Falconの思うままに

PASCAL好きが、気ままにマニアックなネタを

メールの活用

さて、メインサーバーのアプリ導入が着々と進んでいて

嬉しい毎日です。

お一人様メールサーバーがあるといろいろできますね。

障害通知とか、捨てメールアドとかです(笑)

自分のサーバーでSMTPを動かすとメールアカウント作り放題になります。

 

いろいろな申し込みでメールアドレスを書かないといけない場合

GMailを書いていましたが、広告メールなどの元になるので避けたいですね。

これからは自分のドメインのメールアドレスが持てるのでそうしようと

思っています。

これは、別の活用方法もあって、申込みごとにメールアドレスを変えるという手が

あります。すると情報漏れがあるとこのアドレスから漏れたということは....

この申込みからだと特定ができます。

 

メールアドレス作りすぎると読むのに困ると思われるかもですが、

これはエリアス機能で作れば大丈夫です。

管理するメールBOXは1つでアドレスはたくさんが実現できます。

それで送信先で判断できます。

 

情報漏れがでたら、そのエリアスを削除すればOK。

ちゃんとすべて到達可能なメールアドレスなので、メール認証も通りますよ。

 

送信もMailGunを通じてリレーされるのでDKIM,SPF,DMARK認証もOKです。

Gmailに弾かれない自分だけのメールシステムです。

 

やりたい方は相談乗ります。

ハードルは高めですかね。私は会社メールで10年修行していたので、

自分のメールサーバー持ちました。

OCI Always Freeなんですが有料サーバーに移行したほうがいいかなとも思っています。

ただリレーサービスを使っているのでブロックのIPで弾かれる迷惑なサーバーが

あっても大丈夫。

LolipopはそれでSPAM発信元扱いされることがあります。

セキュリティーには特に注意です。

 

ではでは。

 

cfドメインが消滅

さて、本日確認したら前から言っていた自分のCFドメインが消滅したのを

確認できました。

 

そうDNSは動いていたのですが、その上位であるCFのルートサーバからの

移譲が消えました。

ccTLDなので .cfの管理サーバーからCloudflareへの参照が書き換えられた

んですね。ドメイン更新料の満期を待っての削除となったようです。

 

まあいちおう課金ドメインだったので最低限の対応ですかね。

ということでドメインの引っ越しも済んでいるので、Cloudflareのドメイン

管理画面から削除しました。

思えば4年は使っていたので今後も使っていこうとしましたが、

まさかのドメイン喪失というなかなかない体験でした。

.io もそういう運命かもって記事がありました。

本来はccTLDは国名ですので管理をその国以外がやっているとごたごたしますな。

 

今度はccTLDでないので大丈夫かな(笑)

DNSの仕組みのいい勉強になります。

 

ではでは。

 

VeraCryptへ引っ越し

さて、みなさんは大切な情報をどうやって保護していますか?

 

そういろんなパスワード、クレジット番号など管理したいちょっとした情報

はいろいろあります。

 

エクセルに書いておく。パスワードつけておくよ

これがいちばん簡単かもですね。

 

昔はこのパスワード弱すぎだったようですが、最近はそうでもないみたい。

ただいろいろ秘密の書類が増えるとまとめてしまっておきたくなりますね。

フォルダにパスワードつけられればと思ったことありますよね?

 

そこで私が昔から使っていたのがTrueCyptというソフトでした。

これはファイルシステムとしてドライブマウントしてくれるすぐれもので

上記のフォルダにパスワード的なことができます。

しかも作成したファイルは1ファイルでコピーも楽です。

なのでNextCloudで同期して消失防止に分散管理もしています。

 

強力な暗号化ができて、嘘のドライブも作れるという凝ったことも

できます。ダミーも作れるんですね。

そんなTrueCryptですが突然開発がストップしてダウンロードもできなく

なりました。

それでTrueCryptの後継として出てきたのがVeraCryptです。

操作はほぼ同じです。

そこへ移行しましたが、引き続きTrucCrypt形式は読めたので

そのままファイルを使っていました。

そんなこんなで早数年が経ったかと思うのですが、Linuxでもソフトは

提供されているのでManjaroで使おうと思ったら......

TrueCrypt形式が選べない(汗)

 

調べたらちょっと前のVersionでサポート打ち切りになったそうな。

そうなんだ〜〜〜と思って前のVersion入手して変換できるみたいなので

行ってWindowsでは見れたのですが、Manjaroで開けない(涙)

しょうがないので新規ボリュームを作って、中身をコピーしました。

 

なんでしょうかね。

でもVeraCryptベースになったのでよしとします。

みなさんも(ユーザーいるのか?)  VeraCryptへの引っ越しはお早めに。

 

そのソフトは何? という人は調べてみてください。

その有用性に驚かれると思いますよ。

 

 

ではでは。

 

Arduino Q

さて、タイトル通りArduino Qです。

ってこれで終わりですが、興奮して記事書いてます。(笑)

調べればすぐでてきますが、Arduinoの新製品ですね。

LinuxマイコンのDual構成という衝撃のハード構成です。

 

これすごいですねえ、互いの利点を最大化してアプリをつくれちゃう

んですね。

Linux側はArm (Cortex)みたいですが、これでNodeRed動かせるのかな。

フロントをNodeRedにして、マイコン側でI/O制御してもできますね。

逆にマイコン側で通信制御してOSジッタなく定周期で回すのもありかな。

 

Arduino側でIot絡みがちょっと面倒なのをLinux側に渡して、負荷分散すれば

いい感じになりますな。

言語は C++,PythonとのことでNoderedでJavaScriptも使って、

もうね言語は何でも有り。

私のベースはPascalというのはご存知かと思いますが、

私みたいな雑食にぴったり(笑)

 

SBC運用もできるみたいなので、単体でも閉じれる。

夢が膨らみすぎですよ。

 

ということで今から買います!!

 

ではでは。

 

海外アクセスを遮断したい

さて、お一人様サーバーも世界中に公開している1つの

サーバーです。

その情報はDNSに登録されどこからもURLでアクセスできてしまいます。

なのでセキュリティーには十分注意しないといけないですね。

なのでお一人様の利点を活かして、「日本国内からのみアクセス」

というポリシーを実現できますね。(笑)

そう私は日本国内にいますので、海外からのアクセスは不要な理由です。

(出張いったらとかは....別途ね)

 

これなかなか難しいのですよね。IPTablesでIPが海外からかどうかを

調べればできますが、膨大になりますしメンテも必要でしょう。

なので自力はすぐに諦めて清くCloudflareに頼みます。(笑)

 

というか、最初からこの機能頼みですが、CloudflareにはAccessという

のがあるのでアプリとしてurlを登録するとDNSでproxyされていれば

入口の所で、がっつりアクセスコントロールしてくれます。

この条件に日本のみという指定があるのでこれを入れておきます。

ポリシー設定ですね。

そうすればTOPのURL指定で日本国内のみというポリシーで通して

くれます。

本題はでは本当に大丈夫かを確認したくなるので

下記サービスを見つけてあります。

 

www.locabrowser.com

です。

そう無料で世界の拠点からアクセスしてもらって結果画面を出してくれる

というサービスです。なんて便利!!!

結果を見るとちゃんとCloudflareで弾いてくれる画面がでてきます。

大丈夫そうです。

これだけでアタックをだいぶ減らせるのではないかと思います。

日本からの場合、まず日本国内で通過して、そのあと認証画面へ

飛ぶようにします。

Cloudflareの認証を入れます。これはいろいろな方法がありますが、

Google認証とかも使えますが、設定の敷居が高いので

メール認証にまだしています。

指定したメールにOTP(ワンタイムパスワード)が飛ぶので

それを入力すると一定期間はその端末から認証済みになり通過できます。

まあよくある認証形態ですね。

これを通過するとやっと、アプリのログイン画面がでてきて、

ユーザー名、パスワードの入力をしてログインになります。

 

長いですか?(笑)

でもこれくらいしても、安心感のほうが大きいですかね。

まあCloudflareの認証は一定期間の設定ができるので、一度入れば

再認証はなく、アプリ側もブラウザのパスワード記憶で入るので

毎回認証の手間は発生しないので、実用的に使えます。

 

お一人様サーバーなので自分以外のログインはないので、これでいいのです。

世界中にアプリのログイン画面を公開するのがいやだったので

この設定には満足です。

 

では、VPNログインだけにして公開しなければいいのではという考えも

ありますが、VPN環境でなくても使えるので利便性との兼ね合いを考慮

しています。家族のスマホVPNソフト入れては苦情がきます(笑)

もちろんVPNでないと見れないサービスも立ち上げています。

 

最近のランサムの乗っ取りはVPN機器とのことですが、VPN専用

機器の脆弱性ですかねえ。

私はそんな機器持ってないのでわかりませんが。

個人レベルではソフトウェアVPNでゼロトラストVPNが潮流ですかね。

時代はゼロトラストでして、これが崩れると困る(汗)

 

今回はCloudflareの機能とそれを確認するサービスのご紹介でした。

 

ではでは。

Proxmoxがラズパイで!!

さて、タイトル通り以上のことはありません(笑)

 

知りませんでした。Proxmoxがラズパイで動くなんて!!!!

仮想マニアの私ですから、飛びつかない訳ないですね。

 

会社でProxmoxを立ち上げて便利に使っていますが、

こんな楽しそうなもの家のラズパイでも動いたらいいなとは思っていました。

いや知らなかった。

じゃあReactOSとか動いちゃうのか? 

など妄想が膨らみます。

ゲストOS側を何にしようかと考えているのですが、現実はHome Assistant

のOS版を入れるのが一番ありがたいですな。Matter対応はOS版でないとね。

 

ただメモリが少ないのでLXCコンテナでDockerとかそんな

感じに落ち着くのかな。

LXCコンテナのUbuntuを使ってますが、起動は早いですよ。

 

週末の遊ぶネタができたと喜ぶ私です。

 

ではでは。

メール送信元の信頼性を上げる

さて、最近はメールシステムの構築で遊んでいるわけですが(笑)

メールサーバーは奥が深いです。

Postfixだけでも無数の設定があり、適切に設定しないと正しく運用できません。

10年ほどサーバー管理をやっていたので、そこは覚悟の上ですが、

メールのポートはアタックが来るので日々戦いです。

結局Postfixの信頼性は10年経っても変わらない。

大手レンタルサービスでも使われていますし情報も豊富です。

 

それでメールの信頼性という話をします。

Gmailの受信基準は厳しくて送信元の身元証明の設定をしっかりしないと

弾かれます。

このキーワードがDKIM,SPF,DMARKです。

Gmailへ届いたメールの原文が詳細表示で見れます。

すると認証状況が表示されます。それが上記の3つのキーワードです。

3つともPASSで合格しているのが理想です。

個人でメールサーバーを運用していてもこの基準に合うように構築します。

結局DNSを自分で操作できないと駄目です。

DNSを通して送信元の証明を得るからです。

大手レンタルサーバーのメールはこのあたりを自動的に捌いてくれます。

 

個人の場合これを自分の設定でやるのは面倒なので、私はメールリレーサービス

であるMailGunでリレーしています。そうするとこのあたりを設定しないと

サービスが使えないので、ガイドに従いDNSを設定すればOKです。

Gmailへメールして結果を見るとすべて認証になっています。

この方法が一番お手軽だと思います。1日あたり100通が制限ですが、

まあ個人なんで十分です。

無料ですが、使わないとアカウント止められても困るので自動で1日

1通MailGunを使う処理を入れています。(笑)

 

みなさんもメール構築する際はこの認証のことを気にしましょう。

メールの知識が深まります。

 

ではでは。