認証サイトの設計と対応ソフトの実際：企業責任としてのフィッシング対策（3/4 ページ）

最後に、sendmailおよび「sid-milter」「dk-milter」を用いて、実際に送信ドメイン認証を実現するための詳しい手順を紹介しよう。

[末政延浩，ITmedia]

sid-milter／dk-milterとsendmailの接続

　sid-milterとdk-milterは、UNIXドメインかINETのソケット通信によってsendmailに接続する。今回は、同じサーバ上で動作するので、UNIXドメインソケットを使う。sid-milter、dk-milterともに、「-p」オプションによりソケットを指定する。

　一方のsendmail側でも、sid-milterやdk-milterとの接続を指定する必要がある。そこで、M4ファイルに次のように各Milterとの接続を定義する。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　587番ポートはメールのサブミッションしか許さないので、このポートではsid-milterとdk-milterを動作させない。先述のように、SMTP AUTHで認証したホストしかメールを送信できないように「F=Ea」フラグを追加しておく。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

各Milterの起動

　sid-milterを次のように起動する。バイナリの名前はsid-milterではなく、「sid-filter」なので気をつけること。

　この際、「-h」でsid-milterが処理したことを示すヘッダをメールに追加し、「r」は“0”に設定して即座に受信拒否しないようにする。また、試験運用であるため、「-t」をつけて起動する。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　dk-milterは、たとえば次のように起動する。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　「sid-ignore-domains」ファイルにはSender IDでのチェックを実施しないドメイン名やホスト名、IPアドレスなどを登録する。自ドメイン名がexample.comで、ゲートウェイMTAから見たイントラネットのネットワークアドレスが「192.168.0.0/24」だとすると、ファイルの内容は次のようになる。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　次に、dk-milterによって電子署名する対象となるメールを送信してくるドメイン、ホスト、IPアドレスなどを「dk-sign-domains」ファイルに入れておく。今回の場合、内容はsid-ignore-domainsと同じになる。

　該当のメールサーバを使ってMUAからメールをサブミットする場合は、dk-milterでの処理のあとに「message-id」ヘッダなどがつけられ署名が破壊されてしまうことがあるので、「-H」をつける。そうすると、dk-milterは署名の対象になったヘッダをDomainKey-Signature:ヘッダの「h=」パラメータに自動的に設定してくれる。受信側は、h=パラメータに指定されているヘッダを対象にして署名の検証を行う。

　また「/etc/mail/dkeys.priv」には、最初に作成した鍵のファイルを指定する。PEMのラッピングを削除する必要はない。