• AzOS 系統快速安裝
  • 快速設定步驟
  • 使用者手冊
01. 網路入門準備
02. 必備硬體設備
03. 快速安裝及設定
04. 安裝設置核認清單
05. SOFTWARE RAID
06. Q&A

選擇DNS代管

在網際網路上,想要建立可被大眾存取的伺服器,這是必要的準備步驟。以下我們先用圖表再搭配文字說明,讓您能一目暸然,只要按圖操作,即可快速進入網路的世界。

選擇DNS由託管DNS業者代管 ---取得固定IP位址、網域名(域名)、域名伺服器及相關設定步驟

TOP

基本網路設定

在閱讀本章前,請確認您已經閱讀過【AzOS 系統快速安裝】中的快速安裝及設定

在此僅說明如何將系統連接上網際網路。
在以光碟安裝系統時,最後會出現設定主機IP位址的畫面:

1  IP Address (IP位址):192.168.19.185
2  Netmask (子網路遮罩):255.255.255.0
3  Default Gateway (預設閘道):192.168.19.1
4  Save Changes and Exit (儲存更改並離開)
5  View Detected Ethernet Interface(s) (檢視系統偵測到的網路介面)
6  Exit to Use DHCP by Default (直接離開並使用DHCP分派)

這個控制檯設定介面裡的操作,可以利用上下箭頭鍵選擇您所需要編輯的選項,然後按ENTER鍵來選定該選擇項目,以作進一步設置。

系統有兩種設定方式,您可以依您所偏好的方式,或是根據當時的網路環境,來決定該使用何種方式來設定,請選擇A或B:

A. 已擁有固定IP的情況下設定的方式。如固接式網路或是原網路中有DHCP主機的存在。
B. 沒有固定IP的情況下設定的方式。如浮動式網路PPPoE或有線電視網路CABLE。

 

選擇A---

A-1. 利用選項1、2、3,將固定IP設定完畢,使用選項4儲存離開此控制檯設定畫面。(如不清楚子網路遮罩及預設閘道,可以參照您的ISP業者給予的竣工單)
1  IP Address (IP位址):____________________
2  Netmask (子網路遮罩):_____________________
3  Default Gateway (預設閘道):___________________
4  Save Changes and Exit (儲存更改並離開)

A-2. 將光碟取出,重新開機。

A-3. 用遠端連線或是子網路來瀏覽系統的控制畫面。您所擁有的固定IP是公共IP還是私有IP?
公共IP(Public IP),直接在一般擁有網路連線的PC瀏覽器上,輸入http://Public_IP:8082即可連上
   系統第一次登入的設定畫面。
私有IP(Private IP),請使用連結在與此台新設定主機相同網路中的PC,在瀏覽器的網址列中輸入
   http://192.168.1.61:8082 (假設該新機器的私有 IP是指定為 192.168.1.61)或
   http://azstart:8082/(系統預設主機名稱),來連上系統第一次登入的設定畫面。

選擇B---

B-1. 選擇選項6 Exit to Use DHCP by Default(直接離開並使用DHCP分派),離開控制檯設定介面。

B-2. 將光碟取出,重新開機。

B-3. 您所安裝系統的主機下,是否有連結其他主機?
是,請確認此主機為唯一之DHCP伺服器(亦即此網域內不應再有其他DHCP存在,如IP分享器之屬),
   再直接從B-5開始。
否,請將基本網路架構架設好。您可依B-4的提示,做好最基本的網路連線架構。

B-4. 首先將連接主機eth1端口之網路線的另一端連接到Hub上,再從Hub上接另一條網路線出來,連接到一台普通的用戶端電腦。

B-5. 在系統主機底下所連結的子網域中,選擇一台用戶端主機。

B-6. 用戶端主機(假設是Windows的主機)中打開命令提示字元,輸入指令“ipconfig”後按Enter鍵,查看在區域連線中的Default Gateway是否為172.16.9.1?
是,可將命令提示字元視窗關閉,進到下一步。
否,輸入指令“ipconfig/release”將電腦中原有的舊IP釋放掉,再輸入指令“ipconfig/renew”取得
   新的IP。(倘若此動作仍舊無法得到新的IP,請檢查網路中是否還有其他DHCP存在,或是此用戶端
   電腦TCP/IP不是設定自動取得IP位址的模式)

B-7. 開啟瀏覽器,在網址列輸入 http://172.16.9.1:8082 來連結。在第一次登入畫面,您可以看到有4個欄位;
Host Name(設定此主機的主機名稱):_________________
Admin Password(系統管理密碼):系統預設密碼為 admin123
New Admin Password(設定新的密碼):________________
Confirm Password(再次確認新的密碼):_________________

B-8. 進入系統畫面後,點選System>>網路>>PPPoE,勾選啟動PPPoE的選項,在填入ISP業者提供的帳號密碼送出後,重新開機也就可以連上網路了。(如有相關問題可參閱快速安裝手冊的設定及Q&A)

※網路中有DHCP,但若在查看當前系統值時,發現eth0顯示偽IP 1.2.3.4,請檢查網路線是否有接錯(eth0、eth1兩者對調),或是其他網路設備有問題(可參閱本系統手冊中的Q&A)

TOP
04. 域名服務
08. 資料備份儲存
09. 網路電話 (VoIP)
10. 虛擬主機 (Virtual)
11. 系統(用戶端的介面)
12. 電子郵件(用戶端的介面)
13. VPN用戶端(用戶端的介面)
14. 資料備份儲存(用戶端的介面)
15. 網路電話(用戶端的介面)
16. 虛擬主機(用戶端的介面)

認證

在郵件認證的這個項目裡,所使用的方法是利用DNS檢查郵件傳送端的網域,去確認郵件是否來自合法的郵件伺服器。它不同於郵件內容過濾或是寄件者電子簽章。 我們僅簡短的介紹,電子郵件會有哪些驗證的規則,讓使用者有足夠的了解去把這些認證的規則應用到電子郵件裡。而細節部分可參閱相關規範的標準文件。

最簡單被用來識別郵件的規則,是利用DNS反向查詢方式加上正向查詢,來驗證寄出郵件的IP位址是否符合在這些網域裡面。然而,這個方式比較沒有彈性,因為這個方式原本就不是設計用來驗證郵件的;這也是為什麼這種驗證的方式被用在SMTP以及常見的郵件偽造,在假的網域上被寄出。因此,真正的郵件識別方式與規則就這樣被提出來以解決如此的問題。

傳送端規則架構(Sender Policy Framework, SPF)、傳送端識別(SenderID, SID)、網域簽章(DomainKey) 以及網域簽章郵件識別(DomainKeys Identified Mail, DKIM) 都是用來驗證傳送端的網域是否合法。

DomainKeys和DKIM的操作

DomainKeys和DKIM的工作原理是類似的。DomainKey最初是由Yahoo提出的。後來,人們吸收了該觀念並提出了DKIM。它的概念是:生成一對公共密鑰和私有密鑰。“寄件者的郵件伺服器”運用私有密鑰,在外送的郵件上附上一個簽名;當這些郵件抵達“收件者的郵件伺服器”時,收件者的郵件伺服器則使用公共密鑰,自DNS伺服器發出一個查詢去驗證簽名的合法性。

該機制的原理是:公共密鑰用來“驗證”簽名,私有密鑰則用來“簽署”簽名。而且,人們無法自“公共密鑰”猜測出“私有密鑰”。所以,當簽名無法通過驗證時,這即暗示了此封電子郵件在寄出時並沒有經過正確的簽名程式,它可能是一封偽造的郵件。

以下是一對私有密鑰和公共密鑰的範例:

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+2og5sex8zeXAZonl2/vnz
VjsUHLKUv0DSoZeWgpQrB5FQgf7Ttd18w1FTjAmv8hK4GtYOSRtoBZFUCVMwmB
B9Tkx60EHckp+Fb494OZYbenL8hJL7XLuS5ux4tokwGW//3dBUxIHnTxIRt+aJ7I
k96GIr90lUt0oqe3FbAE6/wIDAQAB
-----END PUBLIC KEY-----

公共密鑰應在DNS中予以公佈。在DNS的TXT記錄中,它擁有如下格式:
selector._domainkey.example.com.   IN  TXT  "g=*; k=rsa;  p=MIGf...DAQAB"

“selector”是DKIM或DomainKeys在外寄郵件的簽名中指示的簽證選擇器。“_domainkey”部分則照實填寫。通常,如您在DNS記錄中添加功能變數名稱時使用了完全名,那您則需要加一個結束符號“.”。公共密鑰被置於“p=….  ”處。此記錄顯示它使用的是RSA運算法則。如果您僅僅想要做測試,您可以在記錄中添加“t=y”。

當一封郵件抵達某接收主機時,需要知道使用哪個公共密鑰。例如,如果您的每台機器在簽署外寄郵件時都使用不同的密鑰,那在DNS上您可能有若干個公共密鑰。通過指定不同的簽證選擇器(selector),接收主機就會知道要從DNS伺服器上查詢哪個公共密鑰。
beta1._domainkey.example.com.  IN  TXT  "g=*; k=rsa;  p=MIGf...DAQAB "
beta2._domainkey.example.com.  IN  TXT  "g=*; k=rsa;  p=MIGf...FAFAB "

如果您在某接收主機上查看郵件標頭,您可能會發現標頭包含“DKIM-Signature”或“DomainKey-Signature”部分。這意味著該郵件是由“DKIM”或“DomainKey”簽署的。

驗證結果也會被標示在“Authentication-Results”區域。

SPF和SID的操作

SPF和SID是不同的標準。SID最初是由微軟提出的,後來它遵從網際網路工程任務小組 (Internet Engineer Task Force, IETF)的建議而從屬於SPF。所以,從安全上來說,我們建議在DNS中配置SPF即可。SPF記錄看起來應是這樣:

mydomain.com.   IN  TXT  "v=spf1 a +mx +ip4:130.207.0.0/16 -all"

請注意此處的“a”或“mx”是指在DNS中對應的“一個記錄”和“MX記錄”。至於那些“+”和“-”,它們已被作為“合格者”提交給SPF。它們有如下含義:

  • + : 通過,它可被省略,+mx等同於mx
  • ? : 中立, 類似於NONE (no policy)的說明
  • ~ : 輕微失敗,介於中立和失敗之間
  • - : 失敗,應拒絕此郵件

每一列都應被從左至右地讀取;如果前面部分匹配,後續部分則會被忽略。
SID比SPF有一些添加,“v=spf1”被替換為以下的每行:
1. spf2.0/mfrom
2. spf2.0/mfrom,pra
3. spf2.0/pra,mfrom
4. spf2.0/pra

然而,當看見“v=spf1”時,需要退回至SPF.

上圖涵蓋了SPF和SID的操作方法。與該網域名稱相關聯的DNS伺服器上的某DNS記錄,指示了哪台機器作為該網域名稱的合法代表,是被允許寄出郵件的。當一封郵件抵達某機器時,接收機器會向DNS伺服器發出詢問,以便瞭解此IP地址是否被允許自此網域名稱往外寄送郵件。如果它與DNS記錄中規定的規則不符,那意味著它是一封偽造的郵件。

此後的內容與前文類似,我們開始將它們運用於實際。

產生認證鑰

在產生認證鑰的這個頁面裡,按下‘創建’按鈕,系統即開始為使用DKIM或DomainKey而隨機產生一對公共密鑰(public key)和私有密鑰(private key)。基於安全的考量,私有密鑰不會顯示在Web用戶介面上。

利用畫面右上角的‘檢視’按鈕,即會出現整個公共密鑰的內容。將公共密鑰的內容全部複製起來,記錄到DNS裡,便可完成DimaunKey的一部份了。

DKIM & DK

DKIM 或 DK(DomainKey) 的簽章是用於驗證一個郵件主機的真實性。

私有密鑰是用於簽證寄出的郵件,而從網域名稱(DNS)主機查詢得到的公共密鑰將被用於驗證收到的郵件;這樣,能有效地判斷寄件者的網域(Domain)是否是偽造的,以及寄出信件是不是來自於偽造的網域。因此,將公共密鑰置入網域名稱服務(DNS)主機是必要的,如此才可讓其他郵件主機驗證收到的郵件是由正確的主機送出。

想要標記外送郵件或驗證進入郵件,在DomainKey或DKIM簽證和驗證的這個地方,我們應事先做如下設置:

通過 Email >> 認證 >> DKIM & DK 來操作,簽證選擇器(Selector)和想要簽證的網域名稱清單應填入相對應的參數。郵件系統會將簽證選擇器(Selector)的名稱置於DKIM和DomainKey簽名上,以便在其他的地方可驗證收到的郵件。

用於簽證寄出郵件的 Selector名稱:  az1
將要簽證的域名清單:  azblink.com.tw

請注意,系統只會為那些在列表中的網域名稱做DKIM/DK的簽名標記,這些網域名稱都應帶有此處填入的簽證選擇器(selector)標籤。換句話說,系統不會為那些不在此列表中的網域名稱做標記。所以,如果您有時候必須用不同的網域名稱發送郵件,您就應該選擇您想要標記的網域名稱,並將它們填入“將要簽證的域名清單”區域,以“,”來間隔。

如果您想要標記外送郵件,在填入相關的DNS記錄之前,不要開啟“啟始 DKIM 和 DomainKey 的處理”。就算您已填好了相應的DNS記錄,它也不會馬上生效。所以,由於在DNS中沒有記錄,您可以預知到在另一端會出現幾種失敗的驗證結果。當DNS記錄在其他DNS伺服器上生效的時候,那些簽名就可被正確驗證了。

您也可以選擇不去標記那些外送郵件,而讓系統僅驗證那些進入的郵件。點選“只驗證收到的郵件,不對寄出郵件的簽證”此核取方塊即可。當您點選了該核取方塊後,其他部分的選項設定即會被忽略。系統只會驗證進入的郵件,而不會標記外送郵件。

依照預設的規則,對進入的郵件,系統會驗證其DKIM和DomainKey簽名,但針對外送的郵件,卻只會為之標記上DKIM簽名。要改變此規則,您需要在此配置頁面上點選那些選項。

例如,要增加DomainKey簽名,您需要點選“ DKIM-Signature(簽章)外,另加上 DomainKey-Signature 到寄出郵件的郵件標頭上 ”的選項。

如果您打算為外送郵件做標記,不要忘記增加相關的DNS記錄。我們以後會提到這一點,假使您的DNS伺服器也是建構在同一台機器上的狀況。

SPF & SID

SPF記錄允許網域擁有者代表他們的網域,去指定哪些主機可以傳送電子郵件,可以保障網域擁有者,是避免被 spammers 冒充發信的一種機制。做法是在DNS 內的網域名稱中加入 SPF 紀錄,說明這個網域名稱只會透過那些主機發送郵件,以避免有偽造或虛設寄件者網域地址的情況。

正如我們此前提及的,郵件伺服器上將會為SID和SPF執行驗證過程。其他地方的伺服器如想知道您網域名稱上的哪個IP位址可以外送郵件,那麼您需要將相關的記錄置於DNS伺服器上。

在DNS裡面的資訊,是涵蓋了與網域名稱相關的紀錄,包含了代表主機是合法的寄送郵件的宣告。當郵件抵達接收端郵件伺服器,這邊的郵件伺服器可能會去利用DNS,去查詢這封信件裡已知的IP位址是否是真的由這個網域之郵件伺服器所寄出的。如果經由DNS記錄所查詢到的資訊不是的話,那麼這封郵件就會被當成是封偽造郵件來處理。

Email >> 認證 >> SPF & SID 處核取並送出請求,即可開啟SPF和SID驗證。

SPF, DKIM以及DomainKey的相對應DNS記錄

如果您是使用Azblink系統軟體中的DNS功能建構系統,您可按照以下指示的步驟操作。

Dns >> 網路區域 >> 區域管理,點選您創建的網域名稱,您會發現有不同的DNS進階選項。按“SPF”,您會看到如下的頁面。

通過點選核取方塊,選擇您想要的SPF機制, SPF記錄即會生成。如果您打算以更準確的方式來操作,您可按“文字記錄”,直接以TXT記錄來處理。

針對DKIM和DomainKey,我們亦直接使用了TXT記錄來處理。

記住,“az1”必須與您使用於郵件伺服器的那個簽證選擇器(selector)一模一樣,在此處公共密鑰也需要複製一份。