2005年08月16日

CNAMEs are prohibited in MX records

DNSサーバ BIND9 のCNAME, MXの正しい利用法については、
  @IT:メール/Webサーバを効率的に動かすゾーン設定(1/2)
  http://www.atmarkit.co.jp/flinux/rensai/bind903/bind903a.html
  http://www.atmarkit.co.jp/flinux/rensai/bind903/bind903b.html
の解説がとてもわかりやすいので、内容一部を引用します。
CNAME (Canonical Name) はホスト名に別名を付けるレコードで、ホスト情報を効率的に管理するために利用されることがありますが、資源レコードには使用できません。
■ Aレコードに別名ホスト名を指定したゾーンファイルは、BIND 9.2.1ではエラーとなります。
■ 他に、SOA, MX, NS, PTR, TXTなどの(CNAME以外の)資源レコードには別名ホストを指定しない ことが推奨されています。
設定ミスの有無を実際に確認するために、
DNS チェックサイト
    http://www.dnsreport.com/

などを利用します。
もし、MXレコードにCNAMEによる別名ホストを指定した場合、Info「fail」となります。

WARNING: One or more of your MX records points to a CNAME. CNAMEs are prohibited in MX records, according to RFC974, RFC1034 3.6.2, RFC1912 2.4, and RFC2181 10.3. The problem MX record(s) are: (例) メールサーバ(正規ホスト)名 -> 別名ホスト名 -> IPアドレス

ゾーンファイルに無駄な参照が発生し、DNSのキャッシュ機能のためにメールサーバにIPアドレスが正しく反映しないことがあるそうです。

Posted by support at 12:58 | Comments (0) | TrackBack (1)

2005年07月09日

セカンダリ(スレーブ) DNS サーバ の新たな問題

サーバをインターネットに公開する際、サーバ管理者がセカンダリ(スレーブ) DNS サーバを設定しないと、ルートネームサーバなどの過剰負荷の原因となったり、ネットワーク障害が発生しやすくなります。サーバを設定する個人のネチケット問題、レンタルサーバ会社やISP などの企業倫理上の問題となったことがありました。また、解決策として、たとえば
短い時間で DNS 管理者になる方法
  http://ftp.redhat.com/pub/redhat/linux/7.1/ja/doc/HOWTOS/japanese/DNS-HOWTO

5.6. スレーブサーバ
 
マスターサーバでゾーンが正しく設定できたら、少なくとも 1 台のスレーブサーバが必要になります。スレーブサーバはシステムを堅牢にするために必要なものです。マスターが落ちても、ネットにいる外部の人が、スレーブからあなたのドメインに関する情報を取得できるようになるのです。スレーブは、あなたのいるところからできるだけ離れたところに置きます。マスターとスレーブは、電力供給源・LAN・ISP・町・国、などを、できる限り共有していないことが望ましいのです。これらがすべてマスターと異なっているスレーブが見つかったら、それは非常に良いスレーブだと言えます。

という意見もありました。この問題の延長上のことなのかもしれませんが、最近では、セカンダリ(スレーブ) ネームサーバを悪用し、ドメインまで乗っ取るケースが発生しています。

セカンダリ DNS サーバの廃止や委託業者の変更などの理由により、ドメインの乗っ取りが可能な、危険な状態で放置されているものがあります。

  http://www.ipa.go.jp/security/vuln/20050627_dns.html
独立行政法人 情報処理推進機構 セキュリティセンター からの情報は、できるかぎり定期的にチェックすることが必要です。

Posted by support at 13:12 | Comments (0) | TrackBack (0)