23-7. メ−ルとDNSサ−バの維持を (1) DNSサ−バはいつまでも手元に * DNSのル−トIPアドレスの調整 `2d/07 2013年1月3日、d.root-servers.net のIPアドレスが変更になった。旧 128.8.10.90 で 新 199.7.91.13。「d.root-servers.net (D-Root) のIPアドレス変更に伴う設定変更に ついて」株式会社日本レジストリサ−ビス(JPRS) 初版作成 2013/01/07 (Mon)。ル−トの ファイルは http://www.internic.net/domain/named.cache、last update: Jan 3, 2013。 「d.root-servers.net (D-Root) のIPアドレス変更について」 株式会社日本レジストリ サ−ビス(JPRS) 初版作成 2012/12/18 (Tue)。これによれば D-Root のIPアドレスの変 更は2013年1月3日に予定、ただしこれまでのIPアドレスは移行後も少なくとも6ヶ月間 は有効とのこと。2013年7月時点でも、まだ旧のIPアドレスも有効だった。 先ずは現状の D-Root のIPアドレスを確認してみた。named.cache ファイルにはこれま での 128.8.10.90 が記載されていた。 しかし nslookup で見たら新しいIPアドレスが でてきた。これは一体どういうこと?。自動で変わっていたということ?。named のプロ グラムが新しいル−トのIPアドレスを自動で取得するようになったということか。 とりあえず named.cache ファイルの D.ROOT-SERVERS.NET のIPアドレスだけ、vi で変 えた。named を再起動するか # rndc reload をやるかするところだが、 何もしないでお くことにした。既に D.ROOT-SERVERS.NET のIPアドレスが新しいのがキャッシュされて いる訳で、一体どうなるかしばらく見てみることにした。 /usr/local/bind/sbin/named, rndc /usr/local/bind/etc/named.conf, named.cache # nslookup DNSサ−バが動いているメ−ルリレ−のマシンにて操作。 Default Server: localhost Address: 127.0.0.1 > d.root-servers.net. Server: localhost Address: 127.0.0.1 Non-authoritative answer: 少し気になるのが view の事。内部からと外 Name: d.root-servers.net 部からの検索で d.root-servers.net のIP Address: 199.7.91.13 アドレスは違ったりしないか。 C:\> nslookup パソコンにて操作。DNS指定はDNSサ−バ稼働マシン。 Default Server: ns.nix.co.jj Address: 202.241.128.3 > set type=ptr > 128.8.10.90 逆引きでは2つの d.root-servers.net がで Default Server: ns.nix.co.jj てきた。まだ旧のIPアドレスも有効である。 Address: 202.241.128.3 Non-authoritative answer: 90.10.8.128.in-addr.arpa name = d.root-servers.net | > 199.7.91.13 | Non-authoritative answer: 13.91.7.199.in-addr.arpa name = d.root-servers.net 上のル−トのIPアドレスを自動で取得うんぬんはまさにそうだった。priming という仕 組みでそういう事になっているようだ。DNSサ−バはル−トのヒントファイルの13個 のIPアドレスからランダムに1つ選択しアクセス、そこから他のル−トDNSのIPア ドレスを取ってきてDNSサ−バにキャッシュする。このこと `2h/02/S 頃、DNSの応 答時間を dig コマンドで計っていて、 いろいろ調べていて自身がかつて書いた priming に行き当たった。ついで、ヒントファイルの H.ROOT-SERVERS.NET のIPアドレスが変わ っていることも知った。2015年12月1日に 198.97.190.53 に変更になっていた。 * DNSサ−バ指定で起きたトラブル DNSサ−バは最後まで手元に。DNSサ−バはできるだけ近いところにあるのが望まし い。つまり社内にあることが望ましい。プロバイダにあっては、名前解決するのに時間が かかる。インタ−ネットの回線てDNSサ−バがあるプロバイダにアクセスすることにな るわけだから。日経の雑誌にもそんなことが書いてあるのを見た。 ファイアウォ−ルを置き換えした際、その数ヶ月前に、プロキシサ−バでDNSの指定を 自社のからプロバイダのIPアドレスに変えた。置き換えした直後からインタ−ネットへ のアクセスが遅いということになった。さんざん調べたあげくDNSの応答時間がかかっ ていることを突き止めたということがあった。 どうもIEブラウザのあるバ−ジョンで出た症状だったのでないか。ブラウザを Mozilla など別なので試してみれば、特にDNSの応答が遅いという問題はなかったのでないかと 後で気付いた。いや ping の名前解決は確か遅いことは遅かった。でもそれ以上に外のホ −ムペ−ジの表示が遅いのは ping 以上だったのは間違いなかった。 * DNSサ−バのアプライアンスは "Infoblox Trinizic DDI"。DNS/DHCP/IPAM アプライアンス。 ファ−ムウェアをアップし た際にDNSのヒントファイルは最新になる。自動ではやってくれない。アップ作業には 数分かかるだろう。止めないようにするには2台構成にして、1台ずつアップさせる。幕 張 Interop 展示会でブ−スにいた人に尋ねてのこと。2011年位の展示会だったと思う。 Infoblox はこれまでもしばしば目にしていたが、 バカちょんのDNSサ−バのアプライ アンスではなかった。価格は2台構成にすると500万円位になった、ブ−スに立ってい た人に、ちょっと高過ぎるのでないかと言ったら、企業の中での根幹に関わるサ−バの冗 長化だから、これぐらいの価格であって然るべきとたしなめられた。 その後、他にDNSサ−バのアプライアンスはないのかと思っていたら、 Fortinet 社の アメリカでは販売しているみたいである。実は Fortinet 社は本国ではいろいろ製品が販 売されている。アメリカのホ−ムペ−ジには出ている。DNSサ−バのアプライアンスの ドキュメントがあった。http://docs.fortinet.com/fdns/fortidns-400c-quickstart.pdf。 * DNSサ−バの最新セキュリティ DNSサ−バへの攻撃を防御するシグネチャもある。DNSアンプ攻撃は防げたのか。オ −プンリゾルバ、DDoS攻撃 DNS amplification attack、53/UDP パケットの大量送信攻撃。 オ−プンリゾルバになっていないかチェックするサイトがあって、一度自分とこのDNS サ−バを調べたことがある。その時、問題なかったと出たはず。 JPRS から頻繁にメ−ルが来るようになった。件名: From JPRS [vol.617-2013.12.02-]と か。全然中身はみてない。一度ちゃんと読んでみないと。DNSサ−バの安全対策に。 * Windows XP や 7 で使えるコマンド ・netsh ネットシェル IPアドレスやデフォルトゲ−トウェイを変える。 ・ipconfig /displaydns DNSの問い合わせでキャッシュしている情報。 ・ipconfig /flushdns DNSの問い合わせのキャッシュ情報を削除する。 ・ipconfig /all パソコンのネットワ−ク設定を調べるのに使う。 ・tasklist 稼働しているプロセスの名前を列挙する。 Windows OSのDOSコマンドにはいろいろ有益なのがあった。もっと早く気付くべきだ った。DNSの問い合わせの辺りのテストをしている時、パソコンが問い合わせした結果 をパソコン内にキャッシュしているのでないかと思うことがしばしばあった。でも分から なかった。これらのコマンドで分かるかも知れない。いろいろ触ってみよう。 ある日のことDOS窓で > ipconfig /displaydns やってみた。それまでヤフ−の画面な んかを見ていた、ns01.yahoo.co.jp や ns12.yahoo.co.jp とかでてきた "Time To Live" は全部 489 だった。他のサイトの情報もずらずらとパソコンの hosts に記述したのも出 てきた、"Time To Live" は 86400 になっていた。デフォルトの1日ということである。 IPアドレスとFQDNのキャッシュしている情報を保持している。DNSリゾルバ−キ ャッシュという。パソコンを再起動したらクリアされる。>ipconfig /flushdns とやって も消える。 Windows 7 でやったところ "DNS リゾルバ− キャッシュは正常にフラッシュ されました" と出た。でも hosts ファイルに記述したのは消えてなかった。 * DNSサ−バのアプライアンスあり `2e/06 INTEROP 2014で見つけた。これまでも試しに使ってみたOpenBlockS、ぷらっとホ−ム(株) の展示ブ−スに一杯製品が展示されていた。こんなにあったか。いつの間にこんなに増え たのか。これまでの製品は手の平に乗る位の大きさだった。勿論そのタイプは今もあるの だが、もう一回り大きいのがあった。EasyBlocks Enterprise という。見た目にも頑丈そ うだった。機能は RADIUS/DHCP/DNS/NTP/Proxy/Syslog いずれかを搭載したのを選ぶこと ができて、例えばDNSサ−バ専用であれば、型番は EBX3/ENT/DNS となる。 手の平サイズのDNSサ−バ専用機もあって、EasyBlocks DNSモデルといい、端末300 台程度である。当社のパソコン台数にはこれでは役不足である。 EasyBlocks Enterprise ならパソコン数500以上でも十分対応するとのこと。仕様を見ると端末 3,000台程度の 内部DNS、外部DNS。Active-Active のHA構成がとれる。展示ブ−スのお兄さんの 話では1台30万円位とか。冗長構成はWeb画面で簡単にできます。ファンレス、ディ スクレス。内の製品はなかなか壊れないので、売れなくて困っているんですとも。 お兄さん、DNSサ−バはクラウドサ−ビスのは使いづらく、社内に最後まで残ってしま うんですよね。官公庁や学校などのDNSサ−バは、最近はこれで賄っているところが増 えてますよ、などと話をしてくれた。無償で貸出もやっているとのパンフレットももらっ た、1000ユ−ザ−突破記念、2014年9月30日まで。メ−ルサ−バをクラウドサ −ビスのを利用するようにしたら、社内にはDNSサ−バだけが残る。どうしようかと考 えていた。これまでの Sun のマシンを動かす?、仮想サ−バで動かす?。答えは出たネ。 この小さなアプライアンスを使うとして確認しておくこと。DNSのプログラムをアップ するのはどうなっているか。DNSの実装には常にバグがある。クリティカルなバグの場 合はパッチを当てるなり、プログラムをアップしないといけない。画面のメニュ−でポン とやれればいいが。HA構成の場合、どうやって作業するのか。一時的にHAでなくして 1台ずつ作業するとか。そうそうル−トIPアドレスが変更になった場合はどうするのか。 他のアプライアンスでは自分で装置内のそのファイルを書き換えると、聞いたことがある。 "21-4.インタ−ネット接続周りの刷新" に EasyBlocks のこと以下ように書いていた。こ ちらに移動した。OpenBlockS という製品は販売終了したみたい。EasyBlocks という新製 品が2011年8月に出てきた。EasyBlockS 2台でDNSサ−バを冗長化する話が「Software Design」 2011/08 号に出ていた。P.178〜181, "OpenBlockS 600ファミリによる目的別サ −バ構築ガイド、第2回"超"簡単に冗長化DNSサ−バ環境を作る"。OpenBlockS 600 フ ァミリをベ−スに2011年6月に発表された EasyBlocks での話。98,000円(税込)より。 * まだまだDNSサ−バは検討が必要 `2f/05 社内にDNSサ−バがある以上、そのメンテナンスはやって行かなければいけない。BIND から Unbound のプログラムに切り替えた方がいいのでないか。 お世話になってるプロバ イダは Unbound でDNSのキャッシュサ−バを立てている。BIND はいろいろバグがある、 DNSのコンテンツサ−バとキャッシュサ−バが同じプログラムで動く。これらは分離し た方がセキュリティ上、安全である。社内のユ−ザのためにも、DNSの専用キャッシュ サ−バを設けて社内ユ−ザはこれを参照するようにする方が望ましいか。 ずっと利用していているプロバイダは権威DNSサ−バの1つを Amazon EC2 を使うよう に変更した。自社の2次DNSサ−バはその権威DNSサ−バになってもらっていて、こ の変更に伴って自社の2次DNSサ−バは Amazon EC2 を使うことになった。プロバイダ に Amazon Route53 を使ったのですかと尋ねたら Amazon EC2 だという。Route53 という のは "お名前ドットコム" と同じ様なことか。 Amazon Route53 では寄り合いバスみたい なことだから駄目なのかな、不特定多数の会社や個人などがDNSサ−バを立てるのに使 われるのでないか。"お名前ドットコム" では各種ドメイン名の取得も扱っている。 信頼性や応答性を考えたら自社専用のDNSサ−バを Amazon EC2 で立てるのが堅いとい うことか。そうなると内でも Amazon EC2 でDNSサ−バを立てるなら立てるということ になる。とりあえず内もセカンダリDNSサ−バは Amazon EC2 になった。プライマリも Amazon EC2 にしていいものかどうか。 とりあえずはセカンダリDNSサ−バの様子を見 て行くとしよう。プロバイダでの今回の変更の様子をみていて、特に問題なくスム−スに 出来たようである。プライマリDNSを EC2 に移行するのもやれそうな雰囲気である。 これを足掛りに社内の他のサ−バもクラウド、Amazon EC2 の利用を検討してみよう。 近 くにいる人がやっていると知っただけでも、体が納得して飲み込むことができるようにな る。これまで Amazon EC2 といってもピンと来てなかった。EC は Electric Commerce と 頭の中ではスペルが浮かんでいた。ようやく EC2( Elastic Compute Cloud )、 こっちの スペルが浮ぶようになった。Elastic は柔軟なという意味である。 Elastic Coefficient は学生の時分に習った弾性係数である。似た様なことをやっている人との話は重要である。 * 参考 「日経NETWORK」 2015/04, P.28〜47, "特集1 クラウドのネットワ−クを知る は > じめての Amazon 探検"。EC2 が無料で使える。Micro Instance で1ヶ月 750時間まで 無料。これを超えると課金が発生する。Webサ−バをテスト的にたてることができる。 http://aws.amazon.com/jp/ の画面の[今すぐ無料アカウントを作成]。 「Software Design」 2015/04, P.71〜100, "第2特集 [最新]DNSの教科書"。最初の方 > は本当にインタ−ネットの初期の話で、hosts ファイルで名前解決してたというお話し。 "第3章 BIND NSD/Unbound によるDNSサ−バの構築"は、BIND 9.9.4 と Unbound の フルリゾルバ−の設定例、BIND と NSD による権威DNSサ−バの設定例。 「日経NETWORK」 2015/06, P.64〜69, "初めてでも迷わない 進め! AWSネット > ワ−ク探検隊..."。Amazon EC2 で仮想サ−バ−を構築する。1台1台をEC2インスタン スという。料金体系は3つあり、1つは使った分だけ課金。 ディスクは有料の EBS を 利用、1GB から。EBS(仮想ストレ−ジサ−ビス) 無しだと再起動すると自分で作ったフ ァイルなんかは消える。Linux は各種ある。Amazon Linux なんていうのもあるぞ。 (2) DNS設定変更の反映時間の検証 `2c/12 -------------------------------------------------------------------------------- インタ−ネットでDNSの設定が反映されるのに、しばらく時間がかかると言われる。そ れって本当のことなのか。ちょうどいいチャンスだったのでそれを今回確認してみた。こ のことはメ−ルサ−バをクラウドなどに移行する場合に、MXレコ−ドの変更が関係する。 -------------------------------------------------------------------------------- * 先ず自社DNSサ−バの設定に状況を DNSのエントリの情報を変更して、どれだけの時間で反映されるか。これはメ−ルリレ −を自社からクラウドに移行する際に、どうしても関わってくる問題である。MXレコ−ド を自社内のマシンからクラウドサ−ビスのマシンに変更するという所である。そのシュミ レ−ションをするのに今回、ひとつ役立てることができた。DNSのエントリの変更では なく新規に追加する方がはっきりDNSの動作が分かるはずである。新しい情報なのでま だどこにもDNSエントリの情報はキャッシュされてないから。相手側でのDNSサ−バ がエントリの情報を保持している時間は、自社DNSサ−バの設定に記述した時間だけ保 持されることになっている、はず。相手側のパソコンの中にDNSサ−バのエントリ情報 を保持している時間、これが一番挙動が分からないのでないか。 DNS2次 一般DNS Root-DNS Root-DNS の自社情報の登録 10.10.10.1■TCP ■IIJ □ ------------------------- 10.10.10.2| |20.20.20.1 | |nix.co.jj 202.241.128.3 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ |nix.co.jj 10.10.10.1 \_____________________/ |nix.co.jj 10.10.10.2 : : DNS1次 WWW Cybozu : □ □ □ 仮想IPアドレス : |.3 |.7 |.8 ------------------------------------ 202.241.128.x |.2 ■MR ■WWW ■ NAT-------.2 |.1 | | MR: Mail-Relay, MS: Mail-Store。 |Fire |---------------------- これら Sun Solaris 9 のマシン。 ------- □MS |.2 |.1 ------------------------------------ /etc/named.conf ------------------------------------------------------------------------------ | | |view "NAKA" { | match-clients { 127.0.0.1; 192.168.1.0/24; 192.168.2.2; 202.241.128.2; }; | | | zone "4.168.192.in-addr.arpa" { これらの記述でメ−ルサ−バから逆引きのエ | type master; ントリがないというワ−ニングを出ないよう | file "nix.ip.rev"; にした。2012年2月のこと。"21-5. 続インタ | }; −ネット接続周りの事, (3) やっぱり最後は |}; DNSをいじる" の件りにて実施した。 | |view "SOTO" { プロバイダが用意してくれたDNSの2次は | match-clients { any; }; ns1.provider.ad.jp と ns2.provider.ad.jp | allow-query { any; }; でIPアドレスは 10.10.10.1、10.10.10.2。 | recursion no; | allow-recursion { none; }; | allow-transfer { 10.10.10.1; 10.10.10.2; }; | zone "nix.co.jj" { | type master; | file "/usr/local/bind/etc/nix.co.jj.zone"; | }; | zone "128.241.202.in-addr.arpa" { | type master; | file "/usr/local/bind/etc/128.241.202.in-addr.arpa.zone"; | | |key "rndc-key" { これらのことは "13-7.BIND 8,9 系列での設 |controls { 定, (5) BIND 9 系列の特徴と設定" を参照。 /usr/local/bind/etc/nix.co.jj.zone ---------------------------------------------------------------------- |;name ttl class type record specific information |$TTL 3600 |@ IN SOA ns.nix.co.jj. netmaster.nix.co.jj. ( | 1996040101 ;serial | 600 ;refresh | 300 ;retry | 36000 ;expire | 1200 ) ;negative cache TTL | IN NS ns.nix.co.jj. | IN NS ns1.provider.ad.jp. | IN NS ns2.provider.ad.jp. | IN MX 10 mail.nix.co.jj. | IN TXT "v=spf1 +IP4:202.241.128.3 ~all" |ns IN A 202.241.128.3 << ここらのエントリのことは"3-1. |www IN A 202.241.128.7 基本ネットワ−クの設計, (3)ネ |hostG IN A 202.241.128.2 −ムサ−バDNSの設定" 参照。 |ns1.provider.ad.jp IN A 10.10.10.1 |ns2.provider.ad.jp IN A 10.10.10.2 # nslookup /etc/resolv.conf Default Server: ns.nix.co.jj ------------------------- Address: 202.241.128.3 |domain nix.co.jj |nameserver 202.241.128.3 > www.nix.co.jj Server: ns.nix.co.jj Address: 202.241.128.3 << 抜けるのは exit と打つこと。quit はだめ。 Name: www.nix.co.jj Address: 202.241.128.7 > set type=ptr > 202.241.128.7 Server: ns.nix.co.jj Address: 202.241.128.3 7.128.241.202.in-addr.arpa name = www.nix.co.jj 128.241.202.in-addr.arpa nameserver = ns.nix.co.jj ns.nix.co.jj internet address = 202.241.128.3 * 確認 DNS1次に新しくエントリを追加。シリアル番号はそのままだと、その情報はDNS1次にし かない。シリアル番号を上げるとDNS2次に反映される。その他のDNSサ−バを一般DNS とする。新しい情報はDNS1次か2次にしかない。一般DNS はル−トDNSを辿ってDNS1 次か2次を見る、それしかないはずである。よって新しい情報に関してはDNSサ−バの 末端まで情報が行き渡るまでには時間ががかかるという説明はあてはまらないはず。情報 を変更した場合、これは既に情報がある状態で、DNSサ−バ内やパソコン内に情報がキ ャッシュされている。それぞれキャッシュの時間は変更が反映されないことになる。 DNSサ−バにエントリを追加。シリアル番号を上げてみる。2次ネ−ムサ−バになって もらっているのはTCPで 10.10.10.1,10.10.10.2。他のDNSサ−バ、たとえばIIJ のを 20.20.20.1 としよう。自社のDNSのエントリは、自社のDNSサ−バと2次ネ− ムサ−バになってもらっているDNSサ−バにオ−ソライズされた情報がある。世界中ど こからでも、新しいDNSのエントリ情報については、これらを見るしかない。既存のエ ントリ情報は至る所のDNSサ−バにキャッシュされる。パソコンにもキャッシュされる のでないか、確認する方法は?。Windows サ−バにあるDNSサ−バもである。 # nslookup << /usr/sbin/nslookup。Solaris 9 のマシンにて。 Default Server: ns.nix.co.jj Address: 202.241.128.3 << DNSサ−バは1次の 202.241.128.3 です。 > set type=TXT << これから TXT レコ−ドを見ますよ。つまり SPF レコ > nix.co.jj −ドを見るということ。自社のDNSサ−バには登録 Server: ns.nix.co.jj されていました。 Address: 202.241.128.3 | ↓ nix.co.jj text = "v=spf1 +IP4:202.241.128.3 ~all" | > server 10.10.10.1 << DNSサ−バを2次のを指定しました。 Default Server: ns1.provider.ad.jp Address: 10.10.10.1 > nix.co.jj << 2次には SPF は登録されていませんでした。 Server: ns1.provider.ad.jp Address: 10.10.10.1 *** No text (TXT) records available for nix.co.jj > tcp-ip.or.jj << ちなみTCP自体の SPF はどうかな。こんなように登 Server: ns1.provider.ad.jp 録されていました。 Address: 10.10.10.1 | ↓ tcp-ip.or.jj text = "v=spf1 include:spf.tcp-net.ad.jj ?all" | # dig @202.241.128.3 nix.co.jj. TXT << /usr/sbin/dig コマンドで見た様子。 ; <<>> DiG 8.3 <<>> @202.241.128.3 nix.co.jj. TXT ; (1 server found) ;; res options: init recurs defnam dnsrch ;; got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3 ;; QUERY SECTION: ;; nix.co.jj, type = TXT, class = IN ;; ANSWER SECTION: nix.co.jj. 1H IN TXT "v=spf1 +IP4:202.241.128.3 ~all" ;; AUTHORITY SECTION: nix.co.jj. 1H IN NS ns.nix.co.jj. nix.co.jj. 1H IN NS ns1.provider.ad.jp. nix.co.jj. 1H IN NS ns1.provider.ad.jp. ;; ADDITIONAL SECTION: ns.nix.co.jj. 1H IN A 202.241.128.3 ns1.provider.ad.jp. 1H IN A 10.10.10.1 ns2.provider.ad.jp. 1H IN A 10.10.10.2 ;; Total query time: 3 msec ;; FROM: netv to SERVER: 202.241.128.3 202.241.128.3 ;; WHEN: Thu Dec 13 12:54:56 2012 ;; MSG SIZE sent: 34 rcvd: 208 IIJのDNSサ−バが自社のどのDNSサ−バを見ているか。ル−トDNSのデ−タに は nix.co.jj のDNSサ−バのIPアドレスは3つ登録されている。 1つはまさに自社 のIPアドレスと2つはTCPの2次DNSサ−バのIPアドレスである。下記のように コマンドを打ってみたが、自社の SPFレコ−ドは出てこなかった。つまりIIJのDNS サ−バは nix.co.jj については、 セカンダリのDNSサ−バを見ていたということであ る。プライマリの自社DNSサ−バを見ていれば、SPF レコ−ドを返したはずである。ル −トDNSのどこを見るかは上からとかいう訳ではなく、ラウンドロビンで順繰りに見る のだと思われる。いったん1つの所を見たら、どうもしばらくはそこを見続けるようであ る。しばらくというのは数分という感じではなく、1時間や2時間という感じである。 # dig @20.20.20.1 nix.co.jj. TXT << 自社の SPF レコ−ドは出てこなった。 * nix.co.jj.zone の serial 番号を上げて 新しいDNSのエントリに関しては、キャッシュはどこにも無いので、だからシリアル番 号を上げて挙動をみれば分かる。例えば Cybozu サ−バを新設して外出先からアクセスで きるようにしてみる。ドメイン名は bouz.nix.co.jj としてみる。 /usr/local/bind/etc/nix.co.jj.zone ---------------------------------------------------------------------- |@ IN SOA ns.nix.co.jj. netmaster.nix.co.jj. ( | 1996040102 ;serial << これまで serialは | 600 ;refresh 1996040101 とする。 | | |bouz IN A 202.241.128.8 << 例えば Cybozuサ−バを新設とか。 # ps -ef | grep named # kill named_pid # /usr/local/bind/sbin/named << named & というように、& は付けずにやった。 DNS2次サ−バが1次サ−バに見に来る時間間隔 serial 値。7年間位この値は変えて いない。nix.co.jj.zone の refresh 値である 600 がその時間間隔である。 本当に見に くるのか?。一応 600 sec、10分毎に serial 値がアップしてないかTCPのDNSサ −バが自社のDNSサ−バの設定状況を、チェックしに来ているということになっている。 実は SPF レコ−ドを追加した時、serial 値はそのままにしたのである。多分、外からの メ−ルではどちらのDNSサ−バを見るかで、SPF のチェックをしたりしなかったりとい うことだったのでないか。特にそれで何か不都合が起きたということはなかったが。 パソコンでDNSをIIJのを指定し ping で監視してみる。> ping bouz.nix.co.jj を 打って行くのである。13分後に ping の反応があった。IPアドレスを返してきた。し まった1分毎に ping やって、どれだけの時間で自社DNSの情報が反映されるかみよう と思っていたのに。ちょっとお茶を飲みにいっている何分かの間に、反映されてしまって いた。一応予想はしたのに、本当に情報が反映されるのか半信半疑なところがあって、油 断してしまった。IIJのDNSサ−バは内の2次サ−バを見るようになっていて、その 2次サ−バに bouz.nic.co.jj が追加されたということを認識した訳である。 # dig @10.10.10.2 nix.co.jj. TXT << 2次サ−バに SPF 情報も反映されていた。 | ;; ANSWER SECTION: nix.co.jj. 1H IN TXT "v=spf1 +IP4:202.241.128.3 ~all" (3) Windows 用ソフト BlackJumboDog `2e/01 -------------------------------------------------------------------------------- Radish 変わって BlackJumboDog ソフトでメ−ルサ−バとメ−ルのデ−タを自由自在に。 -------------------------------------------------------------------------------- * もう一度 Radish を動かしてみるか 10年以上前に試してみた Windows OSで動くメ−ルサ−バのソフトウェア。 これでメ −ルを POP3 で取って他のメ−ルサ−バに転送するのを試した。その自分が書いた記事を 見て、手元の Windows XP パソコンに入れてみようと思った。当時ソフトウェアがあった サイトは閉鎖されていた、http://homepage2.nifty.com/spw/。 それで Radish を検索し たら http://www.download.co.jp/network/server/a000..08/ に radish-3.0.0-b026.lzh が Windows 2000 用ということで見つかったが、そのリンク先が無くなっていた。 唯一 Radish がまだありそうなサイトは http://radish.brothersoft.jp/だった。ソフト 種類:Freeware、日付追加:2009-05-04、対応OS:Windows XP、ソフト作者:SapporoWorks Radish 3.0.0β41。しかしこのサイト、ちょっと危ないかも。ダウンロ−ドするのはやめ た。社内のWebのプロキシサ−バ経由でアクセスしたら、 InterScan Web Security で 引っかかった。IWSSセキュリティイベント アクセス禁止のWebセキュリティレ−ティ ング コンテンツレ−ティングル−ル: Web Reputation - Very Low、こんなように出た。 Radish を調べていると後継のソフトウェアが BlackJumboDog という名前で、今もバ−ジ ョンアップ作業が続けられていることを知った。BlackJumboDog は HTTP のプロキシサ− バとして、自分でも忘れていたが試していた。Radishの参考記事は「NETWORK MAGAZINE」 2004/02〜05, "Radish でつくる簡単メ−ルサ−バ"。ひょっとして「NETWORK MAGAZINE」 に BlackJumboDog の記事もあるかも知れないと、ざっと見たが無かった。 しかし少し触 ってみたところメニュ−も少ないし、だいたい直感的に設定はできそうな感じだった。 * 後継ソフトの BlackJumboDog を試す Radish も BlackJumboDog も実は Windows OS用の多機能ソフトウェアだった。 漠然と そうは思っていたが今回、改めて触ってみてそう認識した。ということで BlackJumboDog をインスト−ルする。http://www.sapporoworks.ne.jp/spw/ に BlackJumboDog Ver6.0.1 を公開しましたとある。ここから辿ると英語のダウンロ−ドサイトがでてきた。商用利用 する場合は連絡と書かれている。リリ−スは 2013/012/26、推奨の安定版 bjd-6.0.1.msi、 Windows インストロ−ラ パッケ−ジ。それをクリックしたら画面がでてきて [実行]をク リックした。しかし Radish の時のように、簡単にはインスト−ルできなかった。 ----------------------------------------------- こんな画面が出て来て、インスト− | BlackJumboDog のInstaller 情報 | ルを途中で止めてしまった。システ |---------------------------------------------| ムの状態は変更されてないと画面が | Microsoft .NET Framework 4.0 Client Package | 出た。Microsoft .NET Frameworkな | or greater needs to be installed for this | るものがない、インスト−ルせよと | installation to continue. | いうことらしい。それでまた BJDの | | インスト−ルの記事を探して、他の | [ OK ] | 事例を見たりして時間を浪費した。 ----------------------------------------------- [ Microsoft .NET Framework 4 のインスト−ル ] ---------------------------------------------------------- | http://www.microsoft.com/ja-jp/download/... |--------------------------------------------------------- | Download Center |--------------------------------------------------------- | □■Microsoft .NET Framework 4 (Web インスト−ラ−) | ■□ | | 言語を選んでください: [日本語 ▽] [ ダウンロ−ド ] | ↑ |--------------------------------------------------------- | その他の推奨ダウンロ−ド | | | [ ダウンロ−ドせずに続けます ] ---------------------------------------------------------- ↑ ----------------------------------------------------- | http://www.microsoft.com/ja-jp/download/... |---------------------------------------------------- | Download Center |---------------------------------------------------- | □■ダウンロ−ドしていただき、ありがとうございます。 | ■□ | | Microsoft .NET Framework 4 (Web インスト−ラ−) | 30秒たってもダウンロ−ドが開始されない場合は、こちらをクリック ↑ ------------------------------------------------- | ファイルのダウンロ−ド−セキュリティの警告 |------------------------------------------------ [実行]したら一瞬でこの画面が | 消えた、それはおかしい。イン | 名前: dotNetFx40_Client_setup.exe スト−ルしますかと聞いてくれ | 種類: アプリケ−ション,867 KB ば、まともに進んでいるという。 | [実行][保存][キャンセル] ↑ -------------------------------------------------------- | Microsoft .NET Framework 4 Client Profile セットアップ |------------------------------------------------------- | | □同意する | | 推定ダウンロ−ドサイズ: 32 MB | 推定ダウンロ−ド時間 ブロ−ドバンド: 5 分 | [インスト−ル] [キャンセル] -------------------------------------------------------- ↑ ダウンロ−ドの進行状況は1分ぐらいで終わった。インスト−ルの進行状況はなぜか 時間がかかった、5分程度。7割のところで数分止まって、いっきにそれから進んで、 終るかと思いきや最後のところでなかなか動かなかった。 [ BlackJumboDog のインスト−ルと起動 ] --------------------------------------------------- | ファイルのダウンロ−ド -- セキュリティの警告 2012/12/13リリ−ス。何と |-------------------------------------------------- なく最新のバ−ジョンでな | い方が安定しているなとい | 名前: bjd-5.7.4.msi う単純な話でこれを選んだ。 | 種類: Windows インストロ−ラ パッケ−ジ,955 KB | [実行][保存][キャンセル] --------------------------------------------------- セットアップウィザ−ドが走って、C:\BlackJumboDog\ 以下に入った。現在のユ−ザ −用か、またはすべてのユ−ザ−用にインスト−ルしますか、と聞いてきた。どうい 意味か分からない。デフォルトの "●このユ−ザ−のみ" のままとした。 [スタ−ト]->[プログラム]->{BlackJumboDog} で起動する。 ----------------------------------------------- | BlackJumboDog |---------------------------------------------- | ファイル オプション ツ−ル 起動/停止 ヘルプ |---------------------------------------------- | 日時 種類 ... |---------------------------------------------- | ログが出てくる * {自動受信} をやってみる << できた >> [オプション]->[メ−ルサ−バ]->{メ−ルボックス} の {利用者}の所でユ−ザを登録する。 ユ−ザ名[kero ]、パスワ−ド[kero ]。ユ−ザ名[keroyon ]、パスワ−ド[keroyon ]。 [オプション]->[メ−ルサ−バ]->{SMTPサ−バ} の {自動受信} の設定をする。 ----------------------------------------------------------------- | SMTPサ−バ |---------------------------------------------------------------- |〆SMTPサ−バを利用する |--------------------------------------------------------------------------------- |基本設定|拡張SMTP|中継許可|キュ−処理|ホスト設定|ヘッダ変換|エリアス|自動受信|ACL |--------------------------------------------------------------------- ---- | 受信間隔(分) [60 ] | サ−バ [192.168.1.9 ] ポ−ト [110 ] | ユ−ザ [kero ▽] パスワ−ド [kero ] 配信先(ロ−カルユ−ザ) [keroyon ] | 同期 [サ−バに残す ▽] サ−バに残す時間(分) [0 ] |--------------------------------------------------------------------------- ||60 192.168.1.9 110 kero xxxxxxx keroyon 0 0 || 自動受信 PC SMTP FM POP3 BJD □ ------> POP3□ <-------- □ tomo| IMAP4|.9 |.10 ---------------------------------------- tomoから ユ−ザ kero FM から kero 宛のメ−ルを kero宛へ 取得し keroyon で保存した [ツ−ル]->{[SMTP]メ−ルボックス(メ−ルキュ−)} デ−モンをいったん停止して起動 ------------------------------------------------ してやると、溜まったメ−ルが出 | メ−ルボックス(メ−ルキュ−) て来る。 |----------------------------------------------- | ---[V] QUEUE | | |[-]-[V] MAILBOX [オプション]->[メ−ルサ−バ]->{SMTPサ−バ} の | | {基本設定} の "ドメイン名[nix.co.jj ]" をとる。 | [-]--〇 keroyon デフォルトは [ example.com ] が入っていた。 | | ↓ | --[V] From: To: xxxxx (4) メ−ルを取り出して転送してみる * 自動受信したメ−ルをまたメ−ルサ−バに送る << できん >> PC から FM へ送る。BJD は FM から自動受して、また FM の keroyon 宛に送る。 PC SMTP FM POP3 BJD SMTP もう一度FMに送る □ ------> POP3□ <-------- □ -------> □SMTP tomo|.10 |.9 |.10 |.9 FMでは[モニタリング] ---------------------------------------------------- ->[ログ]で送受信した tomo->kero tomo->keroyon tomo->kero メ−ルの様子を見た。 宛のメ−ルが 宛のメ−ルが MAILBOXにあり MAILBOXにあり [オプション]->[メ−ルサ−バ]->{SMTPサ−バ} のメニュ−にて。{拡張SMTP} は設定なし。 {ACL} は指定したアドレスからのアクセスのみを "◎禁止する"。{ホスト設定} は "対象 ドメイン[nix.co.jj]、転送サ−バ[192.168.1.9]"。 この設定でメ−ルが転送されて行く と思ったがだめだった。メイン画面のログに "名前解決に失敗しました IP=192.168.1.9"、 "メ−ルボックスの格納しました from:tomo@nix.co.jj to:keroyon@nix.co.jj"。 * 試しにプロキシメ−ルサ−バとして使うテスト << できた >> パソコンのメ−ルソフトからメ−ルストアの FM に送るのに、 あくまでも BJD が中継す るという話。パソコン -> BJD -> FM。パソコンから kero 宛にメ−ルを送った、 BJD に 行って、すぐに FM へ行った。kero@nix.co.jj 宛に届いた。 パソコンのメ−ルソフトは SMTP IPアドレス 192.168.1.9、SMTP ポ−ト 8025。実際の テストでは PC と FM は同じパソコンを利用してみた、メ−ルソフトでは SMTP IPアド レスは 127.0.0.1 にした。 [オプション]->[メ−ルサ−バ]->[SMTPサ−バ]->{基本設定} クライアントから見たポ− ト[25]、{中継許可} この設定はなしでよし。 [オプション]->[プロキシサ−バ]->[SMTP]->{基本設定} クライアントから見たポ−トに [8025]、IPv4 [127.0.0.1 ▽]、接続先ポ−ト[25 ]、接続先サ−バ[192.168.1.9 ]。 [オプション]->[メ−ルサ−バ]->[メ−ルボックス]->{利用者} に、kero は登録しなくて もいい。このテストはすぐ上のができなかったので、とりあえずできることを試した。 * できんのは BJD のバ−ジョンがいかんのか インタ−ネットで BlackJumboDog を調べたら、 設定に利用について書かれたのが幾つも あった。ざくっと見たのは2003年とか2005年に書かれたサイトだった。メニュ− の内容が手元に入れたのと異なる。参考に見たサイトのでは、メ−ルサ−バの設定の項目 に、サ−バ配信、インタ−ネット転送、中継許可というのがあった。bjd-5.7.4.msi を手 元のパソコンには入れたのだが、これらのメニュ−ないぞ。それでともかく最新のバ−ジ ョンを入れ直してみることにした。bjd-6.0.1.ms をC:\BlackJumboDog6\ に入れてみたが、 何か前のが残っているみたいな感じがした。ウィザ−ドで前のを削除した。プログラムの 追加と削除からも BlackJumboDog を消した。 見たらモニタ画面の右下に BlackJumboDog のアイコンが3つ位あった。いろいろ触っていてプロセスが動いていた?、このためちゃ んと消えなかったのでないか。そうして入れた最新バ−ジョンの BJD は、 メニュ−は先 にインスト−ルしたのとほとんど変わらなかった。以後 bjd-6.0.1 でテストした。 * テストA:自動受信したメ−ルをまたメ−ルサ−バに送る パソコンのメ−ルソフトの設定 メ−ルアドレス kuser1@nix.co.jj、受信メ−ルサ−バで アカウント user1(1234)。[オプション]->[メ−ルサ−バ]->[メ−ルボックス]->{利用者} に user1, kkuser1 を登録した。 [オプション]->[メ−ルサ−バ]->[SMTPサ−バ]->{基本設定} ドメイン名[nnn.con]。 {自動受信} 192.168.1.1 110、同期サ−バに残す、受信間隔2分。 ユ−ザ user1、パスワ−ド 1234、配信先 kkuser1。 {エリアス} ユ−ザ名 kkuser1、別名 kkuser1@nix.co.jj。 {ホスト設定} 対象ドメイン[nix.co.jj]、転送サ−バ[192.168.1.9] ポ−ト[25]。 {中継許可} 禁止リスト優先。{ACL} 指定したアドレスからのみを、禁止する。 自動受信 PC SMTP MS POP3 BJD SMTP FM □ ------> □ <-------- □ -----------> □SMTP | |.1 | |.9 ---------------------------------------------------- kuser1@nix.co.jj から kkuser1@nnn.con FortiMail のログには user1@nix.co.jj として受信 From:kuser1@nix.co.jj 宛に送信 ↓ To:kkuser1@nix.co.jj {エリアス} で kkuser1@nix.co.jj メ−ル内容は へ送信 From:kuser1@nix.co.jj ↓ To:user1@nix.co.jj {ホスト設定} で 対象ドメイン nix.co.jj ※FM に来たメ−ルのヘッダ− のメ−ルを 192.168.1.9 のどこにも nnn.con は出て に送信 こなかった。 BJD の MAILBOX にはメ−ルは溜まってなかった。この場合メ−ルは BJD に溜まらない方 が有難い。メ−ルサ−バに溜まっているメ−ルを取り出して、他のメ−ルサ−バに送ると いう用途を想定してテストした。BJD はあくまでも中継サ−バとして動いてくれればいい。 ここでのテストではパソコンのメ−ルソフトからは自分宛にメ−ルを送っている。メ−ル ソフトが POP3 でメ−ルを取りに行くまでの間(取得間隔は5分)に、BJD がメ−ルを取る ようにしないといけない。それで {自動受信} の受信間隔を2分という短めにしてみた。 * テストB:自動受信したメ−ルをまたメ−ルサ−バに送る テストAでやったことをユ−ザ名を user1 でまとめてみた。 ユ−ザ名は同一でよし、一 時的に受けるメ−ルアドレスを xxx@nnn.con とする。 パソコンのメ−ルソフトの設定は メ−ルアドレス user1@nix.co.jj、受信メ−ルサ−バでアカウント user1(1234)。 [オプション]->[メ−ルサ−バ]->[SMTPサ−バ]->{基本設定} ドメイン名[nnn.con]。 {自動受信} 192.168.1.1 110、同期サ−バに残す、受信間隔2分。 ユ−ザ user1、パスワ−ド 1234、配信先 user1。 << 各ユ−ザ記載。 {エリアス} ユ−ザ名 user1、別名 user1@nix.co.jj。 << 各ユ−ザ記載。 {ホスト設定} 対象ドメイン[nix.co.jj] 転送サ−バ[192.168.1.9] ポ−ト[25]。 {中継許可} 禁止リスト優先。{ACL} 指定したアドレスからのみを、禁止する 自動受信 PC SMTP MS POP3 BJD SMTP FM □ ------> □ <-------- □ -----------> □SMTP | |.1 | |.9 ---------------------------------------------------- user1@nix.co.jj から user1@nnn.con FortiMail のログには user1@nix.co.jj として受信 From:user1@nix.co.jj 宛に送信 ↓ To:user1@nix.co.jj {エリアス} で user1@nix.co.jj メ−ル内容は へ送信。以下同じ。 From:user1@nix.co.jj ↓ To:user1@nix.co.jj [ BJD の画面に出てたログ ] 自動受信 エリアス変換 user1@nnn.con -> user1@nix.co.jj 直ちに処理された メ−ルキュ−へ格納しました 2分たって後処理された キュ−処理(開始) 続いてすぐに処理された キュ−処理(成功) 続いてすぐに処理された ※メ−ルを受信した日付はどうなるか。自動受信した時刻になるのでないか。テストする 前から多分そうなるのでないかと思っていた。メ−ルの元の受信日時はなくなる。 * テストC:自動受信したメ−ルをまたメ−ルサ−バに送る テストAでのことで、外にメ−ルを送ってみる。自分宛にメ−ルを送り、BJD が時間毎に 見にきてメ−ルを取得し、ikken@tcp.or.jj 宛に FM 経由で送る。 [オプション]->[メ−ルサ−バ]->[SMTPサ−バ]->{基本設定} {自動受信} 上に同じ。 {エリアス} ユ−ザ名 user1、別名 ikken@tcp.or.jj。 {ホスト設定} 対象ドメイン[tcp.or.jj]、転送サ−バ[192.168.1.9] ポ−ト[25]。 ikken@tcp.or.jj に行ったメ−ルは転送されて、また user1 宛に戻って来る。 ほかって おくとル−プになるということ。でもパソコンのメ−ルソフトで取ってしまえばそれでお しまいになる。 戻って来たメ−ルのヘッダ−部には nnn.con というのはどこにもなかっ た、下手に中継した情報が出ない方がこの場合望ましい。対象ドメイン[ * ] にしてもで きた。ここまでの検討に3日間を要した。それでも出来たのでよかった。 * 実際に利用する場合のことは 後は実際に利用する場合のことを検討しておく必要がある。メ−ルストアが Sun からSun では ftp コマンドでメ−ルボックスをそのままコピ−すれば済む。 Sun から FortiMail だと ftp は使えない。FortiMail では ftp クライアントもサ−バも使えないから。それ で BJD のお出ましとなる。Sun のメ−ルボックスに BJD で POP3 アクセスしてメ−ルを 1つずつ取って、FortiMail に SMTP で送る。 Sun または FortiMail をクラウドのメ− ルサ−ビスに変更するのも BJD が使えるのでないかと思うが。 テストでメ−ル転送を確 認できるのだろうか。どうもテスト環境ではなくメ−ルの実環境でないと、よろしくない ような気がしないでもない。ともかくそれはクリアしたとして。BJD はメ−ルのサイズの 制限があるみたいだし。どれぐらいの負荷に耐えられるのか。百ぐらい POP3 ユ−ザのア カウントを BJD に登録して動かして見るとか。例えば実際には5台位パソコンに BJD を 設定して、100エントリずつ位わけて実行するとか。 (5) メ−ルサ−バの非常事態に備える * ケ−ス1 << BJD を単独のSMTP/POP3 サ−バとして設置 >> 社内にメ−ルストア、メ−ルリレ−、DNSのサ−バがあって、それらが全部だめになっ たという場合。BJD 単独でメ−ル送信ができるようにする。メ−ルリレ−のIPアドレス でもって BJD のパソコンを稼働させれば、 DNSのMXレコ−ドもそのまま使えるとい うことでメ−ルの受信もできるはず。ただ、パソコンでこのソフトで500アカウントと か千とかのメ−ル送受信を耐えることができるのかという懸念はある。BJD は小規模の事 業所での使用例はインタ−ネットに出てくる。 しかし大企業では BJD みたいなソフトを 使うという発想は、そもそもないかもしれない。 [スタ−ト]->[プログラム]->[SAPPORWAORKS]->[BlackJumboDog]->[Launch BJD.exe] -------------------------------------------------------------------------------- | BlackJumboDog | |------------------------------------------------------------------------------| | ファイル オプション ツ−ル 起動/停止 ヘルプ | |------------------------------------------------------------------------------| | 日時 種類 スレッドID 機能(サ−バ) メッセ−ジID 説明 詳細情報| |------------------------------------------------------------------------------| | 2014/01/24 .. Detail 3254 kernel 9000008 ... ... | | | | [オプション] 基本オプション ログ表示 DHCPサ−バ DNSサ−バ : DNSサ−バ,ドメインの追加と削除,例えば Resource-nix.co.jj。 FTPサ−バ メ−ルサ−バ : メ−ルボックス,POPサ−バ,SMTPサ−バ,メ−リングリストの追加。 プロキシサ−バ : FTP,ブラウザ,POP3,SMTP,Telnet,トンネルの追加と削除。 リモ−ト制御 TFTPサ−バ WebAPIサ−バ Webサ−バ [ファイル]->[トレ−ス表示] これでメ−ルの送受信のログがでてくる。 例えば、パスワ −ドを要求しましたとか。パスワ−ドも実際に流れているのが表示される。 [オプション]->[プロキシサ−バ] で、 これを使えばメニュ−にないサ−ビスでも対応で きるのでないか。例えばファイル共有の CIFS、ユ−ザ認証の Active Directory にでも。 ------------------------------------- |トンネルの追加と削除 |------------------------------------ | 基本設定 | ACL | -------------------------- | プロトコル [TCP ▽] | クライアントから見たポ−ト [0_ ] | 接続先サ−バ名 [ ] | 接続先ポ−ト [0_ ] * ケ−ス2 << BJD を SMTP/POP3 プロキシサ−バとして設置 >> DMZ上に BJD を入れたパソコンを設置する。 そこで SMTP プロキシと POP3 プロキシ を有効にする。外からこのパソコンにアクセスすれば、メ−ルの送受信ができることにな る。 インタ−ネットのパソコンやスマ−トデバイスから仮想IPアドレスの BJD にアク セスする。メ−ルソフトの設定で SMTP と POP3 のサ−バを、このIPアドレスを記載し ておく。これで BJD が代理応答して社内の MS にアクセスする。FireWall で何らかのア クセス制限を設けることをすれば、それなりの安全性は確保できるだろう。 あるいは PC と FireWall の間で IPSec VPN を張るとかはどうだろう。 △PC インタ−ネットの PC からBJD にきたメ インタ−ネット | −ルのパケットは社内メ−ルサ−バであ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ る MS( Mail-Store ) に中継される。 \________________/ : BJD と PC 間ではメ−ルのパケットは暗 : 仮想■MR ■BJD 号化できるのか。[メ−ルサ−バ]->{POP : | | サ−バ} には暗号化うんぬんのメニュ− ------------------------------ はない。[メ−ルサ−バ]->{SMTPサ−バ} | □MR □BJD SMTPとPOP3 ->{ホスト設定}には "□SSLで接続する" -------- | | PROXYサ−バ というメニュ−はあるにはあるが。 | |--------------- -------- MS□SMTPとPOP3 [プロキシサ−バ]->{POP3} と {SMTP}に | |サ−バ は接続先ポ−トの番号を入れる所はある。 ------------------------------ メ−ルが外からやり取りできるのであれば、社内のWebサ−バやファイル共有やグル− プウェアにもアクセスができないか。Webプロキシ は BJD にはある。ファイル共有の プロキシは BJD にはない。でも汎用のプロキシ設定ができる。 これらプロキシサ−バ機 能を使って、SSL-VPN をやめてしまうというのはどうか。 FireWall でのアクセス制限で 適当なユ−ザ認証と組み合わせてみてはどうか。 * クラウド時代のメ−ル・システム メ−ルサ−バのバックアップシステムは。これまでのメ−ルサ−バを残しておけば、とり あえず送信だけはできる。ネットワ−クの構成図を想像してもらいたい。 インタ−ネット回線が不通になったり、ル−タが故障したりした場合。クラウドといえど もインタ−ネットにアクセスできなければ、どうしようもない。 クラウドのメ−ルサ−ビスが停止した場合。回復するまでただ待つのみか。多分、普通は そういうことだろう。そんなにクラウドを信頼していいものかという。 先の BJD みたいなソフトでメ−ルの送信だけはできるようにする。 パソコンのメ−ルソ フトでメ−ルサ−バのIPアドレスを変えれば、それでやることはできる。 * その前にメ−ルリレ−の予備機を メ−ルリレ−の予備機はどうなった。気づいたら昔のしかない、Sun の SS5マシン、これ ではパフォ−マンスがもたない。以前やったように1台の Solaris 9 で、 メ−ルストア とメ−ルリレ−の予備機の設定をしてみる。2006年位のことだが、Sun の Blade2500 で作ったのだが、今回はメ−ルストアの予備機の V210 マシンに作ってみる。メ−ルリレ −のマシンは Solaris 9 の Ultra45、ここから named のプログラムや制御ファイルをコ ピ−する。メ−ル関係は sendmail.cf や mailertable に access ファイルなどもコピ− する。DNSのフォワ−ド指定する named.conf をちゃっちゃっと書いて、named を動か しDNSサ−バとして機能するか確認してみたい。 sendmail プログラムはコピ−してこ なくても、先に入っているメ−ルストアので行けると思うのだが。甘いか?。sendmailは BerkeleyDB を使うとか使わないとかコンパイルでいろいろあるからな。 # cd /usr/local このマシンには /usr/local/ 以下には何もなかった。 # mkdir bind # mkdir bin sbin lib etc2 これらに Ultra45の bin/ sbin/ lib/ etc/ の中身を # mkdir var コピ−した。etc/ は etc2/ にとりあえずしておく。 # mkdir var/run # sbin/named -v #cd sbin;# chmod +x named をやっておいて。これで BIND 9.4.2 named が動くのか確認してみる。バ−ジョンは出たぞ。 メ−ルリレ−の予備機をすぐに利用できるように整備すること。メ−ルリレ−のマシンで はDNSサ−バも動いている。DNSの動作を確かめるのは厄介か、いや簡単かも。メ− ルサ−バはクラウドに出すまでは面倒みないといけない。いっそ、DNSサ−バとメ−ル リレ−サ−バのマシンを分離するか。MXレコ−ドのIPアドレスを変更するのだ。 ついでにメ−ルリレ−のマシンに InterScanをセットアップして標的型攻撃ヘの対応をす るか。レピュテ−ション機能を使うのである。仕組み的に誤検知が起きないと言うのであ れば、一考の価値がある。メ−ルの隔離はせずそのまま破棄とする。FortiMail メ−ルス トアでも誤検知のチェックを一応やらないけない。どちらか手が離れていなければ。 さらにメ−ルリレ−を暗号化対応にするというのはどうか。Solaris 9 での sendmail を TLS の暗号化する。http://www.imasy.or.jp/~ume/published/sendmail_tls/ が参考にな る。sendmail におけるTLS(FreeBSD PRESS No.6)、梅本肇。これだけ細かい設定の記述が あればできる。sendmail と OpenSSL でメ−ルを暗号化する書いた本は見当たらない。 * 万が一の時のための予備のマシン --- Sun 社製 保守契約が切れたマシンがある。 ファイアウォ−ルを FireWall-1 から FortiGate に変 えた。メ−ルストアは Sun のマシンだったのを FortiMail に変えた。これら、もう捨て てしまうかどうするか。FireWall-1 と FortiGate ではファイアウォ−ルのル−ル、ポリ シ−の設定が異なる。 FireWall-1 もすぐに問題なく利用できるようにメンテンスしてお くには大変な作業がいる。微妙なル−ルの違いを反映させなければいけない。実際には置 き換えした時点での FireWall-1 の設定のままで緊急時は置き換えて使うしかない。ファ イアウォ−ルの装置がないよりはましと、使うには割り切りが必要となる。 現役メ−ルリレ−(Sun縦置,液晶モニタ)、前のファイアウォ−ル(Sun1U,稼働停止)、 前の主メ−ルストア(Sun縦置,晶モニタ)、前の副メ−ルストア(Sun1U,純正モニタ)。 メ−ルリレ−の予備はちゃんとマシン単体で動くのを作っておきたい。とりあえず手元に 持ってきて設定しよう。そうなると縦置の筐体のマシンを選ぶのがいい。前のメ−ルスト アのタワ−型のを流用しよう。前のもう1台のメ−ルストアはこれまた若干ひ力になるの だが、現メ−ルストア FortiMail の予備としよう。 FortiMail は Active Directory で のユ−ザ認証を利用するようにした。 前は Sun のマシンのユ−ザ登録のアカウントを使 っていた。このまま置き換えても今、メ−ル利用の有効なアカウントでないのが出てくる ことになる。まるでメ−ルが送受信できないよりはましだが。 * 万が一の時のための予備のマシン --- Fortinet 社製 機種が異なる FortiGateでコンフィグレ−ションファイルを入れることができるかという のが問題になる。基本的に設定はコピ−されると言う。上位機種はポ−トの数が多い、そ れらのポ−トを利用していると、下位機種でそのポ−トがないと、その分の設定は入らな い。ファイアウォ−ルの FortiGate-310B のバックアップ機に、FortiGate-80C を使うこ とを考えた。ファイアウォ−ルの設定を変える度にコンフィグレ−ションをパソコンにセ −ブし、いざという時 FortiGate-80C を本番機にするのである。しかし FortiGate-310B はHA構成にしてある。FortiGate-80C の出番は先ずないだろう。 FortiMail も同じである。FortiMail はメ−ルのアカウントを AD を参照するようにした。 しかし AD 管理されてないユ−ザも遠隔地のパソコンにあったりする。それは FortiMail 装置ヘメ−ルユ−ザのアカウントを登録している。アカウントの追加や削除は日常的にあ る。厳密なバックアップを用意するとなると、 もう1台の FortiMail でもアカウント管 理をしないといけない。まあそこは運用でカバ−すると言うのが現実的だろう。1ヶ月に 一度コンフィグレ−ションを取ることにして。いざという時はメ−ルアドレス管理台帳み たいなもので、1ヶ月の間に追加されたアカウントをその場で入れる。 Fortinet社からのメ−ルで、サポ−トを終了したというメ−ルがぼちぼち来ている。内に あるので該当するのはあるか。サポ−トが終っていると新しいファ−ムウェアが提供され なくなる。FortiGate-310B のバックアップ機を FortiGate-80C で作るには、80C のファ −ムウェアのバ−ジョンを 310B に合わせないとだめである。FortiMail の方は2台を購 入にしてまだ半年も経ってないので問題はないと思われる。FortiMail のバックアップ機 で不都合が生じるとしたら、1人当たりのメ−ルの容量である。もう1台のはディスク容 量を意識しては買ってない。それに一時的な使用であればディスク容量はそういらない。 ------------------------------------------------------------------------------------ [ 付録 ] メ−ルリレ−予備機の作成 `2g/06/s * メモ 久しぶりに Sun のマシンを触る。これで最後で、もう触ることはないだろう。 動作確認 が問題だ。メ−ルストアならすぐ簡単にできるのだが。動作確認をするためメ−ルストア は FortiMail の予備機をあてがい、ファイアウォ−ルは FortiGate-80C にして、インタ −ネット接続口を構成してメ−ルの送受信をやってみる。そこまでやらないと、いざとい う時に実際に使えないかもしれない。 何だったら LinkProof も予備用で Branch を設定 したのがあるので、これもかましてみるか。このマシンは Sun Blade2500、Solaris 9。 /etc/hosts, /etc/resolv.conf, /etc/netmasks, /etc/defaultrouter の設定をメ−ルリ レ−本番機と一緒にする。 # ifconfig bge0 192.168.2.1 << これでマシンのIPアドレスはすぐ変わる。 # shutdown -y -g0 -i5 << マシンの電源を落として完全に停止させる。 # init 6 << 再起動。reboot コマンドでやるより安全。 # inetd -s << Mail-Relay マシンで一時的に他から telnet と ftp ができるようにする。inetd 止めるのは # kill PID。 * 予備機での調整 マシンのホスト名が /etc/mail/sendmail.cf に書かれている。 DNS制御ファイルにも 書かれている。それぞれ1ヶ所。本番機のホスト名に vi でファイルを編集し変更する。 POP3 プログラムが起動しないようにする。 # cd /etc/rc3.d; # mv S99QPOPPER xS99QPOPPER 静的経路の追加をしないようにする。 # cd /etc/rc2.d; # mv S70ROUTEADD xS70ROUTEADD InterScan7 用の sendmail を起動しないようにする。 # cd /etc/rc2.d; # mv S88sendmail xS88sendmail # cp x88sendmail.org S88sendmail ※x88sendmail.org が元のとする。 InterScan7 本体を起動しないようにする。 # cd /etc/rc2.d # mv S98dbctl xS98dbctl # mv S99CMAGENT xS99CMAGENT # mv S99IMSSUI xS99IMSSUI # mv S99MONITOR xS99MONITOR そこはかとなくマシンが落ちる picld のせいか。 1年振りぐらいに起動させたら数時 # fbconfig -default デフォルトにした。 間毎にマシンが落ちて再起動してし まった。左をやったら落ち着いた。 ビ−プ音を消した。 # set b off * DNS制御ファイルの配置 /etc/named.conf の扱い。BIND の named はこのファイルを読む。シンボリックリンクを 張る。先に /usr/loca/bind/etc/etc/named.conf があるとする、 ここに本番機から制御 ファイルをコピ−しておく。 # cd /usr/loca/bind/etc # ln -s /usr/loca/bind/etc/named.conf /etc/named.conf # ls -l /etc/named.conf lrwxrwxrwx 1 root other ... /etc/named.conf -> /usr/loca/bind/etc/named.conf # cd /etc; # rm named.conf 参考でリンクを解除するやり方。 # cd /usr/loca/bind9xx/sbin named デ−モン稼働。named プログラム類は bind9xx # ./named -C /etc/named.conf にあるとする。# ./named -c /etc.. でもいいみたい。 # nslookup named デ−モン稼働の確認。 nslookup はOSに入っ Default Server: localhost ていたのでもいい。 Address: 127.0.0.1 > set type=any > nix.co.jj これで出てくればOK。DNS制御ファイルのシリアル番号など見る。 > exit または Ctrl+D で抜ける。 /etc/rc2.d/S72inetsvc で named は起動される。この中の記載も調整しておく。 * メ−ルサ−バの制御ファイル メ−ルリレ−本番機の /etc/mail/sendmail.cf ファイルをコピ−しておく。 /etc/mail/ aliases, /etc/mail/access, /etc/mail/mailertable は本番機の通りに編集する。 /etc/rc2.d/S88sendmail ここを確認。 --------------------------------------------------------------------- | | | /usr/lib/sendmail -bd -q30m -C/etc/mail/sendmail.cf | /usr/lib/sendmail -Ac -q$CLIENTQUEUEINTERVAL $CLIENTOPTIONS & | | # newaliases # /usr/sbin/makemap hash access < access # /usr/sbin/makemap hash mailertable < mailertable # /usr/lib/sendmail -bt -C/etc/mail/sendmail.cf ADDRESS TEST MODE (ruleset 3 NOT automatically invoked) Enter
> 3,0 tarou@nix.co.jj canonify input: tarou @ nix . co . jj Canonify2 input: tarou < @ nix . co . jj > Canonify2 returns: tarou < @ nix . co . jj . > canonify returns: tarou < @ nix . co . jj . > parse input: tarou < @ nix . co . jj . > Parse0 input: tarou < @ nix . co . jj . > Parse0 returns: tarou < @ nix . co . jj . > ParseLocal input: tarou < @ nix . co . jj . > ParseLocal returns: tarou < @ nix . co . jj . > Parse1 input: tarou < @ nix . co . jj . > Parse1 returns: $# local $: tarou parse returns: $# local $: tarou > Ctrl+D で抜ける。