Open Tech PressにLinux/Apache系Webサイトを狙った正体不明の攻撃についての現状報告という記事が掲載されています。

今のところ侵入方法が解明されていないとのことで心配です｡

色々調べてみるとdkimproxy 0.16ではまだ機能的に問題があるようです。1.0beta1では修正されているようなので、dkimproxyは1.0が出てからの方がよさそうです。

前回挑戦したdkim-fillter、どうも納得がいかないので再挑戦してみた。

前回と全く変わっていないはずなのに、なぜか問題なく動いてしまった。？？
多分どこか間違っていたんでしょうね。

SPFに続いてDKIMの設定をしてみました。(ディーキムと読むらしい)

DKIMがRFCに承認された事、設定内容は違いますが、設定する箇所は同じなので同時に設定することにしました。

DKIMがSPFと違うところは、メールのヘッダに署名を追加して送信する必要があるところです。そのヘッダの署名とDNSのTXTレコードで公開されている公開鍵で認証を行い、署名したサーバから送信されたあとでメールが改竄されていないか等確認することができます。

SPFだと.forwardなどで転送しているメールはfailしてしまいますが、DKIMはpassします。逆にDKIM-Signatureを削除しないメーリングリストサーバではSubjectなどの改変が起きるのでDKIMはfailします。両方認証して総合的に判断するようにするのが良いようです。

今のところスパムメール以外ではgmailぐらいからしか署名のついたメールは届きませんが…。

出した覚えの無いところからエラーメールが帰ってきます。メールのヘッダを見るとFrom:やReturn-path:に私のメールアドレスが設定されているようで、勝手に使われているようです。

というわけで、送信ドメイン認証(SPF)を設定して、「うちの管理していないところから送られた可能性があるメールである」ということを宣言する意味で設定してみました。相手がSPFで認証を行っていない限り無意味ではありますが…。

DebianのvolatileにSpamAssassin3.2.3が入ってきた。最近のSpamAssassinにはsa-update,sa-compileというものがついているようなのでちょっと調べてみた。

man sa-update

NAME
sa-update - automate SpamAssassin rule updates

man sa-copmile

NAME
sa-compile - compile SpamAssassin ruleset into native code

sa-updateでスパムのruleファイルを自動更新させることが出来、それを事前にsa-compileを実行する事によってre2cでコンパイル、ネイティブコードにしておきパターンマッチングを高速化するものらしい。

あまりにもsshやpop3へのブルートフォースアタックが酷く、logcheckのメールが数MBになることも多くなってきたので、なにかよい対策はないものかと探していました。

移動先でもログインすることやftpの代わりにsftpを使ってもらったりといったこともありIPアドレスによる制限もしにくく、ユーザサイトではftpもオープンにしているところもあり、汎用的かつわかりやすい設定で対策できる物を探していたところfail2banという物を見つけました。

各サービス毎にログからアタックを正規表現によるフィルタで検出、それに対してアクション（iptablesで制限、メールを送る等）の動作をさせることができます。

.gpgの拡張子のファイルを自動的に暗号・復号してくれるemacs用のソフトウェア。

コマンドラインで暗号・複合を行って編集をする場合、復号したファイルを消し忘れたりすることもあって不安ですが、これを使えばそれを気にしなくてもすみます。

FireGPGの記事を書いたばかりなのですが、その少し前にG/PGP Encription Pluginに外部からコマンドが実行できる脆弱性が発見されていたようです。

SquirrelMail上で署名を行いたい場合、プラグインを使用するとサーバ上に秘密鍵を置く必要があります。万一の事を考えると公開サーバ上には置きたくありません。

それを解決してくれるのがFireGPGです。

これはFirefoxの拡張機能としてインストールします。クライアント側で実行されるので秘密鍵をサーバ上に置く必要がなくなります。