2022年8月、ホームページを全面リニューアルしました! 情報を分かりやすくお伝えできるサイト作りを目指してまいります。

DNSの逆引き設定の意味!

まず、始めに解って欲しいのは、ここで話すことはサーバサービスとしてのBINDの逆引きの実際の設定方法の話ではない。本来のDNSの逆引きの設定は、 ここ など参考にすればいかがであろう。
独自ドメインを取得してIPにホスト名を乗せてサーバ(以降、鯖と言う)を公開することが自鯖野郎の醍醐味ではないだろうか。しかし、最近ちょっとふに落ちない事がある。それは、今まで殆ど見向きもされてこなかったDNSの逆引き設定がこのところ必要に迫られている。それというのも、メールサーバである。従来から、メールというとワーム、SPAM等でユーザを苦しめている背景がある。えたいの知れない馬鹿どもが無意味な悪質な行為で人々を苦しめている。逆引き設定が重要視されてきた背景は、これが原因であろう、最近はそう言った悪人からのメールをブロックするために、自メール鯖で相手先のメール鯖の正・逆引きの整合性をチェックするようになってきた。

1.メール鯖による正当性のチェック

自社のメール鯖から目的のメール鯖へSMTPプロトコルでメールが配送されが目的のメール鯖で正引きと逆引きの整合性をチェックされて、正引き結果と逆引き結果が合わなかったため、送られてきたメールは拒否された。拒否されたときのメールログのエラー内容は、以下である。

reject=550 5.7.1 Access Denied

このメッセージは、特定のドメイン拒否あるいは、不正中継をやらかして自分のメール鯖がブラックリストにリストアップされていて相手先のメール鯖でチェックされて拒否されているメッセージと同じなので間違えやすい。

2.メール鯖で逆引きチェックを行うようになった理由

この傾向は、昨今のSPAM業者等などの悪質な数多いメール鯖は、DynamicDNSで鯖が構築されていると言う現状があった。ご存じの通り、DynamicDNSでは逆引き設定は限りなく不可能である。したがって、メール鯖自体で正・逆引きの整合性のチェックを行って不合格な鯖から来たメールは拒否すればいいことになる。
しかし、この正・逆引きの整合性が合わなければ正規の鯖にあらず!と言う考えは非常に短絡的な発想であり、常識的なDynamicDNSでメール鯖を立てている人々も居るのも確かだし、正引きのみ対応の固定IP鯖も世の中には数多くあり、このような鯖からの大切なメールも拒否してしまうと言う不都合が起きる。俺が考えるに、真に短絡的で幼稚な対策である。

3.とはいっても世の中不条理な方向を向いている

逆引きが出来なければ、正規の鯖にあらず!」と唱えてるのは、S25R理論という。S25Rは、SMTPサーバへコネクトしてきたホストをDNS鯖で逆引きして、そのホストの正当性を評価して可否を判断する仕組みである。S25Rは、場合によっては全てのメールサーバの柔軟性を欠いてしまう手段だと思う。そうはいったものの、このところ有名大学、有名企業などのメール鯖で正・逆引きの整合性のチェックが行われているのを現実として受け止めなければならない。将来的にも、正・逆引きチェック有りのメール鯖は少しずつ増加傾向になると考える。こう言ったことから、次の項ではISPによる逆引き設定を俺の事例で説明したいと思う。逆引きの意味は、「逆引きが使われるときはどんなときか?」と言う記事を松浦氏が書いている。俺は正にこの通りだと思う。

4.インターリンク と KDDI の固定IPサービス

通常ISPからIPアドレスを貰った場合(例えば、KDDI)、例えば8個のIPアドレスなら鯖として使えるIPは5個となる。内訳は、以下のようになる。
■ 初めの1つ目はネットワークアドレスとしてリザーブ。
■ 最後は、ブロードキャストアドレスとしてリザーブ。
■ 初めから、2つ目はルータのアドレスとしてリザーブ。
このような事から、残り5個使えると言うことになる。
さて、ISP側にDNSを設置していないISPでは、このIPアドレス5個の中から1個を使って必ずDNS鯖を作らなければならない。そして、このDNS鯖はISP側で自分のオリジナルドメインとIPアドレスの管理鯖として登録される。そして、逆引き設定をしたい場合は必ずこのDNS鯖で行い、支給された8個のIP空間の逆引き設定に関しては全てこのDNS鯖が担当し、逆引きの問い合わせに対しても、このDNS鯖へ向く事になる。何故こういう言い方になるのかというと、「DNSを考える場合、正引き(ホスト名からIPアドレスを引く)は別名という考え方があるので、複数のホスト名に対して一つのIPアドレスを割り当ててもかまわない。しかし反面、逆引き(IPアドレスからホスト名を引く)は、IPアドレスとホスト名が一品一様でなくてはならない。したがって、逆引き設定は一元管理が要求される。」と言うことである。つまり、正引きは複数台のDNS鯖で管理できても、逆引きは一台のDNS鯖で管理せよ!と言うことだ。

ISPが変わって、インターリンクの場合はKDDIと同じく固定IPサービスが有るがKDDIとの違いは、インターリンクのIP網の中にDNS鯖があり、各ユーザにIPアドレスを配布した時点ですでに逆引きホスト名が振られている。例えば、

[ 管理コード ]@xx.il24.net

こんな感じだ。
このように、逆引き設定はISPからIPアドレスを支給されたら何も考えずにDNS鯖を立て逆引き設定をすれば良いという物ではない。ISPの形態(大元のつまり上位のDNS鯖がISP内に設置されているか、そうでないか)を確認するべきである。ISPのほとんどは、ISP内の上位のDNS鯖で既に逆引き設定されており、IPアドレスに対するホスト情報が決まっている可能性が高い、したがってISPにぶら下がる皆様は、いくら自鯖のDNSで逆引き設定しても無意味であり、その結果は反映されない。したがって、逆引き設定をしたいので有れば、ISP側の有償の逆引きホスト登録サービス(インターリンクでは、MOOTサービスと言う)でホスト登録を余儀なくされる。つまり、ISP毎にその形態にあった逆引き設定の手順を踏まなくてはならないことになる。俺自身、この自鯖でMOOTサービスを使っている。既に、自鯖を立てようと決心したときからインターリンクの固定IPサービスでMOOTも行っている。
最後に、 hodogaya.org さんが 「おまけ:MOOTって必要なの?」って言うネタを書いているが、俺は、MOOTをやっているので偉そうな事は言えないけど、hodogaya.orgさんのこの内容の通りだと思っている一人だ。しかし、逆引き設定が珍重されようとしてる現在では、MOOTサービスの価値が少しずつ脚光を浴びそうである。だが、俺個人的には逆引きに重みを付けるのは間違いだと思っている!

以上

コメント