新サーバにDKIMPROXY導入でGOOGLE先生に叱られた

DKIMproxy導入記録です。前記事は。

DKIMproxy導入覚書-はまり処満載で撃沈寸前!その1

DKIMproxy導入覚書-はまり処満載で撃沈寸前!その2

DKIMproxy導入覚書-はまり処満載で撃沈寸前!その3

送信ドメイン認証導入総括

今回新サーバに導入の覚書です。

上記手順でインストールは問題なく動作確認もsa-test@sendmail.netへの送信テストの結果は以下

———————————————————————————————————–

sendmail.net Sender Authentication Auto-Responder $Revision: 1.19 $

This
service runs at <sa-test@sendmail.net> and allows
remote users
to perform a simple, automated test to see if different
Sender
Authentication schemes are working.  Mail sent to this service
is
checked by our Sender Authentication filters for any valid
credentials or
signatures.  A script receives the message, checks
for a special header with
the results of the tests, and composes
this response message based on what it
finds.  This response is also
signed with DomainKeys Identified Mail
(DKIM).

Please note that the DKIM filter signing this reply message
conforms
to the latest IETF standard version, and thus may not be successfully
verified by older implementations.  If you are using dkim-filter
from
Sendmail, Inc., upgrade to OpenDKIM to be compatible with the
most
recent version of DKIM.

Note that DomainKeys has been removed in
favor of DKIM.  Sites still
using DomainKeys should upgrade to DKIM
ASAP.

We hope this service has been helpful to you.

Authentication
System:       DomainKeys Identified Mail (DKIM)
Result:      DKIM signature confirmed GOOD
Description:              Signature
verified, message arrived intact
Reporting host:
services.sendmail.com
More information:         http://dkim.org/
Sendmail milter:          http://opendkim.org/

Authentication
System:       Sender ID
Result:                   SID data confirmed GOOD
Description:              Sending host is authorized for
sending domain
Reporting host:           services.sendmail.com
More
information:         http://www.microsoft.com/senderid

Sendmail milter:          https://sourceforge.net/projects/sid-milter/

Authentication
System:       Sender Permitted From (SPF)
Result:                   SPF
data confirmed GOOD
Description:              Sending host is authorized
for sending domain
Reporting host:           services.sendmail.com

More information:         http://openspf.org/
————————————————————————————————————

と問題なくyahoo.co.jp宛のメールも迷惑メールには振り分けられるもののDKIM及びDomainKey認証の結果は

以下のように問題ありませんでした。

————————————————————————————————————–

抜粋一部伏字From yoshio Fri Feb 15 15:23:32 2013

X-Apparently-To:**********@yahoo.co.jp via 183.79.100.191; Fri, 15 Feb 2013 15:39:09 +0900
Return-Path:<yoshio@hstech.jp>
X-YahooFilteredBulk:219.105.37.34
X-Originating-IP:[219.105.37.34]
Received-SPF:pass (dns.hstech-net.com: domain of yoshio@hstech.jp designates 219.105.37.34 as permitted sender) receiver=dns.hstech-net.com; client-ip=219.105.37.34; envelope-from=yoshio@hstech.jp;
Authentication-Results:mta536.mail.kks.yahoo.co.jp from=hstech.jp; domainkeys=pass (ok); dkim=pass (ok) header.i=@hstech.jp
Received:from 219.105.37.34 (EHLO dns.hstech-net.com) (219.105.37.34) by mta536.mail.kks.yahoo.co.jp with SMTP; Fri, 15 Feb 2013 15:39:09 +0900
Received:from dns.hstech-net.com (dns.hstech-net.com [127.0.0.1]) by dns.hstech-net.com (Postfix) with ESMTP id 18EF45C0B3F for <ikuko_kimura@yahoo.co.jp>; Fri, 15 Feb 2013 15:23:36 +0900 (JST)
DKIM-Signature:v=1; a=rsa-SHA256; c=relaxed; d=hstech.jp; h=message-id :from:to:subject:date:mime-version:content-type :content-transfer-encoding; s=hstech; bh=cm3wifXTQb1BDJmgLrqwHaa Kt7jTusy9rHJ3pkuNlJs=; b=PKkorais8kG257bvNjob63kDv8RAyiuoOu/10/3 EIrbGQr9PTfpd6vPGptkudE+9tfM+6ZXz7bXA+g3Ukyx6OxWr6uQpz45mGYoyJ3l rj8++uXS0V7He26KHkw7FjvV7hXIs+TKPfMrSz9VdOELIiWC0poJNqt0ecuP7SLe jmU0=
DomainKey-Signature:a=rsa-SHA1; c=nofws; d=hstech.jp; h=message-id:from :to:subject:date:mime-version:content-type :content-transfer-encoding; q=dns; s=hstech; b=Am5JobuxbZDZVG6Il 6ywnf8z208bZ4fhMnlnf4lfWt3rZPG6lU6EfIspXxkzAWg60Dg4S3NHp3s0LcSjD N13VIFJyLUo5slPTO0ial/81aHdJlcDhzOhhNMgiKayjjWx/Vk6pPyhlgMPUA3CT U6hIlLojIly371xsyPBu+/Fo6w=
Received:from hstechPC1 (unknown [192.168.120.100]) by dns.hstech-net.com (Postfix) with ESMTPA id 0869E5C0B3E for <********@yahoo.co.jp>; Fri, 15 Feb 2013 15:23:36 +0900 (JST)
Message-ID:<C40F24C9FBA74AA2A816EA703FDDE9D9@hstechPC1>
From:“yoshio” <yoshio@hstech.jp>

以下略

————————————————————————————————————————————————————————-

次に前回問題なかったgmail宛にテストメールを送信しヘッダー情報を確認しました。

すると前回旧サーバでDKIM署名のテストをしたときの結果と異なりました。

前回のAuthentication-Results結果
Authentication-Results: mx.google.com; spf=pass (google.com: domain of yoshio@hstech.net designates 219.105.37.35 as permitted sender) smtp.mail=yoshio@hstech.net

今回のAuthentication-Results結果

Authentication-Results: mx.google.com; spf=pass (google.com: domain of yoshio@hstech.jp designates 219.105.37.34 as permitted sender) smtp.mail=yoshio@hstech.jp;
dkim=neutral (no key) header.i=@ と叱られた

ぬ!no keyってなんじゃい!とここからgoogle先生に教えを請いました。以下次回

BIND6インストール覚書

Windows7 64Bit にBiND6インストールしました。

大きなトラブルはありませんでしたが、2、3問題が・・・

①DVDを挿入しインストーラーをコンテキストから実行してもセキュリティー警告の

窓が出ず延々と待ち続けた点。

これはセキュリティソフトのせいかどうか分かりませんが、イジェクトボタンを押すと

窓が開きました。

2度目は、窓が出た時点でDVDを再投入したらインストールを開始しました。

②インストール後の再起動で、マウスアイコン以外は真っ黒な画面のままで止まる。

アイコンは動かせるが、Ctrl+Alt+Deliteは反応なし、やむなく電源ボタンでシャットダウン。

起動後、BiND6を起動すると認証画面が出ずBiND6が起動してしまう(認証できず)

③認証画面の出し方が分からず、やむなく再インストール。

インストーラアイコンをコンテキストからではなく、ダブルクリックしたら

セキュリティー警告の窓がすぐに出た。私だけの問題か?・・・・検証できず

再起動後、やはりブラックスクリーンのまま十分経過しても変わらない。

やむなく電源ボタンで強制終了。今度は一度セーフモードで起動後電源オフにしてみました(おまじない?)

次に起動後、BiND6を立ち上げたところ無事に認証画面が出ました めでたし!!

私のPC 固有の問題か検証は出来ませんが、このようなインストールのトラブルはWin98時代には

けっこう有りましたね。認証は問題ありませんでした。(友人に感謝!)

新サーバにDKIMPROXY導入でGOOGLE先生に叱られた2

gmailでのみ”no key”となるので、まず最初に検索ワード”gmail DKIM”を検索しました。

すると以下のサイトが怪しそう

http://support.google.com/a/bin/answer.py?hl=ja&answer=174124

以下引用

———————————————————————————————

ドメイン キーを使用したメールの署名を開始するには:

  1. Google Apps 管理者用コントロール パネルにログインします。
    URL は https://www.google.com/a/cpanel/primay-domain-name です。
  2. 「primary-domain-name」の部分は Google Apps のお申し込みに使用したドメイン名に置き換えてください。
  3. ページ上部のメニューから [高度なツール] を選択します。
  4. [メールを認証] セクションで、[メール認証(DKIM)を設定] をクリックします。
  5. ドメイン キーを使用して署名するメールのドメインを選択します。
    このページには、選択したドメインのドメイン キーのステータスが表示されます。
  6. [認証を開始] をクリックします。

———————————————————————————————–

まずGoogle Appsのアカウントを取得する必要があるようです。

アカウントを取得し、管理者用コントロール パネルから 高度なツール⇒メール認証と

たどり dnsサーバの google._domainkey txtフィールドを取得します。

私のgoogle._domainkeyは以下でした。

———————————————————————————————

–DNS ホストの名前(TXT レコード名):google._domainkeyTXT レコード値:v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDI5xWmuPFeKPcYtThrJUwuxsKQwD/kvN13agXAUsMQb/Ieqq/+l3NCJodJXHUD78gZ0r43ueksQ46iFvvgUksNf2/Euhqj1EKj3QatLO3kjm4mMNbAbDABfs/Cn+lPJudhPRKT7WJlW6DFf/TeILtxSIndhid+4X7i8z0o6J1bywIDAQAB—————————————————————————————————————-

しかしprivate.keyがありませんので、自鯖でこの公開キーで署名をつけることはできません。dnsサーバにこのキーがあると、gmailで自鯖のDKIM署名を有効にしてくれるのではないかと一縷の望みを持って、自鯖からgmail宛にメールを送ってみました。結果は、Authentication-Results: mx.google.com;
spf=pass (google.com: domain of yoshio@hstech.jp designates 219.105.37.34 as permitted sender) smtp.mail=yoshio@hstech.jp;
dkim=neutral (no key) header.i=@予想はしてましたが、署名は有効になりません。Google Appsで自ドメイン(hstech.jp)を有効にしてからウェブからメールを送ると—————————————————————————————————————————-Delivered-To: hstech99@gmail.com
Received: by 10.64.64.225 with SMTP id r1csp55755ies;
Sun, 17 Feb 2013 15:08:43 -0800 (PST)
X-Received: by 10.50.100.193 with SMTP id fa1mr2568987igb.59.1361142523676;
Sun, 17 Feb 2013 15:08:43 -0800 (PST)
Return-Path: <yoshio@hstech.jp> Google Appsから自メールアドレスでメールを送れる
Received: from mail-ie0-x243.google.com (ie-in-x0243.1e100.net [2607:f8b0:4001:c03::243])IPv6だ!
by mx.google.com with ESMTPS id b8si7949992igc.57.2013.02.17.15.08.42
(version=TLSv1 cipher=ECDHE-RSA-RC4-SHA bits=128/128);
Sun, 17 Feb 2013 15:08:42 -0800 (PST)
Received-SPF: softfail (google.com: domain of transitioning yoshio@hstech.jp does not designate 2607:f8b0:4001:c03::243 as permitted sender) client-ip=2607:f8b0:4001:c03::243;
Authentication-Results: mx.google.com;自鯖ではないので当然SPFはpermitted senderではありません、google鯖をmxで指定して”メールはgoogleで”ということでしょう。
spf=softfail (google.com: domain of transitioning yoshio@hstech.jp does not designate 2607:f8b0:4001:c03::243 as permitted sender) smtp.mail=yoshio@hstech.jp;
dkim=pass header.i=@hstech.jp passだがあまりうれしくない(笑) 
Received: by mail-ie0-x243.google.com with SMTP id c11so3242111ieb.10
for <hstech99@gmail.com>; Sun, 17 Feb 2013 15:08:42 -0800 (PST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;   以下略————————————————————————————————————

dkim=passとしたければ、google鯖からメールを送る必要があるようです。マイナーな自鯖は使うなということでしょうか?なんだか複雑!!

前記事新サーバにDKIMproxy導入でgoogle先生に叱られた https://www.hstech.net/?p=341