この記事は、DNS温泉 Advent Calendar 2019　17日目の記事です。（2回目です）

https://adventar.org/calendars/4346

16日目は otsuka0752さんでした :)

otsuka752.goat.me

なんということでしょう。

浸透いうな先生が発表された論文に、私が書いたDNS移転失敗体験談のスライドを引用していただきました。みてみて、うれぴー。

http://www.e-ontap.com/blog/?date=20191206

書いてよかった失敗談。これでもう成仏できますって言ったらしなくて良いと言われました（何ｗ

で、論文には、共用メールサーバの脆弱性のお話がありました。 これで思い出した昔話があり、せっかくなので物語型にまとめておくことにしました。

昔々、随分前から付き合いのある社長（Hさん）さんからの依頼で、Hさんが管理しているホスティングサーバで（自分の修行も兼ねて）サーバ移転作業をしていたことがありました。 その時のご縁で、サーバのroot権限を頂いたままになり、何かの際には都度作業をご依頼頂いたりしていました。

しばらくご無沙汰になっていたところ、Hさんは闘病中だという投稿を見かけました。とても残念なことに、その後若くして他界され、Hさんの業務は別の方が引き継ぐことになりました。

Hさんの作業はHさんがメインで作業していたために、技術的な事については引き継がれる方は深くは知らなかったようでした。

その少し後、私と同じくHさんとおつきあいのあったYさんから、Hさんが管理していたサーバに置いてある自分のサイトを別のサーバに引越ししたいという依頼をうけました。

YさんはHさんのお仕事パートナーで、Hさんがホスティングを引受けていたお客様のウェブサイトを制作されていたのです。その時のご縁でYさんは友情価格でそのホスティングに自分のドメインを置いていたようです。 そういうところは気前の良かった方でした。

でもHさんが亡くなられましたから、いつまでも友情価格というわけにはいきません。別のサーバを借りることにしたと聞きました。 話は進んで、Hさんの後継者の方に引越しする事を連絡し、別のサーバに無事に引越しされたのです。

でも、すぐに問題が出てきました。

Yさんの引越し後、Yさんのお客様からYさんにメールが届かない、と言われるようになって困ってるという話が降ってきました。

はて、なぜでしょう。表側から調べてもわかりません。

私からHさんの後継者の方に確認してみました。Yさんのドメイン名は消されましたよね？って。それには、ちゃんと消しました、と回答がきました。 おかしいな。

私はそのホスティングサーバのコンパネを思い出しました。 そこで私はピンときました。

こう聞いてみました。

　「Yさんのドメイン名、消されたというのは削除ですか？それとも無効化ですか？」

するとこう返ってきました。

　「無効化ですよ」

どうやら、そのホスティングのコンパネのシステムは、「無効化」の場合、メールの内部配信を止めないのではないか、と予想がつきました。 そのサーバからきっちりYさんのドメイン名を消さないと、外部にメールが配信されないわけです。

でも無効化されていますから、Yさんはもうそのサーバにアクセスできない。

さあ、後継者の方にこれをどうやって説明したら良いのでしょう。 その方もHさんが亡くなられて様々な業務が降ってきてパニック状態の中、短時間で説明する勇気と自信はまったく持てませんでした。 後継者の方がなぜ「無効化」を選んだのかも予想がつきます。これから自分が全て管理、後始末をしないといけないのですから消すわけにはいかなかったでしょう。うっかり消したら会社の収支がわからなくなると考えるのが普通でしょうし。無効化の機能があれば使いますよね。

これらの話を伝えると、Yさんはこう言いました。

　「もういいよ、そのドメイン名を使わなければいいのよ」

ドメイン名を捨ててしまいました。大英断です。長年使ってきたドメイン名だったと思います。でも今までお付き合いのあったお客様とだけ、メールのやりとりができないドメイン名、どうしようもありません。

Yさんは新しいドメイン名を使うことにされました。

以上、昔話でした。

こういうドメイン名がらみの失敗(?)経験談って、あんまり表に出てこないですね。みんな隠さず話しましょうよ。（はっはｗ） いつかこれがシステムの脆弱性って言ってもらえる日が来るかもしれないんですから。

この話、老人会系の人に相談したら、きっとこう言われるんじゃないかな。

「それ、メールが届かないのは当たり前だよね」

昔はこれで当たり前だったと思うんです。当たり前過ぎて、誰が運用しているのかを見てくれないと思うんですよ。

たぶんね :P あれ？温泉どこいったｗ

追記： こういう事例だと、当該サーバからドメイン名の設定等々「削除」するまで絶対に浸透しません（浸透いうなって書いといてって言われたから書いたｗ）

追記２：

DNS移転失敗体験談を論文から引用してもらった話と、ホスティングのコンパネシステムだめじゃんな話 #DNS温泉 #Advent Calendar 2019 - ここはちょっと見せられない

DNS設定が成功していれば「Yさんにメールが届かないのは当該業者の共用メールサーバを送信に利用しているユーザ」だけだと思うので、これはYさんのドメイン名のDNS設定が正常になされてないだけなのではなかろうか

2019/12/17 00:39

この記事は、DNS温泉 Advent Calendar 2019　3日目の記事です。 adventar.org

2日目は 浸透いうな先生 の 「冬の北海道で温泉と DNS」 でした :)

www.e-ontap.com

念願のDNS温泉にようやく行けました。 今まで何度も指くわえて眺めていた温泉（いろんな意味で初温泉※）なので、行けてほんとに良かったです。

その時の振り返りを書かねば、と思ってたらアドベントカレンダーを @fate_fox 氏と @cam_i8 氏が立ち上げてくれてたので、それにほいほいと乗っかることにしました。

なんせ自分、おかん業をしているので、おかん一人だけ泊まりで温泉に行くというのは、家族（子供だけじゃなく）をどうするか、って話になります。 まあ下の子がもう中学にあがったこともあり、連れに向かって泊まりで温泉行ってきてもいいかと言うたら「どうせ好きなようにするんだろう」という趣旨の返事を受けたので、言葉を言葉通りに受け取って行くことにしました。

一人で旅行に行くとか、もう２５年ぶりくらいなわけですよ。４半世紀越えとるやん。今まで俺は一体何をやっていたのだ。もっと旅行に行っててもよかったんじゃないか？と、極めておとなしく内心かなりウキウキで行ったのでした。俺もっと遊びに行っていいよな。これからももっとあちこち行こう。

そんでそれがDNS温泉というディープで他に類を見ない勉強会なわけで、自分的には @tomocha と一緒に初対面でお泊りできたので大変に光栄かつ楽しゅうございました。女子枠いいね女子枠。温泉よかった、すげーよかった。 温泉の湯船までの間に、畳が敷かれているんですよ！ 湯船には薔薇。 なにこの優雅さ。天国か。

そして畳で寝ようとするtomocha。（※風呂です）

＜追記＞ tomocha がアップしてくれたー！

畳のお風呂はこちらです！ pic.twitter.com/YWtnPirQXo

— tomocha(とも ちゃ)@就職活動中 (@tomocha0) 2019年12月3日

前置きが長くなりましたが、DNSですよ。

VITOCHA 入門

sim.internot.jp

そーいや数年前に、tktkセキュリティ勉強会 で Micro Hardening を体験させてもらったのを思い出します。この時もハンズオンで、チームを組んで競技するというものでした。 tktksec.connpass.com

この温泉では鈴木先生の講義形式です。運営メンバーがTAとしてサポートについてくれます。 なんか自分、大学生みたいですよ。いいなあ、パソコンもって授業受けられるって。自分が大学生のときにはポケコンでしたよ（古

vitochaのovaファイルはvboxでインポートするだけですから手間いらずでした。手順書の通りに進めればほさくっと完了。アプライアンスの容量がでかいので、移動中に予習しようとして取得なんぞしたらギガが無くなっちゃいますから、これはゼッタイに移動前にやっておくべき。

VITOCHAは予めインストールしていったものの、VBOXのネットワーク設定になかなか慣れてなくて手間取ってしまい、少しみなさんの時間を止めてしまいました。申し訳なかった感じ。

CLIでの操作に慣れていないとかなり厳しいと思います。 主婦の嗜みとして普段からwhoisとdigは操って置くべきです（違

中には漢のFreeBSDが入ってます。vimないです。 ubuntu使いの軟弱な私はすっかり軟弱なツールに慣れてしまっているので、自分軟弱だったわ！って気がつくことができます。

マニュアルはここにあるので、思い出しつつ後でも見ながら作業できそうですよ。 http://sim.internot.jp/vitocha/vitocha_guide.pdf

手を動かしつつ設定を確認し、権威DNS、キャッシュDNSの挙動をdigりながら応答を見ていきます。 ゾーンデータのありかも講義でわかりましたから、あとは自分で試すだけです。

こういう設定にしたら、こういうふうに問い合わせたらこっちのほうが先にキャッシュされるから・・とかいろいろ妄想してたものは全部自分で試せるわけで、あとは自分で検証せよ、と神からのお告げが聞こえます。

カフェイン中毒からも脱却できたようなので、折を見てやってみようっと。

まあ、暇ができたらやろう、とか思ってたら仕事と子供優先でなかなか進まないので、本当は誰か巻き込んで一緒にやってみたいところではあります。 でも「一緒にインターネットシミュレータの勉強しようよ」とか言ってノッてくれる同レベルの友達はたぶん居ないので孤独にtwitterに向かって吐き出しながらボチボチやるつもりです。

誰かvitocha友達になってください。

んで、失敗談の発表もしてきたんですよ。 でもいい感じに酔っ払ってあんまり覚えてなかった＼(^o^)／ だめじゃん！

セキュリティのセミナーとか、動画とか別になんも見なくていいから。

とりあえず、コンパネのメニュー全部クリックして、どんな設定ができるか見てみ。

sakura とかおすすめ。

CPIちょっとわかりにくいかも。変につなぎ合わせたコンパネになっちゃったしね。

kagoyaは最近リニューアルされたけど、まあ基本は前のまま。メール関係がかなりわかりにくくなってるのは、メールボックスとメールアドレスの管理が別になってるから。

webarena は地味に良くなってきてはいる。

ロリポ、PHP7.3 そろそろ来ないか。 来てたわ。

lolipop.jp

ログは可能な限り残すんや。

海外からのアクセス制限は可能なら設定しよう。

WAFがあるなら設定しよう。

バックアップはもう無料で取れる時代なんや（レンサバである限りは！）。　更新頻度を見て適度にジョブ回しとくんや。

あと、レンサバからのお知らせのメールは絶対受け取らなあかん。ちゃんと読みや。

JPCERTのメールも受け取っときや。

あと、古い契約でなんの案内も出さず中身なんも更新の無いサーバからは逃げ。

現場からは以上です。