備忘録 – ページ 2 – 東京発、雲に乗って

2024年6月6日2024年6月6日

【PHP】Return-Path未指定だと迷惑メール扱いになるケース

最近クライアントからの依頼で、Gmail宛てのメールが届かない問題の解消というのがありました。

調べてみると、迷惑メールフォルダに入っていました。
メールヘッダーを確認したところ、

SPF：pass
DMARC：fail

という結果になっていました。
DMARCがNGなのが迷惑メール判定された理由だろうと推測できます。
そしてDKIMはなぜか事情があって設定できないらしいです。

SPFがpassなのになぜDMARCがfailなのかというと、
送信元ドメインが正常にSPFレコードに指定されていればSPFはpassとなりますが
DMARCのSPF判定条件はそれだけではありません。

送信元アドレスとReturn-Pathヘッダーが一致していなければ
SPFアライメントの不一致となり、
さらにDKIMが未設定の場合はなりすましかどうかの判断がつかず、DMARCはNGとなります。

今回の件では、メール送信にPHPのmail関数が使われていました。
mail関数（mb_send_mailも同じだが）では5つ目の引数に
Return-Pathを強制的に指定するパラメータを追加することができます。

$from = '(送信元アドレスが入る)';
$additional_params = '-f' . $from;
mail($to, $subject, $body, $additional_headers, $additional_params);
// (他の引数は省略)

$from = '(送信元アドレスが入る)';

$additional_params = '-f' . $from;

mail($to, $subject, $body, $additional_headers, $additional_params);

// (他の引数は省略)

Return-Pathを指定しない場合、
SMTPサーバー側で指定されたアドレスが自動的に入ります。
レンタルサーバーの場合、初期ドメインの管理者アドレスが自動で入ることになり、
SPFアライメントは不一致となります。

Return-PathにFromと同じアドレスを入れる改修を行った結果、
迷惑メール扱いされず届くようになりました。

2024年5月20日2024年5月24日

イベントログを解析するためのツール「Event Log Explorer」

Active Direcotryのグループポリシー設定の「ファイルシステム監査」を利用して、
イベントログに「いつ誰がどのファイルにアクセスしたか」を記録するようにしています。

しかし、ログを解析するにあたって、
Windows標準のイベントビューアでは検索がまったく機能せず、解析できません。
そこでイベントログ解析のツールを探していました。

・期間指定
・ユーザー名やファイル名で検索
というのが最低限必要な機能です。

「Event Log Explorer」
https://eventlogxp.com/ja/

英語のソフトですが、GUIなので使いやすいです。

商用利用版は有料です。
無料版では自分のPCの最新ログの解析しかできないようです。

情シスとして会社のファイルサーバーの過去ログ解析を目的としているので、
有料版の購入を検討しています。

2024年4月23日2024年7月10日

【Active Directory】グループポリシーで共有フォルダのアクセスログを取る

Active Direcotryのグループポリシー設定の「ファイルシステム監査」を利用して、
イベントログに「いつ誰がどのファイルにアクセスしたか」を記録するようにしたのですが、

Windows自体が何かやっている謎のログが大量に記録され
ログが膨大すぎて管理するのが難しくなりました。

原因はフォルダのプロパティ→セキュリティ→詳細設定→監査で
監査対象を設定する際に
「Everyone、フルコントロール」
にしていたためでした。

ログの目的としてはこの設定が一番いいのでしょうが
ログが膨大すぎて解析できないと本末転倒ですので、監査対象の設定を
「Domain Users、変更（閲覧含む）」
に変更しました。

すると膨大だったログが1000分の1くらいに減り、
「いつ誰がどのファイルにアクセスしたか」が追いやすくなりました。

2024年3月22日

【Active Directory】gpresultの結果にコンピューターのポリシーが表示されない！

ADでグループポリシーを設定後、PC側に適用されているか確認するためのコマンド

gpresult

gpresult

ですが、ユーザーのポリシーは表示されるのにコンピューターのポリシーが表示されていませんでした。

ネットで調べてもAD側の設定が悪いケースの情報ばかりで、なかなか情報がありません。

結局、原因は
「コマンドプロンプトを管理者として実行しなければコンピューターのポリシーは表示されない」
でした。

そんなところで引っ掛かる人は私くらいなんでしょうかね。

2024年2月7日2024年2月21日

【Linux】サポート終了したCentOS6でyumが使えるようにする

2024年2月から、Gmailのガイドラインが変更になり、SPF・DKIM・DMARCのメール認証を設定しないといよいよメールが届きにくくなるようです。
現在多くの稼働中のシステムを保守していますが、すべてのシステムでSPF・DKIM・DMARCは設定済みです。
（念のため全システムのメールのヘッダを確認しました。）

DKIMの設定が少し面倒なだけで、設定自体は難しくありません。

2024年1月の下旬になったところで、以前仕事したことがあるクライアントから連絡が来ました。

「現在、稼働しているサービスのメール認証を設定してほしい」

情報さえそろっていれば2,3時間あればできるだろうと、
依頼を受けるつもりで、システムの詳細を聞いたところ、
サーバーはVPSで、OSが「CentOS6」であることがわかりました。

VPSで構築されている場合、DKIMは自前でサービスをインストールして設定する必要があります。
通常はopenDkimというサービスを入れます。

しかし、CentOS6はすでにサポートが切れているため、
そのままではyumでインストールすることはできません。

そこで、ミラーサイトを「vault.centos.org」に変更します。

vi /etc/yum.repos.d/CentOS-Base.repo

1	vi /etc/yum.repos.d/CentOS-Base.repo

何か所かある

mirrorlist=

1	mirrorlist=

の行をすべて頭に#をつけてコメントアウトします。

#mirrorlist=

1	#mirrorlist=

次に、やはり何か所かある

baseurl=

baseurl=

の行のURLの「mirror.centos.org」をすべて「vault.centos.org」に変更します。

これでyumが使えるようになったので、openDkimをインストールして
無事、DKIMを設定できました。