Linux/Mail/OpenDMARC の履歴(No.2) - nowsky system-lab memo

[ トップ ] [ 新規 | 一覧 | 検索 | 最終更新 | ヘルプ | ログイン ]

履歴一覧
差分を表示
現在との差分を表示
ソースを表示
Linux/Mail/OpenDMARC へ行く。
- 1 (2018-09-02 (日) 14:17:54)
- 2 (2018-09-03 (月) 23:19:11)

OpenDMARC†

メールのSPF・DKIMを補強する送信ドメイン認証技術(DMARC)を取り扱うプログラム。
別途スクリプトを組み合わせる事で、ドメイン認証レポート送信する事も出来る。
DMARCは仕組み上、単体利用する事が出来ない点に注意する。

参考情報
OpenDMARC - ArchWiki
OpenDMARC Document

↑

構築環境†

今回検証した環境はこちら

Debian 9.5 x86_64
CentOS 7.5 x86_64
openSUSE 42.3 x86_64

他には下記の通りに構築。

今回は、OpenDKIMを構築済みの環境にOpenDMARCを新規構築
OpenDKIMは [127.0.0.1:TCP/10027] で待ち受ける
OpenDMARCは [127.0.0.1:TCP/20027] で待ち受ける
汎用性を持たせる為、LocalSocketは利用しない

↑

構築†

1. インストール
OpenDMARCはディストリビューション毎にパッケージ名の差異が無いので、
各パッケージ管理システムに応じてインストールする。

Debian
```
# apt-get install opendmarc
```

CentOS
```
# yum install opendmarc
```

openSUSE
```
# zypper install opendmarc
```

　
2. 設定
項目についてはOpenDMARCのドキュメントに詳細が書いてあるので割愛。
DMARC評価結果はAuthentication-Resultsヘッダに追記するので、必要に応じてauthserv-idを設定する。
　

＋

設定内容

/etc/opendmarc.conf

[01] AuthservID           mx.test.org
[02] AuthservIDWithJobID  false
[03] AutoRestart          true
[04] Background           true
[05] Socket               inet:20027@127.0.0.1
[06] Syslog               true
[07] SyslogFacility       mail
[08] UMask                007
[09] UserID               opendmarc:opendmarc
[10] IgnoreHosts          /etc/opendmarc/ignorehosts
[11] IgnoreMailFrom       mail.test.org
[12] BaseDirectory        /var/run/opendmarc
[13] PidFile              /var/run/opendmarc/opendmarc.pid
[14] HistoryFile          /var/run/opendmarc/opendmarc.dat
[15] SPFIgnoreResults     false
[16] SPFSelfValidate      true

--------------------------------------------------

[01] Authentication-Resultsヘッダに使用するauthserv-idの変更
[02] trueにするとDMARCのヘッダにジョブIDを含める。false推奨
[03] 評価失敗時にプロセスを自動再起動させる
[04] daemonをバックグラウンドで実行
[05] TCP/IP待受け設定。ポート番号とIPアドレスが逆なので注意する。
[06] OpenDMARCのログをsyslogから出力
[07] syslogのファシリティ設定
[08] ソケットファイル生成時のUMASK値
[09] OpenDMARCを実行するユーザ：グループ設定
[10] DMARC評価を除外する接続元IPアドレス
[11] DMARC評価を除外するドメイン名
[12] デフォルトディレクトリの設定
[13] OpenDMARCのPIDファイル
[14] DMARC評価結果(プレーンテキスト)の保存先
[15] メールヘッダにSPF結果が含まれている時、既存の評価結果を無視する
[16] メールヘッダにSPF結果が見つからない場合、OpenDMARCでSPF評価を実行する

　
/etc/opendmarc/ignorehosts

LocalRelayしていないMTAの場合、ローカルアドレスを設定
---
127.0.0.1
::1

　
3. MTA設定
OpenDMARCを呼び出す為、MTA(Postfix)にmilter設定を追加する。
milterを追加する時、DKIM認証の前にDMARCを追加するとDKIM認証が崩れる。
回避するにはDKIM認証を弱く(relaxed/relaxed)するか、DKIM認証の後にDMARC評価を追加する。
下記は、DKIM認証後にDMARC評価を行うmilter設定となる。

/etc/postfix/main.cf

smtpd_milters=inet:127.0.0.1:10027,inet:127.0.0.1:20027
non_smtpd_milters=$smtpd_milters

↑

稼働テスト†

実際にメールを受信してSPF/DKIM/DMARCのヘッダーが追加されるかテストする。
GmailはSPF/DKIM/DMARC全てに対応しているので、Gmailからメールを送信する事でテストを行う。
設定が正常に出来ていると下記の様なヘッダが追加される。

Authentication-Results: mx.***-*****.com; dmarc=pass (p=none dis=none) header.from=gmail.com
Authentication-Results: mx.***-*****.com; dkim=pass (2048-bit key; unprotected) header.d=gmail.com header.i=@gmail.com header.b=********;
Authentication-Results: mx.***-*****.com; spf=pass (sender SPF authorized) smtp.mailfrom=gmail.com (client-ip=209.85.***.***.; helo=***.google.com; envelope-from=*****@gmail.com; receiver*****@***.***.***)