v4のIPアドレスは定期的に変えている。
中華ネットワークカメラを攻撃から守るためでもある。
IPアドレスが変わるとそれを通知する仕組みのソフトを入れているのだが、F&Fサーバを構築し直したら通知のメールが送れなくなった。
ログを見るとWindowsアプリ側がSASL認証情報を送ってこないようなのだ。
もしかすると以前の設定だと平文認証が可能だったのかも知れないが、今はセキュリティ的に(たぶん出来ないことはないとは思うが)設定が難しいし、設定すべきではない。
これに関してAIにも聞いてみた。
Postfixの設定ファイルであるmain.cfとmaster.cf、そしてメールを送信しようとした時のPostfixのログを添付した。
そうすると「かなりハッキリ分かってきました」みたいな事を言う。
設定ファイルのこことここをこう書き換えれば良い、その理由はログからこうしたことが分かるからだと。
でもmain.cfのそこを書き換えたら、master.cfの設定と矛盾しない?
と言う指摘をすると「その通りです、よく分かりましたね。」って、分かるでしょ、見れば。
次の解決策はこれです、これが決定版ですとか言うけれど、いやいや決定版じゃないですから、既にやってみたことだし。
AIはエキスパートシステムみたいなものなので、未知の事象に対する知識は持っていない。
地道に全てを潰していく、少し設定を変えては実験してその結果から次を判断する、トライアンドエラーになってしまう。
AIに設定ファイルをチェックさせる、ログをチェックさせるのは有効だ。
F&Fサーバなどものすごい量の攻撃が来るので、maillogの必要な部分を抽出するのが面倒だ。
しかしAIに見せれば何が起きているのかをすぐに取り出してくれる。
ただしその後のAIの言うことを聞いていたのでは、時間がいくらあっても足りなくなる。
ネットワークカメラのIPアドレスが変化していない事はサーバ側で分かる。
変化していることを検出するのはちょっと面倒なのだが、サーバ側で出来ないことはない。
IPアドレスの変化を監視するWindowsのソフトは2種類を試したのだが、いずれもダメだった。
メールサーバのセキュリティは年々厳しくなっているので、クライアントの実装は難しい。
メールサーバのセキュリティをいくら厳しくしたところで、中華spamなどちゃんとしたメールサーバから送ってくるのだから防ぎようがない。
これも時代なので仕方がないか…
そうだ!Niftyのメールサーバを使ってみよう。
Niftyのメールサーバは暗号化もされていなくて、たぶん平文認証だ。
Becky!で暗号化にチェックを入れると↓になる。
何との危険なものなのだが、送信元メールアドレスのチェックは行われている。
これを設定したら、見事に送信が可能になった。
古いソフトと言えば全文検索のHyper Estraierがある。
既に20年が経過していて、それでも前回のサーバ更新時には無理矢理的にコンパイルをした。
勿論今回も無理矢理コンパイルすることは出来るのだが、コンパイラだけの問題ではない様々な事が、実運用上でも発生する。
と言うことで、これは諦めることにした。
SSL証明書は今年から有効期限が短くなるんだったかな。
これまではNetowlで証明書を買っていた。
価格は年間で1,650円だったかな。
更新処理は手動で行うので、年に1回は手続きが必要だった。
昨年までは有効期間が最長で398日だったが、今年(3月15日以降)は最大で200日、来年には100日、2029年には47日まで短縮される。
こうなると更新が面倒なので、自動更新を仕掛ける事とSSL証明書をLet’s Encryptに変更した。
Let’sEncryptの証明書の有効期限は90日と短いのだが、来年には100日に短縮されるのだから似たようなものである。
自動更新が正しく動作すれば手間がないので、この機会に変更した。
なおこれまでの証明書の有効期限は7月まで残っている。
新しい証明書をインストールするのだが、Certbotソフトによって秘密鍵の生成から申請まで一気にほぼ自動でやってくれる。
これは楽で良い。
楽で良いのだが、Apacheに設定する中間証明書を誤っていた。
Netowlの場合は中間証明書を別に設定したのだが、Let’sEncryptにはFullchain.pemという中間証明書を含んだpemファイルがあって、それを設定しないといけなかった。
これによって一部の方はF&Fのページが見られないか、証明書エラーが出ていたと思う。
コメント