DNSサーバは適切に

いや、3月は本当に忙しかったです。ブログのエントリも滞ってしまいました……。/(^^;

ところで、今日、なにげにITmediaのサイトを見ていたら、「スパム対策最前線」というのがあるのですね。正直、初めて気がつきました。スパムは単に迷惑というだけでなく、時として実害をもたらしますので本当に嫌な存在です。大澤さんという方の担当みたいですが、どんどん書いていただけると嬉しいです。(^^)

さて、今日はちょっと違うセキュリティ話を。先日、JPCERT/CCやJPRSがドキュメントを公開し、ITmediaでも「DNSの仕組みを悪用したDDoS攻撃が発生、国内サーバも「踏み台」に」で記事になりましたが、世の中、いろいろなことを考える人がいるものです。この攻撃は、たとえば小さなパケット（クエリ：問い合わせ）を送ると、その内容に従って大きなパケット（たとえば、TXTリソースレコードの内容）が返るとか、そういう面も悪用しています。

DNSはインターネットの基盤を支える重要な仕組みです。仕事としてDNSサーバを管理されている方もいれば、個人的興味でDNSサーバを運用されている方もいらっしゃいます。しかし、それらの多くは標準的な設定で運用されていると考えられます。この件で行っていただきたいことは、“その”DNSキャッシュサーバに対して問い合わせができるユーザーを適正な範囲に限定するようにアクセス制限をかけてほしいというものです。それほど難しい話ではないと思いますので、ぜひ、対策をお願いいたします。

そうそう。DNSサーバの話をしたついでに、Sendmail絡みで2点ほど。Sendmail 8.13.5とそれ以前のバージョンで脆弱性が発見されています。それと、メール投稿用のポートとしてのMessage Submission（TCP 587番ポート)ですが、標準設定の状態では25番ポートと同じアクセス制限となり、送信者のIDなどを特定せずに使えてしまいます。本来なら、Submissionポートを使う際にはSMTP AUTHを使う（要は、パスワード認証を行う）ように推奨されていますので、送信者認証を行うように設定を変更する必要があります。スパム対策としてOP25Bを採用しても、投稿ポートがノンチェックでは効果が期待できませんので、こちらについてもぜひ対策をお願いいたします。Submissionポートの適切な設定の仕方については、近々「有害情報対策ポータルサイト －迷惑メール対策編－」で公開されると思います。(^^)