SSLの設定
SSL (Secure Sockets Layer)とは、インターネット上でデータを暗号化して送受信するための技術のことです。個人情報やクレジットカード情報などの重要なデータを送受信するときに使われています。
OpenSSLをCentOS6にインストールする方法を説明します。
yum -y install mod_ssl |
サーバー証明書の有効期限を設定します。ファイル/etc/pki/tls/openssl.cnfを次のように設定します。
default_delay = 3650 |
乱数ファイルを生成します。
cd /etc/pki/tls openssl md5 /var/log/messages* > rand.dat |
乱数ファイルから秘密鍵を生成します。
openssl genrsa -rand rand.dat -des3 2048 > ./private/test.key |
秘密鍵から証明書発行要求CSRファイルを生成します。
openssl req -new -key ./private/test.key -out ./test.csr |
CSRファイルから証明書を生成します。
openssl req -x509 -days 3650 -in test.csr -key private/test.key -out ./test.crt |
秘密鍵および証明書ができましたので、あとはApacheに組み込めば完了です。
SPFの設定
SPF (Sender Policy Framework)とは、電子メールの送信元のドメインが詐称されていないかをチェックするための技術です。電子メールを発信してよいIPアドレスなどの情報をDNSサーバーにSPFレコードと登録します。
当サイトseo123.jpを例としますと、具体的には次のSPFレコードをDNSサーバーに登録します。
seo123.jp IN TXT v=spf1 +ip4:188.166.16.245 -all |
つまりこの設定では、188.166.16.245のIPアドレス以外から発信された電子メールはなりすましと判断されます。
DKIMの設定
DKIM (Domain Keys Identified Mail)とは、電子署名によりメール発信者の偽装を防ぐためのしくみのことです。最近はPostfixとの組み合わせでOpenDKIMを使うことが多いようです。設定の手順を簡単に説明します。CentOS6の環境でOpenDKIMをインストールし、Postfixに組み込みます。
OpenDKIMをインストールします。
yum -y install opendkim |
当サイトのドメインseo123.jpを例に説明します。
秘密鍵と公開鍵を作ります。鍵を保管するディレクトリを作ります。
mkdir /etc/opendkim/keys/seo123.jp |
このディレクトリに秘密鍵と公開鍵を作ります。
opendkim-genkey -D /etc/opendkim/keys/seo123.jp -d seo123.jp 20190613 |
ディレクトリseo123.jpの中を確認すると20190613.privateおよび20190613.txtがあることがわかります。
鍵ファイルのオーナーをopendkimに変更します。
chown opendkim:opendkim /etc/opendkim/keys/seo123.jp/* |
公開鍵をDNSサーバーに登録します。
20190613._domainkey.seo123.jp IN TXT “v=DKIM1;k=rsa;p=<公開鍵のデータ>” |
<公開鍵のデータ>は20190613.txtからコピーペーストします。公開鍵のデータは”p=”のところにあります。
ADSPデータをDNSサーバに登録します。
_adsp._domainkey.seo123.jp. IN TXT “dkim=unknown” |
OpenDKIMの設定を行います。
ファイル/etc/opendkim.confを次のように設定します。
Mode sv #KeyFile /etc/opendkim/keys/default.private KeyTable refile:/etc/opendkim/KeyTable SigningTable refile:/etc/opendkim/SigningTable ExternalIgnoreList refile:/etc/opendkim/TrustedHosts InternalHosts refile:/etc/opendkim/TrustedHosts |
ファイル/etc/opendkim/KeyTableに以下を追加します。
20190613._domainkey.seo123.jp seo123.jp:20190613:/etc/opendkim/keys/seo123.jp/20190613.private |
ファイル/etc/opendkim/SigningTableに以下を追加します。
*@seo123.jp 20190613._domainkey.seo123.jp |
OpenDKIMを再起動します。
/etc/init.d/opendkim restart |
OpenDKIMの自動起動をするには次のコマンドを打ちます。
chkconfig opendkim on |
DMARCの設定
DMARC (Domain-based Message Authentification, Reporting, and Conformance)とは、なりすましメールに対処するための技術です。電子メールのなりすましを防ぐ技術としてSPFとDKIMの2つが現在使われています。設定ミスやサーバーダウンなどの理由により電子メールの認証に失敗する場合があります。このような場合に、なりすましと判断された電子メールをどのように処理するかについて、メール送信者と受信者の間で決めておく必要があります。
DMARCを使うには、次のレコードをDNSサーバーに登録します。
_dmarc.seo123.jp IN TXT “v=DMARC1; p=none; rua=mailto:info@seo123.jp |