_ 出た。予想よりずっと早かった。 3週間前の時点でのかんたんなまとめ。機能的にいちばん大きなのは postscreenの追加ぐらい(しかも、使えないわけではないがよほどの物好きでもなければもっと枯れるのを待った方がいいよ、てな感じ)で、さほど大きな変更はない。2.5 だったか 2.6 だったかで機能的にはほぼ完成したと宣言してるわけだし、さらなる機能追加よりも性能改善とかの方が主。いま困ってない人はムリに飛びつく必要はないね。
_ もっとも、RPM のバージョンがいまだに 2.3.x の RedHat はとっとと上げるべきだと思うけど。2.3 は milter の実装が中途半端すぎる。spam/virus フィルタつきのメールサーバを作るとき、milter を使うか使わないかで構成がまったく変わるのに、RedHat/CentOS では選択の余地なく古くさい構成にせざるを得ないのはよろしくない。
_ 上の postfix とはまったく関係ないんだけど、メールまわりで思い出した。だいぶ前、各種の blog やら wiki やらのツールを調査したことがあったんだけど、そのうちのかなりのものがメール送信まわりが腐ってた。なんでどいつもこいつもデタラメな envelope from でメールを送るのかな。
_ SMTP で送るものは、プロトコル的に MAIL FROM: を指定しないと送れないわけだから、とりあえずは適当な値を設定していて問題ない(一部その内容があやしいものもあったが)。が、sendmail コマンドを叩くものはほとんどが from の指定なしで送りやがる。SMTP と sendmail のどちらかを設定で選択できるものでも、両方同じように from を指定してくれればいいのに、sendmail を使う場合は何もしないで送るのがほとんど。一方でできるのならもう一方でもちゃんと設定しろよ。from を指定してメールを送れるメソッドをわざわざ定義してるのに、せっかくのそのメソッドを from 指定なしで呼ぶなんてガッカリなものまであった。
_ たしかに、sendmail コマンドはいちいち from なんか指定しなくたってメールは送れる。が、それは UNIX アカウントを持っているふつーのユーザがコマンドラインからメールを送るときは自分自身のアカウントで送るからそれなりに正しいアドレスで送ってくれることが以前は多かったからであって、実ユーザと紐づいていない web サーバ上の httpd が sendmail コマンドを叩いて正しいメールアドレスになるはずがない。ふつーのユーザかコマンドラインから sendmail コマンドを叩く場合だって、sendmail.cf がちゃんと設定されてないと user@MX-domain ではなく user@A-record になるだけで正しいアドレスになるとはかぎらないのに、まして user@ ですらなく apache@ とか何だそりゃ。バウンスを受けとる必要がないから適当でいいとか考えるなよ。正しいメールアドレスで送るなんて初歩の初歩なのに、なんでどれもこれもそろっておかしなアドレスで送ろうとするのか。SMTP で送るときにはできてるんだから、sendmail で送るときも同じようにやってくれ。
_ この不作法をやってるのはマイナーなものばかりじゃない。てゆーか、そんなに手が回らないからメジャーなものしか調べてない。MovableType とかひどかった。たしか WordPress もダメだったと思う(一部の場合だけだったかも)。初心者向け CGI 講座みたいなサイトにある例もほとんどダメ。PHP の mail()、 mb_send_mail()をオプション引数なしで呼んでるものも全滅。つーか、PHP のこの関数の仕様おかしすぎるだろ。
_ Web アプリからメールを送信させるなら、事前にユーザの正しいメールアドレスを設定させる。実際にメールを送るときは、そのアドレスをヘッダ from だけでなく、エンベロープ from にも設定する(sendmail -f user@domain)。この結果 X-Authentication-Warning が出るようになる(かもしれない)件は、そういうメール送信する Web アプリを開発して配布する人が責任を持ってドキュメントに対処方法を記述しておくべきこと。
_ なお、うちは apache@ と www@ からのメールをすべて捨ててます。
_ あちこちの DNS 屋さんたちで集まって、来たるべき DNSSEC な世界について腹の探り合いとか。といっても、こんなところにうかつに書ける内容なんてものはほとんどなく。DNSSEC って、手間が増えるわりにエンドユーザーから見たメリットが薄いんだよね。DNSSEC があっても毒入れが「できなくなる」だけで何か新しいことが「できるようになる」わけじゃないわけで。
_ 会場を飲み屋に移して酔っ払い談義。
- open resolver は撲滅したいよね -> google なんてことしてくれんだ
- やっぱり逆引き必須な考えは捨てよう、もうそんな時代じゃない
- OP25B は邪悪だ
- DNS でも OP53B をやれば ボット対策には確実に有効なはずだが、だからといって安易にやっていいわけじゃない
- DNSSEC の普及や、512バイト問題をかかえるホームルータ撲滅のための広報活動が必要だ
- AKB48 に対抗して TCP53 というアイドルユニットを結成して広報しよう
- いや、最初はとりあえず UDP53 というユニットにして、これがもし売れなかったらあらためて TCP53 を結成しよう
- 年齢を詐称したり妙な虫がついたりしないようメンバーは DNSSEC で署名済みだよ!
- やっぱりエロ重要、DNSSEC enable じゃないと名前解決できないエロサイトを作るしか