京都タワーのマスコット「たわわちゃん」が8月で引退へ 登場20年、ライセンス契約終了で 2024年7月18日 21:46
こんにちは。インフラエンジニアの末廣です。 TECHSCORE Advent Calendar 2018 22日目の記事です。 2018年9月に RFC 8461 - SMTP MTA Strict Transport Security (MTA-STS) が発行されたので設定してみました。 MTA-STS が生まれた背景 MTA間の通信暗号化には STARTTLS が用いられていますが、STARTTLS は日和見暗号化であるため、送信側と受信側との間で暗号化について合意に至らなければ平文での通信になってしまいます。したがって STARTTLS は通信路上の盗聴に対しては強固なセキュリティを提供できますが、次のように STARTTLS の使用を迂回させる攻撃には無力です。 EHLO コマンドへの応答から "250 STARTTLS" を削除することにより、受信側が STARTTLS に対応
前回と前前回MTA-STSを設定したので、今回はDANEを設定してみます。 ドメイン取得はDNSサーバを提供していて、最初からDNSSECが設定されているGoogle Domainsを使います(DNSSEC分からなくても、何もしなくて良いのは助かります)。 ※提供しているDNSサーバによってはTLSAレコードを設定出来なかったりするので、他で取得する時は事前に確認が必要です。 ※タイムリーな事にGoogle Domainsやめるってよ、な話が出てて、移行先でもDNSSECが最初から有効かは、分かりません。 TLS証明書は、前前回のLet’s Encryptを使い回します。いつものようにexample.comを使います。 TLSAレコード作成(danetool) TLSAレコードの作成には、opensslを使ったやり方が幾つも見つかるのですが、 殆どがopenssl 0.9のやり方で書いてあ
SMTP Server specific settings Topics covered in this section: Server-side certificate and private key configuration Server-side forward-secrecy configuration Server-side TLS activity logging Enabling TLS in the Postfix SMTP server Client certificate verification Supporting AUTH over TLS only Server-side TLS session cache Server access control Server-side cipher controls Miscellaneous server contro
SMTP プロトコルは、メール サーバー間でメッセージを転送するために使用されるメイン プロトコルであり、既定ではセキュリティで保護されていません。 トランスポート層セキュリティ (TLS) プロトコルは、SMTP 経由でのメッセージの暗号化された転送をサポートするために、何年も前に導入されました。 これは一般的に、要件としてではなく日和見的に使用され、多くの電子メール トラフィックがクリア テキストに残され、悪意のあるアクターによる傍受に対して脆弱です。 さらに、SMTP は、パブリック DNS インフラストラクチャを介して宛先サーバーの IP アドレスを決定します。これは、なりすましや中間者 (MITM) 攻撃の影響を受けやすいです。 この脆弱性により、多くの新しい標準が作成され、電子メールの送受信のセキュリティが強化されました。その標準の 1 つは、DNS ベースの名前付きエンティテ
DANE やっと、ExchangeOnlineのSMTP DANEパブリックプレビューが開始されました。 警告 Microsftの資料にも書いてある通り、プレビュー機能であり動作保証がありません。 この記事を読んで設定変更を思い立ったとしても、一切の保証はしませんので、ご注意ください。 DANEの有効化作業 上記ページの通り進めていけば有効になります。 きちんと読めばそんなに難しくないと思いますが、やってみた中でいくつか補足したいと思います。 DNSレコードの変更が複数回必要 DNSレコードの変更が必要になるので、変更権限があるか確認しましょう。 設定変更は何度かあるので、全部一人で出来る場合はあまり問題はないと思いますが、 他の人にレコード変更を依頼する必要がある場合は、作業中何度か変更するという事を十分説明してから始めましょう。 そもそものドメインがDNSSECに対応しているか? To
DANE やっと、ExchangeOnlineのSMTP DANEパブリックプレビューが開始されました。 警告 Microsftの資料にも書いてある通り、プレビュー機能であり動作保証がありません。 この記事を読んで設定変更を思い立ったとしても、一切の保証はしませんので、ご注意ください。 DANEの有効化作業 上記ページの通り進めていけば有効になります。 きちんと読めばそんなに難しくないと思いますが、やってみた中でいくつか補足したいと思います。 DNSレコードの変更が複数回必要 DNSレコードの変更が必要になるので、変更権限があるか確認しましょう。 設定変更は何度かあるので、全部一人で出来る場合はあまり問題はないと思いますが、 他の人にレコード変更を依頼する必要がある場合は、作業中何度か変更するという事を十分説明してから始めましょう。 そもそものドメインがDNSSECに対応しているか? To
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く