DMARC」カテゴリーアーカイブ

SPF / DKIM / DMARC対応のインターネットサーバー・アプライアンス Powered BLUE 890のセットアップ手順

スパムメール対策として送信ドメイン認証 SPF / DKIM / DMARC を強化した AlmaLinux 9.x / RockyLinux 9.x / RedHat 9.x に対応のMail / Web / DNS / ftpなどの機能を持つオールインワンのインターネットサーバー・アプライアンス「Powered BLUE 890」のセットアップ方法についての解説です。

自社管理で運用できるアプライアンスです。

 

 

 

➡  Powered BLUE 890

 

なりすましメールやスパムメール対策として、送信ドメイン認証(SPF / DKIM / DMARC)やTLS通信にも対応しています。

 

 

 

【メールサーバー構成】

① メールの中継用途で運用

  • 既存のメールサーバーの間に設置して、メールリレイで運用

 

 

 

 

② メールサーバーで運用

  • ユーザーのメールボックスを運用

 

 

 

【Powered BLUE 890 の主な機能】

Mail Web DNS サービス監視 パッチ適用
SmartHost / Backuprelay
DKIM / DMARC
送信ドメイン認証
SMTPへのSSL証明書登録
TLSレベル指定
SNI
HSTS
ACMEプロトコル / MDモジュール対応
WebへのSSL証明書登録
SPF
TXT
SRV
サービスの
自動再起動
パッチの
自動適用

 

【対応のOS】

RedHat 9.x AlmaLinux 9.x RockyLinux 9.x

 

【フリープラグイン】

Let’s Encrypt WordPress Roundcube

 

【オプション】

各種認証対応Web 認証対応リバースプロキシ syslog サーバー

 

【サードパーティ】

アンチウイルス
アンチスパム
UPS

 

【Powered BLUE 890 アプライアンスの構成】

  • OS  RedHat 9.x / RockyLinux 9.x / AlmaLinux 9.x 対応
  • Web / DNS / SMTP / IMAP / POP / TLS
  • SPF / DKIM / DMARC (送信ドメイン認証)

 

 

 

 

 

 

 

【運用先】

Powered BLUE 890は、AWS / Azure / VMware / Hyper-V / FUJITSU Hybrid IT Service FJcloud-O / Web Arena / VPS  などでの運用に対応しています

【仮想アプライアンスのイメージでの提供】

  • 仮想サーバーのイメージインポートでの運用に対応

 

【ハードウエア・アプライアンス】

 

 

 

【セットアップウィザード】

 

 

 

 

 

 

 

 

 

【使用許諾】

 

 

 

 

 

 

 

 

 

 

 

【サーバーの基本設定】

  • サーバー名 / IP / Networkや参照するDNSを入力

 

 

 

 

 

 

 

 

 

 

 

 

 

【管理画面にログイン】

 

 

 

 

 

 

 

【使用するサービスの有効化】

個別サービスの on / off を選択します

  • DNS / FTP / Web / 仮想サイト機能 (デフォルトはoff)

 

 

 

 

 

 

 

【Webサービスの設定】

  • SNI対応
  • TLSレベル選択
  • ACMEプロトコル / MDモジュール対応

 

 

 

 

 

 

 

【SMTPサービスの設定】

  • POPS / IMAPS
  • SMTP / SMTPS / TLS
  • 送信メールのSmarthost 2重化( スマートリレイ / バックアップリレイ )
  • 受信メールの配送経路指定

 

 

 

 

 

 

 

 

 

 

【DKIM / DMARCの設定】

 

 

 

 

 

 

 

 

 

 

【SPFレコード / DMARCレコード / DKIM キーペアの作成】

 

 

 

 

 

 

 

【SMTPセキュリティ機能】

  • VRFYコマンド     有効・無効
  • HELOコマンド 不正なホスト / FQDNでないホスト接続 許可・拒否
  • HELOコマンド DNSで名前解決が出来ないホスト接続    許可・拒否

 

 

 

 

 

電話の場合
  • 電話番号を表示しない相手からの電話には 出る・出ない
  • 電話帳に掲載されていない電話番号からの電話には 出る・出ない
  • 社員の実在確認 返答の あり・なし

そのような社員は在籍しておりません

SMTPの場合  

  • HELOコマンド 不正なホスト / FQDNでないホスト接続 許可・拒否
  • HELOコマンド DNSで名前解決が出来ないホスト接続   許可・拒否
  • VRFYコマンド    有効・無効

送信しようとしているメールアドレスが実際に存在するかを確認

user not found

 

 

電子メールサーバー専用のSSL証明書の登録機能

SMTPサーバーが利用するSSLサーバー証明書を登録できます。SSL証明書としては

  1. PublicなSSLサーバー証明書
  2. PrivateなSSLサーバー証明書

などを登録できます。

 

 

 

 

 

 

 

【サーバーの時刻の設定】

  • NTPサーバーを指定 (2重)

 

 

 

 

 

 

 

 

 

【SELinux 設定】

 

 

 

 

 

 

 

【Firewall 設定】

 

 

 

 

 

 

 

【DNSの設定】

  • プライマリ / セカンダリDNSでの運用に対応

 

 

 

 

 

 

 

【仮想サイトの作成】

  • Webサイトの作成(WordPressにも対応)
  • WebサイトへのSSLサーバー証明書登録(Public / Private / Let`s Encrypt )

 

 

 

 

 

 

 

各種のWebサイトを作成できます

一般的なコンテンツのWebサイト WordPressのWebサイト

 

 

【Webサイトの認証】

作成したWebサイトへのアクセスに、各種のWeb認証を設定できます

  • ワンタイムパスワード認証
  • SSLクライアント認証
  • SAML認証
  • OIDC認証
  • Passkey認証

生体認証や複数のWeb認証を組み合わせて、多要素認証(MFA)での運用にも対応

 

 

【2nd Ethernet】

サービスポートの Ethernet / eth0 と管理ポートの Ethernet / eth1 を分離する運用も可能です。

 

 

 

 

 

 

 

  • 2nd EthernetにIPをアサイン

 

 

 

 

 

  • 2nd Ethernetに管理画面アクセス用のFirewallを設定

 

 

 

 

 

 

 

シスログサーバー機能

 

 

 

 

シスログのサーバー機能(オプション)により、自サーバーや他のサーバーの

  1. ログの受信・任意期間保存&ダウンロード
  2. 受信ログのトラップ(指定キーワードによるメール通知)
  3. 受信ログを他のシスログサーバーへの転送(最大3か所)
  4. ログ送受信時のTLS認証(機器の認証&暗号化通信)

での運用に対応

ログの受信 ログの保存 ログの転送 ログのトラップ TLS認証

 

例 Mailサーバー / Webサーバー / Firewall / VMwareESXi  などのログ受信&保存

 

 

 

 

 

 

 

ログの長期保存(監査対応)

運用例   毎日ローテーション(365日x5年=1825回)を行い、保存期間は5年間

 

 

 

 

 

 

指定キーワードのトラップ(管理者へメール通知)

  • アラートには任意のキーワードでトラップを設定
  • トラップが連続した場合でも、送信メールの間隔を設定
    (例 xxx のキーワードを検知の場合、900秒間隔でのメール送信通知)

 

 

 

 

 

 

 

 

 

【簡単運用】

  • 製品やOSの最新パッチを適用

 

 

 

 

 

 

 

 

 

 

 

【ひとり情シス対応】

  • サーバーの自己監視やサービスの自動再起動機能
  • パッチのスケジュールアップデート機能
  • 管理者への通知機能

 

 

 

 

 

 

 

【サーバーのセルフチェック機能】

  • 外部の監視サービスを利用しない運用に対応

 

 

 

 

【セキュリティ監査対応】

セキュリティのレベルを保持するために、管理GUIから以下のパラメーターなどを設定・調整します

  • 最新パッチの適用
  • 必要最小限のサービスのみ有効
  • 暗号化のサービスの選択(例 imap ⇒ imaps  /  telnet ⇒ ssh & 証明書 )
  • TLSレベルの選択
  • Firewall調整
  • SELinux調整
  • 管理画面へのアクセス制限(アクセス元IP制限や2nd Ethernetの利用)
  • プログラムバージョンの表示抑制
  • 一般ユーザー権限の制限
  • Web認証(多要素認証 / SSLクライアント認証 / ワンタイムパスワード認証 / パスキー認証)
  • ログの取得・保存・監査

 

 

【バックアップ・リストア】

ハードウエア・アプライアンスのバックアップやリストアでの運用

ディザスタリカバリ・ツールとサーバーのUSBバックアップ

 

 

ステップ 1. システムをまるごとバックアップ

手動あるいは自動的にシステムを
USBドライブへバックアップすることができます

 

ステップ 2. USBドライブからOSを起動

緊急時は、USBドライブから
システムを起動することができます

 

 

ステップ 3. USBドライブからサーバへリストア

USBドライブからシステム起動後は、
USBドライブのデータをサーバーへリストアできます。

 

 

 

 

管理GUI
  • システムをUSBドライブにまるごとバックアップ
  • バックアップ先のUSBドライブからOSを起動可能
  • サーバ管理画面から簡単設定、簡単バックアップ
  • 専用USBドライブ
  • ディザスタリカバリ・ツール ライセンス(USBタイプ)

 

 

運用例

定期バックアップ

 

 

 

コールドスタンバイ

 

 

 

 

【マイグレーション】

Powered BLUE の旧機種 B850 / B860 / B870 / B880 や Netshaker からのデータ移行にも対応

旧機種 Powered BLUE 890

 

 マイグレーション対応機種