Posts

これまで長らくSPFのみでメールサーバーを運用してきたが、最近になってYahooメールなど一部のメールサービスで到達性に不安を感じる場面が増えてきた。
そこで、送信ドメイン認証を強化するため、DKIMおよびDMARCを追加導入することにした。

これにより、SPF・DKIM・DMARCの主要なメール認証方式が揃い、なりすまし対策やメールの信頼性向上が期待できる。

以下、その導入手順を備忘録としてまとめておく。

1. 必要なパッケージのインストール

まず、OpenDKIM本体と鍵生成ツールをインストールします。

sudo apt update
sudo apt install opendkim opendkim-tools

2. OpenDKIMの設定

/etc/opendkim.conf の編集
設定ファイルを開き、以下の項目を変更または追記します。
今回は確実でパーミッション問題の起きない TCPソケット（ポート8891） でSendmailと通信させます。

● ログ出力の設定
Syslog yes
SyslogSuccess yes

● 動作モード（s = 署名、v = 検証）
Mode sv

● 鍵やドメインのマッピング設定
KeyTable /etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts

● Sendmailと通信するためのTCPソケット設定
Socket inet:8891@localhost

関連ファイルの作成

設定用のディレクトリを作成。

sudo mkdir -p /etc/opendkim/keys

① /etc/opendkim/TrustedHosts の作成

信頼する送信元（自分自身）を指定。

127.0.0.1
localhost
::1
sky.0t0.jp

② /etc/opendkim/KeyTable の作成

使用する鍵のセレクタ名（今回は dkim260605）と、ドメイン、秘密鍵のパスを紐付け。

dkim260605._domainkey.sky.0t0.jp sky.0t0.jp:dkim260605:/etc/opendkim/keys/sky.0t0.jp/dkim260605.private

去年7月から続くしつこい付きまといアクセス。

ここしばらくの間、ACMEチャレンジ以外のログを取得しない状態で、PORT80のみ常時公開していたが、本日付でサイトの運用を見直した。

公開状態のままではアクセスが絶えないため、通常は閉鎖し、証明書更新（ACME）のタイミングのみ短時間公開する構成に変更した。

これにより不要なアクセスを観測する機会はほぼなくなる。
いよいよ無意味なアクセス観測も終了だろうか？！

一方で、インターネット上では対象への執着に基づく監視行動や追跡行為が少なからず存在する。
興味深いのは、それらの行動が必ずしも合理的な目的に基づいていない点である。

行動科学の観点では、人は好意だけでなく嫌悪によっても対象へ注意を向け続けることが知られている。
対象を否定したいという感情が、結果として継続的な観察や監視を生み出し、本人の時間や認知資源を消費させる。

しかし、そのような行動は新たな知識や価値を生み出すことが少なく、多くの場合は生産性の低い活動に終始する。

限られた時間を何に使うかは個人の自由だが、他者への執着や監視に費やすより、自らの知識や経験を積み上げる方向へ向けた方が建設的であるように思う。

少なくとも私は、不要な雑音から距離を置き、自分の時間を自分のために使いたい。

今日は出かけ際に少し躊躇ったが、結局いつものように養老で養老。

例によって往路の時間調整も兼ねて、養老公園を散歩した。
日差しが異様に強く感じたが、まだ汗が噴き出すほどではなく、気持ちよく歩くことができた。

その後は、いつものように養老で養老。

例によりスメタナ定食。
特に値上げもなし。

ついでに、ひげまんじゅうの在庫確認。
先週は13体いたが、今日は10体になっていた。
少しずつ旅立っているようだ。

ところで世間では、ナフサ不足で仕事にならないという悲鳴がある一方で、「供給に問題はない」という楽観的な声も聞こえてくる。
庶民は物価高に苦しみ、先行きへの不安も尽きない。

それなのに、株式市場に目を向ければ日経平均が連日のように上昇。
目の前の現実社会と、画面の向こうの市場が、まるで別々の宇宙で動いているように見える。

パラレルワールドはSFの話ではなく、本当に存在するのかもしれない（笑）

それにしても、この株高の恩恵で「あぶく銭」を手にしている人が大勢いると思うと、なんとも複雑な気分になる。
政府がそんな「あぶく銭」を勧めているとは世も末だな(笑)

他人の懐がいくら潤おうとも、私の世界線は今日も平和で、いつもの養老。
それでいいじゃないか、と自分に言い聞かせる休日であった（笑）

今日は、久々に養老で養老。

往路の時間調整も兼ねて、養老公園を散歩した。
サツキが満開で実に美しい。
今日は気温も低めで、ひんやりとした空気の中、気分良く歩けた。

その後は、いつものように養老で養老。

前回は連休の影響か品切れだったスメタナ定食も、今日は無事復活していた。
心配していた"影のオイルショック"の影響も今のところ見当たらず、値上げもなし。

ついでに、ひげまんじゅうの在庫確認。
３週間前は在庫が一体だけだったが、新入荷したようで今日は１３体並んでいた。

ナフサ不足は幻なのか、自分の居住地を含む名古屋近郊では、ガソリン価格の急騰もなく、今のところ目立った影響は感じられない。
オイル交換のピットメニューも従来通りで、値上げもなく在庫も普通にあるように見える。
報道では不足や混乱が語られているものの、少なくとも生活圏では、まだ「いつも通りの日常」が続いているように感じる。
いったい、どうなっているのだろうか。

去年7月から続くしつこい付きまといアクセス。

未だに消えてないが、海外からのアクセスを専用サイトに閉じ込め、ACMEチャレンジ以外のLOGを取っていないので、詳細は不明な状態。

下記のパケットカウント、ルール14がその専用サイト宛のパケットだが、昨日２４時間で120アクセスのみ。
少し前と比べると一桁少なくなっている。
このまま放置すれば、いずれ自然消滅か・・・

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1    7869K 6530M ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        0     0 DROP       6    --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            tcp dpts:137:139
3        0     0 DROP       17   --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            udp dpts:137:139
4        0     0 DROP       6    --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            tcp dpt:445
5        0     0 DROP       17   --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            udp dpt:445
6        0     0 DROP       6    --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            tcp dpt:111
7        0     0 DROP       17   --  br0    ppp0    0.0.0.0/0            0.0.0.0/0            udp dpt:111
8    26800   16M ACCEPT     0    --  br0    ppp0    192.168.1.0/24       0.0.0.0/0           
9      170  8763 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set firehol_level3 src
10      78  3968 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set firehol_level2 src
11       7   292 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set firehol_level1 src
12      10   436 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set gcloud src
13       0     0 DROP       0    --  ppp0   br0     0.0.0.0/0            0.0.0.0/0            match-set other_block src
14     120  7868 ACCEPT     6    --  ppp0   br0     0.0.0.0/0            192.168.1.1          tcp dpt:9080
15     113  6312 ACCEPT     0    --  ppp0   br0     0.0.0.0/0            192.168.1.1         

ちなみに、一日１～２回はスパムメールを送り付けようとしてくる。
DNSBL（ブラックリストデータベース）zen.spamhaus.orgを参照して、該当すれば拒否されるのだが、その際の応答メッセージを