_ ついでに

SPFレコードのチェックと書式間違いの修正。

sendmail社のSPFチェッカー便利。

「"v=spf1 a mx ptr a:daemon5.uekusa-com.com include:hogehoge.ne.jp a:61.206.119.196 -all"」

とか書いてあったけど、エラー。

SPFの出始めの頃に、どっかのページを参照して書いたんだけど、ダメダメですね（;´Д｀）

いつ頃か忘れたけど、wikiによるとRFCになったのは2006年頃か。

要するに各要素に「+」とか「-」の定義がない。

includeしていた携帯用の外部送信サービスも使っていないし、シンプルに修正。

逆引きの一致(ptr)とか処理の重くなる処理は後ろに移動。

「"v=spf1 +a:daemon5.uekusa-com.com +ip4:61.206.119.196 +a +mx +ptr -all"」

これで、ウチの鯖のFQDNかつ逆引きも出る名前のみが許可されるようになった。

メール送受信に使わない「uekusa.com」は「"v=spf1 -all"」で詐称防止。

SPFの詳細な説明は、インターネット協会のここ。

とても分かりやすい。

_ 詐称

本当のドメイン名での詐称はSPFである程度防止できるけど、

「uekusa_com.com」とか「ueknsa-com.com」とか紛らわしいドメイン取って、

そこの正当なFromとSPFレコードなら防ぎようがないのが、この仕組みの限界。

いわゆる標的型とか呼ばれる攻撃なら、こういった手段もありそうですな。

_ STARTTLS

sendmailの証明書の件、このテストサイトやら、

LogLevelを9から14に上げてみるとかで調査。

証明書が繋がって見えていない感じ。

あ、「O CACERTFile」ってルートの証明書か。

中間証明書と勘違いしてた。

portsのsecurity/ca_root_nssをインストールして、

「O CACERTFile=/usr/local/share/certs/ca-root-nss.crt」

でちゃんと「verify=OK」が出るようになった。

┐(´д｀)┌ヤレヤレ

_ 歯医者

7月から、ほぼ毎週通っていたのも今日でファイナル。

先週点検中に見つかった、上の前歯の小さな虫歯を削ってお終いなのだが、

いくら麻酔が効かないからって、相変わらずの麻酔増量で困るｗ

1時間経っても、上唇が痺れてメシ食えないｗｗｗ