「OpenARC」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(英語版より新規作成)
 
(→‎参照: add TranslationStatus)
 
(同じ利用者による、間の7版が非表示)
5行目: 5行目:
 
ARC は、Microsoft、Google、Fastmail、Proton Mail を含む、ほとんどの一般的なメールプロバイダーによってサポートされています。
 
ARC は、Microsoft、Google、Fastmail、Proton Mail を含む、ほとんどの一般的なメールプロバイダーによってサポートされています。
   
== The idea ==
+
== 概念 ==
   
  +
DMARC は、送信者のドメインが SPF および/または DKIM によって保護されたメッセージを示し、メッセージの SPF および/または DKIM のチェックに失敗した場合に受信サーバーがどのような措置を取るべきかを示します(たとえば、受信サーバーはメッセージを拒否することができます)。
DMARC allows a sender's domain to indicate that a message is protected by SPF and/or DKIM. DMARC also indicates what a receiving server should do if a check of the message's SPF and/or DKIM does not pass (the receiving server can reject the message, for example).
 
   
  +
しかし、メールがメーリングリストやメールフォワーダーを通じて送信される場合、中間サーバーがメッセージに加えた変更のために DKIM または SPF のチェックが失敗する可能性があります。合法的なメッセージのこのような失敗を防ぐために、ARC が作成されました。
However, when an email is sent through a mailing list or mail forwarder, DKIM or SPF checks might fail due to those intermediary servers making changes to the message. To prevent this failing of legitimate messages, ARC was created.
 
   
  +
ARC は ARC ヘッダーを使用してメッセージに再署名します。これらのヘッダーにより、誰がメッセージを変更したか、および中間サーバーによる変更前の認証状態を知ることができます。
ARC re-signs the message with ARC headers. These headers allow us to see who modified the message, and what the state of authentication was before the modifications by an intermediary server.
 
   
  +
中間サーバーによるメッセージの変更後に SPF および/または DKIM のチェックが失敗する場合(上記参照)、有効な ARC チェーンがあれば、受信サーバーはそれを信頼していれば、メッセージを通過させることができます。ARC チェーンにより、受信メールサーバーは(古い)SPF および DKIM の結果を抽出してチェックに合格させることができます。
After changes to the message by an intermediary server, SPF and/or DKIM checks might fail (see above). However, if there is a valid ARC chain, then a receiving server can still pass the message, if it trusts the intermediary server(s), as the ARC chain will allow the receiving mail server to extract the (old) SPF and DKIM results, which will pass the check.
 
   
See [[RFC:8617|RFC 8617]] for more information.
+
詳細については [[RFC:8617|RFC 8617]] を参照してください。
   
== Installation ==
+
== インストール ==
   
  +
{{AUR|openarc}} パッケージを[[インストール]]してください。
[[Install]] the {{AUR|openarc}} package.
 
   
== Configuration ==
+
== 設定 ==
   
The main configuration file for the signing service is {{ic|/etc/openarc/openarc.conf}}.
+
署名サービスのメイン設定ファイルは {{ic|/etc/openarc/openarc.conf}} です。
   
* Create an empty configuration file {{ic|/etc/openarc/openarc.conf}}, or copy/move the sample configuration file {{ic|/usr/share/doc/openarc/openarc.conf.sample}} to {{ic|/etc/openarc/openarc.conf}} and change or add the following options (See {{ic|openarc.conf(5)}} for details):
+
* 空の設定ファイル {{ic|/etc/openarc/openarc.conf}} を作成するか、サンプル設定ファイル {{ic|/usr/share/doc/openarc/openarc.conf.sample}} {{ic|/etc/openarc/openarc.conf}} にコピーまたは移動し、以下のオプションを変更または追加します(詳細は {{ic|openarc.conf(5)}} を参照):
   
 
{{hc|/etc/openarc/openarc.conf|
 
{{hc|/etc/openarc/openarc.conf|
39行目: 39行目:
 
}}
 
}}
   
* Socket address is the one specified in {{ic|/etc/postfix/main.cf}}. This is what {{ic|/etc/postfix/main.cf}} should contain:
+
* ソケットアドレスは {{ic|/etc/postfix/main.cf}} で指定されているものです。これが {{ic|/etc/postfix/main.cf}} に含まれるべき内容です:
   
 
{{hc|/etc/postfix/main.cf|2=
 
{{hc|/etc/postfix/main.cf|2=
48行目: 48行目:
 
}}
 
}}
   
  +
* 秘密署名キーを生成するには、メールを送信するドメインと、キーを参照するために使用するセレクタを指定します。セレクタは任意の値です。RFC で詳細が説明されていますが、英数字の文字列で問題ありません:
* To generate a secret signing key, specify the domain used to send mails and a selector which is used to refer to the key. The selector may be any value. See the RFC for details, but alpha-numeric strings should be OK:
 
   
 
# opendkim-genkey -D /etc/openarc/keys -r -s myselector -d example.com
 
# opendkim-genkey -D /etc/openarc/keys -r -s myselector -d example.com
 
# chown -R openarc /etc/openarc/keys
 
# chown -R openarc /etc/openarc/keys
   
  +
* syslog へのロギングを有効にする場合は、次のようにします:
* If you want logging to syslog, enable it as follows:
 
 
{{hc|/etc/openarc/openarc.conf|
 
{{hc|/etc/openarc/openarc.conf|
 
...
 
...
59行目: 59行目:
 
...
 
...
 
}}
 
}}
  +
* OpenARC に署名するヘッダーを設定するには、例えば次のようにします:
* To tell OpenARC which headers to sign, configure them for example as follows:
 
 
{{hc|/etc/openarc/openarc.conf|
 
{{hc|/etc/openarc/openarc.conf|
 
...
 
...
65行目: 65行目:
 
...
 
...
 
}}
 
}}
  +
* PeerList には、このフィルターによって署名または検証されるべきではない IP アドレス、CIDR ブロック、ホスト名、またはドメイン名のリストが含まれています。これは、例えば、あなたのローカルメールを除外するために使用することができます。このファイルは、存在しない場合に作成する必要があります。
* The PeerList contains a list of IP addresses, CIDR blocks, hostnames, or domain names, whose mail should be neither signed, nor verified by this filter. This can be used to exclude your local mail for example. This file needs to be created if it does not yet exist.
 
 
{{hc|/etc/openarc/openarc.conf|
 
{{hc|/etc/openarc/openarc.conf|
 
...
 
...
71行目: 71行目:
 
...
 
...
 
}}
 
}}
  +
* その他の設定オプションも利用可能です。ドキュメントを必ず読んでください。
* Other configuration options are available. Make sure to read the documentation.
 
* [[Enable/start]] the {{ic|openarc.service}}.
+
* {{ic|openarc.service}} を[[有効化/起動]]してください。
   
== Postfix integration ==
+
== Postfix との統合 ==
   
To integrate ARC using unix sockets, add the postfix user to the openarc group and edit the OpenARC and Postfix configuration files as follows:
+
ARC unix ソケットを使用して統合するには、postfix ユーザーを openarc グループに追加し、OpenARC および Postfix の設定ファイルを次のように編集します:
   
 
{{hc|/etc/openarc/openarc.conf|
 
{{hc|/etc/openarc/openarc.conf|
87行目: 87行目:
 
unix:/run/openarc/openarc.sock
 
unix:/run/openarc/openarc.sock
 
non_smtpd_milters = $smtpd_milters
 
non_smtpd_milters = $smtpd_milters
milter_default_action = accept
 
 
}}
 
}}
   
== Security ==
+
== セキュリティ ==
   
{{Note|This section is copied from the [[OpenDKIM#Security]]}}
+
{{Note|このセクションは [[OpenDKIM#Security]] からコピーされました}}
   
  +
OpenARC デーモンのデフォルト設定はセキュリティの観点から理想的ではありません(すべてが些細なセキュリティ問題です):
The default configuration for the OpenARC daemon is less than ideal from a security point of view (all those are minor security issues):
 
   
  +
* OpenARC デーモンは {{ic|root}} として実行する必要はまったくありません(既に提案された設定では OpenARC が自身で {{ic|root}} 特権を放棄しますが、systemd がそれをもっと早く行うこともできます)。
* The OpenARC daemon does not need to run as {{ic|root}} at all (the configuration suggested earlier will have OpenARC drop {{ic|root}} privileges by itself, but systemd can do this too and much earlier).
 
  +
* メールデーモンが OpenARC デーモンと同じホスト上にある場合、localhost tcp ソケットは必要なく、unix ソケットが使用でき、これによって古典的なユーザー/グループのアクセス制御が可能になります。
* If your mail daemon is on the same host as the OpenARC daemon, there is no need for localhost tcp sockets, and unix sockets may be used instead, allowing classic user/group access controls.
 
  +
* OpenARC はデフォルトで {{ic|/tmp}} フォルダを使用していますが、追加のアクセス制限を持つ独自のフォルダを使用することができます。
* OpenARC is using the {{ic|/tmp}} folder by default whereas it could use its own folder with additional access restrictions.
 
   
  +
以下の設定ファイルはこれらのほとんどの問題を修正し、systemd サービスユニットで不要なオプションをいくつか削除します。最初に不足しているディレクトリを作成します:
The following configuration files will fix most of those issues (assuming you are using Postfix) and drop some unnecessary options in the systemd service unit. First, create a missing directory:
 
   
 
# mkdir /var/lib/openarc
 
# mkdir /var/lib/openarc
   
  +
その後:
Then:
 
   
 
{{hc|/etc/openarc/openarc.conf|
 
{{hc|/etc/openarc/openarc.conf|
132行目: 131行目:
 
WantedBy=multi-user.target
 
WantedBy=multi-user.target
 
}}
 
}}
 
Edit {{ic|/etc/postfix/main.cf}} accordingly to make Postfix listen to this unix socket:
 
   
 
{{hc|/etc/postfix/main.cf|2=
 
{{hc|/etc/postfix/main.cf|2=
141行目: 138行目:
 
}}
 
}}
   
== See also ==
+
== 参照 ==
   
 
* [https://arc-spec.org/ ARC Specification for Email]
 
* [https://arc-spec.org/ ARC Specification for Email]
* [https://support.google.com/a/answer/13198639?sjid=11753547348378417451-EU ARC email authentication - Google Workspace Admin Help]
+
* [https://support.google.com/a/answer/13198639?sjid=11753547348378417451-EU ARC メール認証 - Google Workspace Admin Help]
* [https://proton.me/blog/what-is-authenticated-received-chain-arc "What is Authenticated Received Chain (ARC) and why does it matter?" by Proton Mail]
+
* [https://proton.me/blog/what-is-authenticated-received-chain-arc "Authenticated Received Chain (ARC) とは何か?なぜ重要なのか?" by Proton Mail]
* [https://www.fastmail.com/blog/what-is-arc/ What is ARC - by Fastmail]
+
* [https://www.fastmail.com/blog/what-is-arc/ ARC とは - by Fastmail]
* [https://postmarkapp.com/blog/what-is-arc-or-authenticated-received-chain What is ARC - b y Postmarkapp]
+
* [https://postmarkapp.com/blog/what-is-arc-or-authenticated-received-chain ARC とは - by Postmarkapp]
  +
  +
{{TranslationStatus|OpenArc|2024-06-27|810264}}

2024年6月27日 (木) 22:26時点における最新版

OpenARC は、実験的な Authenticated Received Chain (ARC) メール認証システムのオープンソース実装であり、メーリングリストや転送サービスのような中間メールサーバーが、メールの元の認証結果に署名できるように設計されています。

ARC は、Microsoft、Google、Fastmail、Proton Mail を含む、ほとんどの一般的なメールプロバイダーによってサポートされています。

概念

DMARC は、送信者のドメインが SPF および/または DKIM によって保護されたメッセージを示し、メッセージの SPF および/または DKIM のチェックに失敗した場合に受信サーバーがどのような措置を取るべきかを示します(たとえば、受信サーバーはメッセージを拒否することができます)。

しかし、メールがメーリングリストやメールフォワーダーを通じて送信される場合、中間サーバーがメッセージに加えた変更のために DKIM または SPF のチェックが失敗する可能性があります。合法的なメッセージのこのような失敗を防ぐために、ARC が作成されました。

ARC は ARC ヘッダーを使用してメッセージに再署名します。これらのヘッダーにより、誰がメッセージを変更したか、および中間サーバーによる変更前の認証状態を知ることができます。

中間サーバーによるメッセージの変更後に SPF および/または DKIM のチェックが失敗する場合(上記参照)、有効な ARC チェーンがあれば、受信サーバーはそれを信頼していれば、メッセージを通過させることができます。ARC チェーンにより、受信メールサーバーは(古い)SPF および DKIM の結果を抽出してチェックに合格させることができます。

詳細については RFC 8617 を参照してください。

インストール

openarcAUR パッケージをインストールしてください。

設定

署名サービスのメイン設定ファイルは /etc/openarc/openarc.conf です。

  • 空の設定ファイル /etc/openarc/openarc.conf を作成するか、サンプル設定ファイル /usr/share/doc/openarc/openarc.conf.sample/etc/openarc/openarc.conf にコピーまたは移動し、以下のオプションを変更または追加します(詳細は openarc.conf(5) を参照):
/etc/openarc/openarc.conf
PidFile /run/openarc/openarc.pid
UserID  openarc:openarc
Socket  local:/run/openarc/openarc.sock

Mode                    sv
Canonicalization        relaxed/simple
Domain                  example.com
Selector                myselector
KeyFile                 /etc/openarc/keys/myselector.private
  • ソケットアドレスは /etc/postfix/main.cf で指定されているものです。これが /etc/postfix/main.cf に含まれるべき内容です:
/etc/postfix/main.cf
smtpd_milters = unix:/run/opendkim/opendkim.sock
    unix:/run/openarc/openarc.sock
non_smtpd_milters = $smtpd_milters
milter_default_action = accept
  • 秘密署名キーを生成するには、メールを送信するドメインと、キーを参照するために使用するセレクタを指定します。セレクタは任意の値です。RFC で詳細が説明されていますが、英数字の文字列で問題ありません:
# opendkim-genkey -D /etc/openarc/keys -r -s myselector -d example.com
# chown -R openarc /etc/openarc/keys
  • syslog へのロギングを有効にする場合は、次のようにします:
/etc/openarc/openarc.conf
...
Syslog  yes
...
  • OpenARC に署名するヘッダーを設定するには、例えば次のようにします:
/etc/openarc/openarc.conf
...
SignHeaders to,subject,message-id,date,from,mime-version,dkim-signature,arc-authentication-results
...
  • PeerList には、このフィルターによって署名または検証されるべきではない IP アドレス、CIDR ブロック、ホスト名、またはドメイン名のリストが含まれています。これは、例えば、あなたのローカルメールを除外するために使用することができます。このファイルは、存在しない場合に作成する必要があります。
/etc/openarc/openarc.conf
...
PeerList /etc/openarc/PeerList
...
  • その他の設定オプションも利用可能です。ドキュメントを必ず読んでください。
  • openarc.service有効化/起動してください。

Postfix との統合

ARC を unix ソケットを使用して統合するには、postfix ユーザーを openarc グループに追加し、OpenARC および Postfix の設定ファイルを次のように編集します:

/etc/openarc/openarc.conf
UserID  openarc:openarc
Socket  local:/run/openarc/openarc.sock
/etc/postfix/main.cf
smtpd_milters = unix:/run/opendkim/opendkim.sock
    unix:/run/openarc/openarc.sock
non_smtpd_milters = $smtpd_milters

セキュリティ

ノート: このセクションは OpenDKIM#Security からコピーされました

OpenARC デーモンのデフォルト設定はセキュリティの観点から理想的ではありません(すべてが些細なセキュリティ問題です):

  • OpenARC デーモンは root として実行する必要はまったくありません(既に提案された設定では OpenARC が自身で root 特権を放棄しますが、systemd がそれをもっと早く行うこともできます)。
  • メールデーモンが OpenARC デーモンと同じホスト上にある場合、localhost tcp ソケットは必要なく、unix ソケットが使用でき、これによって古典的なユーザー/グループのアクセス制御が可能になります。
  • OpenARC はデフォルトで /tmp フォルダを使用していますが、追加のアクセス制限を持つ独自のフォルダを使用することができます。

以下の設定ファイルはこれらのほとんどの問題を修正し、systemd サービスユニットで不要なオプションをいくつか削除します。最初に不足しているディレクトリを作成します:

# mkdir /var/lib/openarc

その後:

/etc/openarc/openarc.conf
BaseDirectory           /var/lib/openarc
Domain                  example.com
KeyFile                 /etc/openarc/keys/myselector.private
Selector                myselector
Socket                  local:/run/openarc/openarc.sock
Syslog                  Yes
TemporaryDirectory      /run/openarc
/etc/systemd/system/openarc.service
[Unit]
Description=OpenARC daemon
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
User=openarc
Group=openarc
ExecStart=/usr/bin/openarc -c /etc/openarc/openarc.conf
RuntimeDirectory=openarc
RuntimeDirectoryMode=0700

[Install]
WantedBy=multi-user.target
/etc/postfix/main.cf
smtpd_milters = unix:/run/opendkim/opendkim.sock
    unix:/run/openarc/openarc.sock
non_smtpd_milters = $smtpd_milters

参照

翻訳ステータス: このページは en:OpenArc の翻訳バージョンです。最後の翻訳日は 2024-06-27 です。もし英語版に 変更 があれば、翻訳の同期を手伝うことができます。