GoogleのGmailのIPv6逆引き判定が迷惑な問題

前に、SPFレコードでドメインの正当性を判定する方法が逆にスパムを増長させる問題について書きましたが、今回はさらに突っ込んでGoogleのGmailの厳しい判定が迷惑な問題について書きます。

参考)

一括送信ガイドライン – Gmail ヘルプ
https://support.google.com/mail/answer/81126

Googleだけに限ったことではないですが、Gmailはシェアが多いのでトラブルが目立ちます。

トラブルというのは【Gmailに送ると届かない】という問題です。
これはGmailが、迷惑メール対策として判定が厳しいためです。

Googleは最近、自分たちのガイドラインに【何が何でも従わせる】という強引なやり方をするようになりました。
事実、Googleのガイドラインに従わないメールはリジェクト(受信拒否)されるトラブルが多く、最近 Gmail / G Suite(旧 Google Apps)のメールに関して問い合わせが多いです。
仕事の取引先からの必要なメールでもGoogleのガイドラインに反していると届きません。
迷惑メールフォルダに振り分けられるならまだしも、勝手にリジェクトされて気付かないままになります。

続きを読む

SPFで迷惑メール判定が逆にスパムを増長させる問題

SPFレコードでドメインの正当性を判定する方法が逆にスパムを増長させる問題について書きます。

#SPFレコードとは送信ドメインを認証の一種で、詳しくはネットで調べてください。
#独自ドメインを持っている人はSPFを知らずに済ますことはできません。
(特にGoogleのせいで知らないでは済まなくなってしまいました)

参考)

SPF(Sender Policy Framework): 迷惑メール撲滅委員会
http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/

SPF レコードについて – G Suite 管理者 ヘルプ
https://support.google.com/a/answer/33786?hl=ja

一括送信によるメール返送 – G Suite 管理者 ヘルプ
https://support.google.com/a/answer/168383

Googleだけに限ったことではないですが、メールをサービスするプロバイダの傾向として、SPFレコードの設定を(なにがなんでもやれと)強制するような動きがここ数年で強まっています。

続きを読む

fail2ban で不正アクセスをブロック

サーバーを運営していて気を付けることに、不正アクセスがあります。
特にパスワードクラッキングされてスパムメール送信の踏み台にされないこと。

自分のサーバーがいつの間にかスパムメール送信していたら大変です。
レンタルサーバー会社に通報あるいはスパムサーバーとしてブラックリストに登録されるかもしれません。

fail2ban は、不正アクセスと判定したら、一定時間アクセスをブロック(遮断)します。

■ fail2ban インストール

yum install fail2ban

続きを読む

Apache で大量アクセスが来たとき負荷を上げない設定

Apache で同時接続数の設定(2.2 では MaxClients、2.4 では MaxRequestWorkers)より大量アクセスが来たとき負荷を上げないためのちょっとした工夫について書きます。

MaxClients をいくら下げてもサーバー負荷が下がらないじゃないか!とお困りの諸氏に …

それはとても簡単で、ListenBacklog を少なめ(例えば 1 とか)に設定します。

Apache のマニュアルには、こう書かれていますが・・・
———-
ListenBacklog
保留状態のコネクションのキューの最大長です。 一般的には調整する必要はありませんし、調整は望ましくありません。 しかし、TCP SYN フラッドアタックの状況下におかれる場合に、 増やした方が望ましいシステムもあります。 listen(2) システムコールのバックログパラメータを ご覧下さい。
———-
これを読むと、ListenBacklog は調整不要、するとしても大きくする方向で、と思ってしまいますよね。
でも違います。逆です。
続きを読む

ミドルウェアのバージョン指定がない場合のデフォルト

2017年2月より CentOS 7系のサポート開始をいたします。

以下のサービスカテゴリに対象OSを追加しました。
サーバー初期構築/各種設定
サーバーマネージメント(保守契約)

(2019年9月現在)
特にミドルウェアのバージョン指定がない場合、
CentOS 6 では Apache 2.2 / PHP5.6 / MySQL 5.6 をインストールします。
CentOS 7 では Apache 2.4 / PHP5.6 / MySQL 5.6 をインストールします。

カスタムサーバー初期設定にてミドルウェアはバージョン指定が可能です。
CentOS 6 にも Apache 2.4 をインストール可能です。
CentOS 6/7 とも PHP 7 をインストール可能です。
Apache 2.4 では メモリモデル Worker/Event で動かすことが可能です。
その場合、PHP は ZTSモードでマルチスレッド対応の動作が可能です。
PHP のマルチスレッド対応としては php-fpm をインストールすることも可能です。

データベースに関しては MySQL だけでなく、PostgreSQLは 9.2 ~ 9.5 がインストール可能です。

Apache2.4 PHP7等ミドルウェア各種対応

下記ミドルウェアの取扱が可能になりました。
以下は CentOS7 はもちろん、CentOS6 においてもインストール/設定が可能です。
(現使用環境の条件によってはできない場合があります)

・Apache 2.4
(Prefork / Worker / Event ともに可)

・PHP 7
(mod_php / php-fpm ともに可)

・MySQL 5.6
(旧バージョンからのアップデートではデータベースが引き継げないことがあります)

業界最安値で月額5,000円も4,000円も3,000円も全部嘘

Google や Yahoo で「サーバー管理代行」を検索すると、業界最安値を謳っている会社がヒットしますが、月額5,000円とか4,000円とか3,000円とか書いてあったら業界最安値というのは嘘です。

業界最安値は ベリーキュート.net です。

365日24時間サーバー状態監視し、異常時には迅速な対応を行うので月額1,000円ですし、それに加えてコンソール作業の代行(ユーザー作成、Apacheのバーチャルドメイン作成(Webサイト設定)、メールアドレス追加削除、データベース追加削除、バックアップの設定、WordPress設定、SSLの設定、DNSのゾーン設定等など諸々追加料金無料)サポートありのプランでも月額2,000円です。

業界最安値を謳っている会社って、なぜ嘘をつくんでしょうね?
自分の会社が Google や Yahoo でどのくらいの順位か検索してみるときに、検索ワードをいろいろ変えてみて同様のサービスをしている他社を調べるでしょう。そこで ベリーキュート.net の価格も絶対把握してますよね。

嘘をつかずに、ちゃんと月額2,000円より安くすればいいのに。

だいたい世のサーバー管理業者にはボッタクリ屋が多いです。
私共 ベリーキュート.net の価格のほうが本来適正なのです。

でもそんなことより重要なのは作業品質です。

ベリーキュート.net は申し込みから設定完了までのスピードも早いし、施す作業品質にこそ自信があります。
全てのサービスには予め価格が決まっていて、作業計画も予め綿密にできていて、どの客様にも適用するよう汎用的にできています。
そのため、ご依頼を頂いてからの反応が迅速で、大抵の作業は数10分から数時間で完了します。
早いからといって手抜きはなく、後々のことまでよく考えた設定作業を施します。

mod_dosdetector でDoS攻撃を503 ビジーにする方法

WebサイトへのDoS攻撃に対処するため mod_dosdetector-fork をインストールしてみたけど、RewriteRule で 503 に飛ばせないとお嘆きの諸氏に。

■ mod_dosdetector-fork インストール

(1) ビルド環境などの準備

yum -y install make gcc gcc-c++
yum -y install unzip
yum -y install httpd-devel
yum -y install git

(2) Apache2.2環境にインストール

Apache 2.2で使用したい場合は maint-1.0.0 を入れる。

cd /usr/local/src
wget https://codeload.github.com/tkyk/mod_dosdetector-fork/zip/maint-1.0.0
mv maint-1.0.0 mod_dosdetector-fork-maint-1.0.0.zip
unzip mod_dosdetector-fork-maint-1.0.0.zip
cd mod_dosdetector-fork-maint-1.0.0

make
make install

(3) Apache2.4環境にインストール

Apache 2.4で使用したい場合は git で最新を入れる。

cd /usr/local/src
git clone git://github.com/tkyk/mod_dosdetector-fork.git
cd mod_dosdetector-fork

make
make install

続きを読む

Apache 2.4 LocationでBasic認証

ちょっとした小ネタです。

例えば phpPgAdmin.conf がこんなふうになってるとき、

Alias /phpPgAdmin /usr/share/phpPgAdmin

<Location /phpPgAdmin>
    <IfModule mod_authz_core.c>
        # Apache 2.4
        Require all granted
    </IfModule>
</Location>

この場所に .htaccess を置いてBasic認証書いても効きません。
それは、Location の “Require all granted” が優先だから。

そんなときは、Location を Directory に変更すれば、.htaccess が優先されます。

Alias /phpPgAdmin /usr/share/phpPgAdmin

<Directory /usr/share/phpPgAdmin>
    <IfModule mod_authz_core.c>
        # Apache 2.4
        Require all granted
    </IfModule>
</Directory>

BINDのDNAME脆弱性対策 (CVE-2016-8864)

先日明らかにされたセキュリティアラート: CVE-2016-8864
BIND の DNAME レコードを含む応答パケットの処理の脆弱性に関する対策実施について

原文はこちら
CVE-2016-8864(英文)
https://kb.isc.org/article/AA-01434

JVNVU#92683474
BIND の DNAME レコードを含む応答パケットの処理に脆弱性
http://jvn.jp/vu/JVNVU92683474/index.html

本件の問題点と対策は以下の通りです。

続きを読む