IT的なの – ページ 5

CentOSにUnboundをインストールする

Unboundは内部向けのDNSリゾルバを構築するためのソフトウェアです。

DNSはホームページのURLをIPアドレスに変換してくれるシステムです。（サーバ公開のためにDNSレコードを作成しているはずなので、なんとなくは分かるかと思います）

しかし、URLを打つ度に大元のDNSサーバ（権威DNSサーバ）に問い合わせていては、権威DNSサーバの負荷が大変なことになります。

このため、権威DNSサーバから得た情報を保管して代わりに回答するDNSリゾルバが存在しています。

PCの設定項目などに存在するDNSサーバは基本的には全てこのDNSリゾルバで、権威DNSサーバはDNSリゾルバからの問い合わせに答えるという形になります。

物流で例えると、製造元（権威DNSサーバ）⇒小売（DNSリゾルバ）⇒消費者（クライアントPC）という感じでしょうか？（多分違う）

これを自宅サーバに立てることで、よく行くサイトのIPアドレスがキャッシュとして記憶され、URLからIPアドレスに変換する時間が3ミリ秒ほど短くなります。（つまり趣味です）

また、RSPAMDなどのDNSを頻繁に参照するソフトが動いている場合、内部にDNSリゾルバがないと、ことある毎に外部に問い合わせてしまうので立てることを推奨します。

DKIMはメールの送信元がドメインの所有者であることを証明するための手段です。

実は送信元のメールアドレスは好きに偽造することが出来ます。

これは現実でも手紙の差出人欄の部分にデタラメを書いても（或いは何も書かなくても）切手を正しく貼って宛先さえしっかりと書けば届いてしまうのと一緒です。

もし、送信元が自分のメールアドレスに偽造されてウィルスメールなどをばら撒かれてしまったら……と考えるとゾッとしますね。

現実の手紙では、例えば自分であると証明できる物を封筒に一緒に入れることで本人が送ったのだと証明できそうですね。

同様にメールではドメインの所有者しか知り得ない情報をメール内に入れることでドメインの所有者が送ったメールであると証明できます。

この証明する仕組みがDKIMとなります。

仕組みとしてはメールの一部（件名や宛先など）を秘密鍵で暗号化した物をメールに添付します。そして、その秘密鍵のペアになる公開鍵をDNSで公開します。

公開鍵で正しく復号できればドメインの所有者から送られたメールと確認できるというものです。

RSPAMDには送信するメールにDKIMの暗号化署名（メールの一部を暗号化した物）を付け加えられる機能があるので、これを使ってDKIMに対応したいと思います。

ちなみにDKIMに対応すると、ドメインの所有者がわざわざスパムメールなどを送らないだろうということでスパムメール扱いされにくくなります。

メールサーバを運用していると迷惑メールが来てしまう可能性があります。

大手のフリーメールを使っているとそうそう迷惑メールは見ないですがそれはそのフリーメール自体が迷惑メールフィルタで振り分けをしている為で、自分のメールサーバでは何の対策もしていないと迷惑メールが届くようになってしまいます。

迷惑メール対策の為にオープンソースのメールフィルタであるRSPAMDを導入します。