sel2._dmainkey.dm2.cm dm2.cm:sel2:/etc/pendkim/keys/dm2.cm/sel2.private SignTable ファイルには認証するメールアドレスとセレクタを記述する *@dm1.cm sel1._dmainkey.dm1.cm *@dm2.cm sel2._dmainkey.dm2.cm

メールゲートウェイ メールゲートウェイではリレーされたメールを扱う 転送されたメールを認証 受信したメールを確認して転送 プライベートアドレスを使う内部ネットワーク ドメイン名管理が公開系と異なる 内部ドメイン名を隠したい DKIMチェックは必要ない 例外ファイル受信時にチェックしない ExternalIgnreList refile:/etc/pendkim/ignrehsts 内部ホスト送信時にかならず認証する InternalHsts refile:/etc/pendkim/internalhsts FQDN, IP アドレスで記述 127.0.0.1 も

OpenDKIM 導入上級編 より大きな規模での運用では 大量のメールの署名 大量のメールの確認 多数の鍵の管理 OpenDKIM では大規模化対応のオプションがある DNS query cache LDAPサーバでの鍵管理 DBMSによる鍵管理

コンパイルオプション 高度な機能を実現するにはコンパイルオプションをセット DNS query cache --enable-query_cache --with-libmemcached --with-db LDAP 対応 --with-penldap --with-sasl --enable-ldap_caching SQL 対応 --with-dbx 標準はMySQL ODBCやSqlite にも対応

DATA SETS pendkim.cnfのパラメータとして以下が指定できる file: または / 単純ファイル refile: 正規表現を含むデータのファイル db: BDBデータ形式 dsn: OpenDBXのDSN mysql://user:pass@3306+hst/db/table=macrs?keycl=hst?datacl=v1,v2 ldap: LDAP データ メールドメインがDNにマップ 鍵などはptin 属性として登録

OpenDKIM http://www.pendkim.rg/ 参考 dkim.jp - DKIM 導入リコメンド http://www.dkim.jp/dkim-jp/recmmend/ Iajapan DKIM 技術解説 http://salt.iajapan.rg/wpmu/anti_spam/admin/tech/explanatin/dkim/