SSLの設定

SSL (Secure Sockets Layer)とは、インターネット上でデータを暗号化して送受信するための技術のことです。個人情報やクレジットカード情報などの重要なデータを送受信するときに使われています。

OpenSSLをCentOS6にインストールする方法を説明します。

yum -y install mod_ssl

サーバー証明書の有効期限を設定します。ファイル/etc/pki/tls/openssl.cnfを次のように設定します。

default_delay    = 3650

 乱数ファイルを生成します。

cd /etc/pki/tls

openssl md5 /var/log/messages* > rand.dat

乱数ファイルから秘密鍵を生成します。

openssl genrsa -rand rand.dat -des3 2048 > ./private/test.key

秘密鍵から証明書発行要求CSRファイルを生成します。

openssl req -new -key ./private/test.key -out ./test.csr

CSRファイルから証明書を生成します。

openssl req -x509 -days 3650 -in test.csr -key private/test.key -out ./test.crt

秘密鍵および証明書ができましたので、あとはApacheに組み込めば完了です。

 

SPFの設定

SPF (Sender Policy Framework)とは、電子メールの送信元のドメインが詐称されていないかをチェックするための技術です。電子メールを発信してよいIPアドレスなどの情報をDNSサーバーにSPFレコードと登録します。

当サイトseo123.jpを例としますと、具体的には次のSPFレコードをDNSサーバーに登録します。

seo123.jp    IN    TXT    v=spf1 +ip4:188.166.16.245 -all

つまりこの設定では、188.166.16.245のIPアドレス以外から発信された電子メールはなりすましと判断されます。

DKIMの設定

DKIM (Domain Keys Identified Mail)とは、電子署名によりメール発信者の偽装を防ぐためのしくみのことです。最近はPostfixとの組み合わせでOpenDKIMを使うことが多いようです。設定の手順を簡単に説明します。CentOS6の環境でOpenDKIMをインストールし、Postfixに組み込みます。

OpenDKIMをインストールします。

yum -y install opendkim

当サイトのドメインseo123.jpを例に説明します。

秘密鍵と公開鍵を作ります。鍵を保管するディレクトリを作ります。

mkdir /etc/opendkim/keys/seo123.jp

このディレクトリに秘密鍵と公開鍵を作ります。

opendkim-genkey -D /etc/opendkim/keys/seo123.jp -d seo123.jp 20190613

ディレクトリseo123.jpの中を確認すると20190613.privateおよび20190613.txtがあることがわかります。

鍵ファイルのオーナーをopendkimに変更します。

chown opendkim:opendkim /etc/opendkim/keys/seo123.jp/*

公開鍵をDNSサーバーに登録します。

20190613._domainkey.seo123.jp  IN  TXT  “v=DKIM1;k=rsa;p=<公開鍵のデータ>”

<公開鍵のデータ>は20190613.txtからコピーペーストします。公開鍵のデータは”p=”のところにあります。

ADSPデータをDNSサーバに登録します。

_adsp._domainkey.seo123.jp.  IN  TXT  “dkim=unknown”

OpenDKIMの設定を行います。

ファイル/etc/opendkim.confを次のように設定します。

Mode      sv

#KeyFile   /etc/opendkim/keys/default.private

KeyTable   refile:/etc/opendkim/KeyTable

SigningTable    refile:/etc/opendkim/SigningTable

ExternalIgnoreList    refile:/etc/opendkim/TrustedHosts

InternalHosts    refile:/etc/opendkim/TrustedHosts

ファイル/etc/opendkim/KeyTableに以下を追加します。

20190613._domainkey.seo123.jp    seo123.jp:20190613:/etc/opendkim/keys/seo123.jp/20190613.private

ファイル/etc/opendkim/SigningTableに以下を追加します。

*@seo123.jp    20190613._domainkey.seo123.jp

OpenDKIMを再起動します。

/etc/init.d/opendkim restart

OpenDKIMの自動起動をするには次のコマンドを打ちます。

chkconfig opendkim on

 DMARCの設定

DMARC (Domain-based Message Authentification, Reporting, and Conformance)とは、なりすましメールに対処するための技術です。電子メールのなりすましを防ぐ技術としてSPFとDKIMの2つが現在使われています。設定ミスやサーバーダウンなどの理由により電子メールの認証に失敗する場合があります。このような場合に、なりすましと判断された電子メールをどのように処理するかについて、メール送信者と受信者の間で決めておく必要があります。

DMARCを使うには、次のレコードをDNSサーバーに登録します。

_dmarc.seo123.jp    IN    TXT    “v=DMARC1; p=none; rua=mailto:info@seo123.jp