Magical Diary

■DNSACL.NETを (再) 立ち上げ

以前、rbldnsdを利用して自家製DNSBL（RBL) を立ち上げたが、BINDのセキュリティ設定を変更した際、forwarders で指定したゾーンを外部に公開できなくなってしまった。(どうやら仕様らしい) 仕方ないので、DNSサーバとして使っていないサーバ1台と、既に稼働しているサーバに追加のIPアドレスを割り当ててその2台をdnsacl.net用のDNSサーバとして利用することにした。

404 Not Found

手順はほぼ前回と変わらないが、IPアドレスを追加してBINDと同居させる方については、以下のようにバインドするIPアドレスを設定する。(ちなみに、192.0.2.0/24 は例示用のブロック。cf. RFC 3330)

# dnsrbld
rbldnsd_enable="YES"
rbldnsd_flags="-u bind:bind -r /etc/namedb/dnsacl.net -b 192.0.2.1 -c 0 dnsacl.net:combined:dnsacl.rbl"

国別リスト

国別のIPアドレスを提供するゾーンについては、以下の地域インターネットレジストリ（RIR）が毎日更新するレポートを元に生成した。

• American Registry for Internet Numbers (ARIN) (ARIN)
• RIPE Network Coordination Centre (RIPE)
• APNIC - Home (APNIC)
• LACNIC (LACNIC)
• AFRINIC - Welcome (AfriNIC)

これらは、国名.dnsacl.net のドメインで利用できる。(国名はISO 3166-1の2文字コード) たとえば、192.0.2.100 が韓国に割り当てられているか確認する場合、100.2.0.192.kr.dnsacl.net のAレコードが存在することを確認すれば良い。以下は確認例。

% host 86.50.30.202.kr.dnsacl.net
86.50.30.202.kr.dnsacl.net has address 127.0.0.2
% host 115.30.12.202.kr.dnsacl.net
Host 115.30.12.202.kr.dnsacl.net not found: 3(NXDOMAIN)

動的割り当てIPアドレス・スパム・バルクメール送信サービスのリスト

また、ほぼ自分で管理するサーバ向けだが、Postfixのcheck_client_access、check_sender_access に指定していたマップを集中管理するため、rejectするIPアドレス・逆引きのドメイン、rejectするべきメール送信者のドメインも提供している。詳細は no title を参照。

Postfixの設定例

smtpd_client_restrictions =
    permit_mynetworks
    reject_rbl_client kr.dnsacl.net
    reject_rbl_client cn.dnsacl.net
    reject_rbl_client ru.dnsacl.net
    reject_rhsbl_client dyn.dnsacl.net

smtpd_sender_restrictions =
    reject_non_fqdn_sender
    reject_unknown_sender_domain
    reject_rhsbl_sender s.spam.dnsacl.net
    reject_rhsbl_sender s.bulk.dnsacl.net

※実際には、これ以外のDNSBLやcheck_client_access、check_sender_accessなどを設定してある。

DNSACL.NET

とりあえず、日本語と (微妙にあやしい) 英語のページを作成。言語はブラウザの設定によって言語が切り替わる。

• http://www.dnsacl.net/

Permalink | コメント(0) | トラックバック(0)