新しいDNSSECEC (DNS Security Extensions)オプションで、MDaemonがRFCの 4033 と4035 にて「DNSクエリの送信やDNS応答の受信、スタブリゾルバのサービスを提供できるDNSSEC対応ネームサーバーとの安全な通信の確立を行うエンティティ」と定義された、署名を検証しないDNSSEC対応スタブリゾルバとして動作できるようになります。 これはMDaemonがDNSへの問合せを行う際DNSSECサービスをDNSサーバーへ要求し、AD (Authentic Data)ビットを使った問合せを行い、応答を確認できるようになるという事です。DNSSECは現在全てのDNSサーバーが全てのトップレベルドメイン向けに対応しているものではありませんが、これによりDNS処理中に追加レベルのセキュリティを実装する事ができるようになります。
有効化すると、DNSSECサービスは選択条件にマッチしたメールに対してのみ適用されます。DNSSECサービスはメール毎に「要求」したり「必須」としたりできます。DNSSEC画面で「ヘッダ値」の組み合わせを選択するだけで、MDaemonはDNSの問合せの際条件にマッチしたメールにのみDNSSECサービスを要求します。「必須」としている場合で認証データを含むDNSの応答に失敗すると、メールは送信者へ返されます。「要求」している場合はDNSSECサービスで失敗した場合でも何も起こりません。ただし、特定のメールに対してDNSSECを必須とする場合は、ヘッダ値の組み合わせへ「SECURE」を追加してください。(例. To *@example.net SECURE)これらのメッセージで認証データを含むDNSの応答に失敗すると、メールは送信者へ返されます。注意点: DNSSECルックアップには従来よりも時間やリソースが必要となり、また、DNSSECは全てのサーバーで対応しているわけではないため、MDaemonは全てのメール配信へDNSSECを適用するデフォルト設定にはなっていません。ただし、必要に応じ、設定ファイルの中に「To *」などの行を一行追加する事で、全ての送信メールでDNSSECの利用を必須とする事ができます。
メールのセッションログの最初にはDNSSECが使われたかどうかが、ログのセキュアデータの隣にDNSSECとして記録されます。
|
MDaemonは非公式のスタブリゾルバーです。つまり、MDaemonはDNSサーバーへ認証データをリクエストしますが、単独でデータがセキュアかどうかを確認する事ができません。ただし、(例えばLAN内のサーバー間の場合など)DNSサーバーへの接続が既知のものだったり信頼できるものだったりする場合は、これをセキュリティ強化の目的で活用する事ができます。 |
