メールを転送するのに設定しておくべき項目は
・SPFの設定 DNSにTXTレコード記述
・DKIMの設定 DNSにTXTレコード記述 opendkim か rspamd で設定
・DMARCの設定 DNSにTXTレコード記述
・ARCの設定 DNSにTXTレコード記述 openarc か rspamd で設定
・TLSで送信する postfixの設定変更
・Postmaster toolsに登録してモニタリング DNSにTXTレコードを設定
・転送するメールを最低限にする
　メールマガジンやメーリングリストは転送元のアドレスで受信せずに解除
　gmail で直接受信する
　spam や phishing メールを受信しないように設定(iptablesやfirewalldで .cn .kr .tw .hk .tr .ro 実績のある国を拒絶設定)
※info@ にくるメールは受信しないように設定変更(この機会にやめましょう)
※info@ sales@ press@ とか使うのやめましょう。ゴミしか来ません。時間の無駄

本番環境:Ubuntu 24.04.x + postfix + postscreen + rbl + rspamd + dovecot で検証しました

1日5000通を超えるメールを転送すると、メール送信のガイドラインを守る必要があります。例えば20人のアカウントがあり1日の受信メールが250通とすると20人×250通＝5000通をgmailに転送することになり、ガイドラインに接触します。Gmail をやめてメーラーから送受信するようにしましょう

忘れがちなのが
「Postmaster Tools で報告される迷惑メール率を 0.3% 未満に維持します。詳しくは、迷惑メール率の詳細をご覧ください。」
迷惑メールをそのまま転送すると0.3%を超えて、gmailで受信拒否され転送できなくなる可能性があります

メールを減らした結果、メール確認に使う脳の負荷が減りました
WEBフォームからのSPAMには、cloudflareのUnder attack modeをオンにすればガッツリ減ります

Gmail へのメール転送に関するベスト プラクティス
https://support.google.com/mail/answer/175365

メール送信者のガイドライン
https://support.google.com/a/answer/81126

Postmaster Tools
https://gmail.com/postmaster

Google workspace
https://workspace.google.com/intl/ja/

迷惑メールを減らした CentOS 6.10 postfix 2.6.6 + postgrey + rbl + s25r での設定例

smtpd_helo_required = yes
smtpd_delay_reject = yes

# (HELO)
smtpd_helo_restrictions =
        permit_mynetworks,
        check_helo_access hash:/etc/postfix/helo_access,
        reject_invalid_hostname,
        reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname
# () all
smtpd_client_restrictions =
        permit_mynetworks,
#       permit_sasl_authenticated,
        check_client_access regexp:/etc/postfix/white-list.txt,
        sleep 1,
        reject_unauth_pipelining,
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
        reject_unknown_reverse_client_hostname,
        sleep 1,
        reject_rbl_client mail-abuse.blacklist.jippg.org,
        sleep 1,
        check_client_access regexp:/etc/postfix/check_s25r,
        permit
# (MAIL FROM:)
smtpd_sender_restrictions =
        check_sender_access regexp:/etc/postfix/reject_sender
        reject_non_fqdn_sender,
        reject_unknown_sender_domain
# (RCPT TO: and relay)
smtpd_recipient_restrictions =
        permit_mynetworks,
#       permit_sasl_authenticated,
        reject_unknown_recipient_domain,
        reject_unverified_recipient,
        reject_unauth_destination
# check_greylist
smtpd_restriction_classes =
    check_greylist
check_greylist = check_policy_service unix:postgrey/socket

/^unknown$/                                  check_greylist
/^[^.]*[0-9][^0-9.]+[0-9].*\./               check_greylist
/^[^.]*[0-9]{5}/                             check_greylist
/^([^.]+\.)?[0-9][^.]*\.[^.]+\..+\.[a-z]/    check_greylist
/^[^.]*[0-9]\.[^.]*[0-9]-[0-9]/              check_greylist
/^[^.]*[0-9]\.[^.]*[0-9]\.[^.]+\..+\./       check_greylist
/^(dhcp|dialup|ppp|[achrsvx]?dsl)[^.]*[0-9]/ check_greylist

/@service.*.cn$/ DISCARD service.*.cn
/@*.cn$/ DISCARD cn
/@*.top$/ DISCARD top

CentOS 7 (postfix 2.10)なら postscreen が使えるので postgrey + s25r はいりませんが、CentOS 6 では二つ併用してコントロール
ログで毎日必要なメールを弾いてないか目視するか logwatch できちんと確認しましょう

参考：

Rgrey - S25R + greylisting
http://k2net.hakuba.jp/rgrey/

postgrey
https://postgrey.schweikert.ch/

阻止率99%のスパム対策方式の研究報告 Selective SMTP Rejection (S25R)方式
http://www.gabacho-net.jp/anti-spam/anti-spam-system.html

white-list.txt は http://www.gabacho-net.jp/anti-spam/white-list.html から取得

国/地域別IPアドレス割り振り一覧
https://ipv4.fetus.jp/
国別リストで phishing が多いところからは iptables で弾く

サポートの切れている CentOS 6,7 から最新 Ubuntu 24.04 に載せ替えとかもできますので、ご連絡ください。保守も致します
https://x.com/kuni92net

Let's encrypt で無くなるサービスは下記
2025/05/07 証明書へのOCSP URL付与終了
2025/06/04 メールでの有効期限告知終了 1,10,20日前
2025/08/06 OCSPレスポンダー停止

# OCSP stapling
#        ssl_stapling on;
#        ssl_stapling_verify on;
#        ssl_trusted_certificate /etc/letsencrypt/live/kuni92.net/chain.pem;
#        resolver 1.1.1.1 1.0.0.1 8.8.8.8 8.8.4.4 valid=60s;
#        resolver_timeout 10s;

設定変更後は ssllabs.com で確認
https://www.ssllabs.com/ssltest/analyze.html?d=kuni92.net
OCSP stapling No
となっていればOKです

Let's encrypt以外の有料証明書ではOCSP Stapling使えるので無効化する必要はありません

Ending OCSP Support in 2025
https://letsencrypt.org/2024/12/05/ending-ocsp/

Intent to End OCSP Service
https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html

Let's EncryptでOCSP staplingを有効にしている人は無効にしよう
https://zenn.dev/catatsuy/articles/8c109bc89b43f3

パスコードがとられても、第２暗唱をかけていたらiCloudから切断されません。
設定方法は？(現時点:iOS 17.1.1の場合)

その１
設定　⇒　スクリーンタイム　⇒　スクリーンタイムをオンにする　⇒　これは自分のiPhone ですを選択

その２
スクリーンタイムパスコードを使用　⇒ 4桁の数字を入力 ⇒ iCloudアカウントを入力

その３
スクリーンタイム　⇒　コンテンツとプライバシーの制限　ONにする　⇒　アカウント変更　⇒　許可になっているので許可しない　にチェック

このあと設定を開いて、一番上まで行くと自分のアカウントがグレーになり押せなくなっています。この状態から、変更するのはスクリーンタイムを開いて、「その２」で設定した４桁の数字をいれ「その３」を許可しないから許可に変更すれば、iCloudの状態を変えることができます

※パスコードとスクリーンタイムで設定した４桁の数字の２段構成になる

その４　ロック画面から機内モードに変更されるのを防ぐ
設定　⇒　FaceIDとパスコード ⇒ ロック中にアクセスを許可 ON から OFFに変更
変更後は「電源ボタンとボリューム上を同時押しで電源を一度落とし」、その後電源ONにしましょう

iPhoneとパスコードをセットで盗難されて泣かないようにスクリーンタイムパスコードを設定しておきましょう

その５
コンテンツとプライバシーの制限　⇒　パスコードの変更　⇒　許可から許可しないに変更すると「設定の中にあるFaceIDとパスコード」が表示されなくなります
「FaceIDとパスコード」の中にある設定は４桁が分からないと変更できないと

カネも思い出もすべてを奪われる...米国で被害が急増中の｢Apple ID泥棒｣の卑劣すぎる手口【2023編集部セレクション】
https://president.jp/articles/-/75747

Mac Fanの「急増するiPhoneの乗っ取りに「スクリーンタイム」が効果的」で知りました

https://books.google.co.jp/books?id=29DSEAAAQBAJ&pg=PA82&lpg=PA82&dq=%E6%80%A5%E5%A2%97%E3%81%99%E3%82%8BiPhone%E3%81%AE%E4%B9%97%E3%81%A3%E5%8F%96%E3%82%8A%E3%81%AB%E3%80%8C%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%80%8D%E3%81%8C%E5%8A%B9%E6%9E%9C%E7%9A%84&source=bl&ots=DsO_7MRQeu&sig=ACfU3U3jQpUjzeBrjkctqvNSd0xrlVwW4Q&hl=ja&sa=X&ved=2ahUKEwi71M7n6MiCAxXNk1YBHWgFCEQQ6AF6BAgiEAM#v=onepage&q=%E6%80%A5%E5%A2%97%E3%81%99%E3%82%8BiPhone%E3%81%AE%E4%B9%97%E3%81%A3%E5%8F%96%E3%82%8A%E3%81%AB%E3%80%8C%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%80%8D%E3%81%8C%E5%8A%B9%E6%9E%9C%E7%9A%84&f=false

アプリ内の広告ブロックできますが、子供や老人のスマホに設定しておけば
アダルトサイトの閲覧禁止、詐欺サイトでのコンビニに電子マネーを買いに行くのも防げるかもしれません

2021/09から利用、現時点で１年半ほど使っています
最近スマートなんちゃらを見る母のiPhoneに設定したら広告が表示されず使いやすくなったと言ってました

DNSでブロックするから画面に表示されない、接続できないということができます
逆に見たいサイトが見れないということも起きます
家のWi-Fi、外出先の4G、5Gでも動作します
家の中はルーターで管理できているが、よその家に行ったりしたら解除されるという心配もありません

NextDNSの設定方法

使い方はiPhoneやAndroidでは
１．アカウント登録
２．広告ブロックの設定
３．アプリをダウンロード
４．アプリと登録したIDの紐づけ
の４ステップ

１．アカウント登録

https://nextdns.io/よりリンク先で「try it now」をクリック
新規登録をクリック
メールアドレスとパスワードを入力で新規登録が完了
※確認のメールは届きません。（ダブルオプトインではない）

２．プロファイルの設定と広告ブロックの設定

まず最初にするのは、ログインした後左上に「最初の設定」とあるここを選んで
新規作成⇒「Father」と入力作成をクリック
このプロファイルは Father 専用になります
プロファイルは選択で選んで変更できます。
例えば
18歳以上の子供がいるならポルノはOKだがギャンブルはダメ
10歳以下の子供がいるならポルノ、ギャンブル、出会い系はダメ
といった具合にプロファイル事に、設定とログを取ることができます
iPhone用、Android用、PC用用途別にすることも可能

・セキュリティ
そのままでよいでしょう

・プライバシー
ブロックリストを追加します。
「ブロックリストを追加する」をクリック

AdAway Blocking Hosts File for Japan
https://logroid.github.io/adaway-hosts
AdAwayで使用可能な、日本環境用 広告除去用hostsを公開します。日本環境用に特化しています。
16,225 エントリ 5日前に更新

280blocker
280blocker adblock domain lists.
https://280blocker.net
1,671 エントリ 4ヶ月前に更新
※ゴタゴタがありました。経緯は下記
https://280blocker.net/blog/20201009/2561/
https://280blocker.net/blog/20201019/2620/

最初からある
NextDNS 広告とトラッカーのブロック
と合わせて、全部で３つ登録しています
理由は当時280blocker購入前で280blockerのリストが使えたのとAdAwayは昔入れたことがあるので信頼できそうってことで

・ペアレンタルコントロール
細かく設定できますが、私は何も追加していません

ウェブサイト、アプリ、ゲーム：Tiktok Tinder Snapchat Facebook Instagram VK 9GAG Fortnite Tumbler Messenger Roblox League of Legends Twitter Twitch Reddit Youtube Discord Dailymotion Minecraft Pinterest Blizzard Hulu Telegram WhatsApp Steam Imgur Netfilx Skype Vimeo Disney+ eBay Xbox Live プライムビデオ Spotify Zoom Amazon BeReal Signal Playstation Network HBO Max Mastodon Google Chat ChatGPT から選べます
カテゴリー：　ポルノ、ギャンブル、出会系サイト、著作権侵害行為、ソーシャルネットワーク、オンラインゲーム、ビデオストリーミング から選べます
娯楽時間：　決まった時間だけTwitterをOnにして見れるとかできます
セーフサーチ：
YouTube の制限付きモード：
フィルタリング回避防止：　VPNで制限回避されるのを防ぐならOnに

・拒否リスト
拒否したいドメイン名を入力 exsample.com

・許可リスト
許可したいドメイン名を入力 exsample.jp

・アナリティクス
どの端末がどれくらいクエリを要求したかわかります

・ログ
通信ログが見れます、サイトが見れないときにはここで確認が可能
誰が何見てるかとかわかりますが、興味ないので見ないです
逆に見たい人には有益な情報(子供が何を見ているかなど)

・設定
お好みで変更してください

ログの保持期間
３ヵ月　デフォルト
６ヵ月
１年
２年

ログの保存場所
アメリカ　デフォルト
欧州連合
イギリス
スイス

キャッシュブースト
最小 TTL（Time to live）を適用することで、DNS クエリを最小限に抑えます。
デフォルトではOffなのでOnに変更

CNAME フラットニング
CNAME 追跡のリゾルバーが不要なクエリを実行し、中間ドメインクエリによりログを汚染することを防止します。
デフォルトではOffなのでOnに変更

NextDNSをアプリに紐づけ

３．アプリのダウンロード
４．アプリの紐づけ

セットアップの画面の下のほうにAndroidやiOSの設定方法が載っています

・Androidアプリ
https://play.google.com/store/apps/details?id=io.nextdns.NextDNS

NextDNS アプリで、Settings → Configuration ID に xxyyzz を入力し接続します。

※xxyyzz は自分の情報に変更してください

・iOSアプリ
https://apps.apple.com/app/nextdns/id1463342498

アプリを開いて設定に移動し、「Use Custom Configuration」をオンにします。 「Configuration ID」として xxyyzz を入力してください。

NextDNS を有効にします。

以上で設定は終了です。
ブラウジングやアプリ内の広告がどうなったか確認してみてください
管理画面内の、ログが増えていると思います

NextDNSをオフにしたいときは、アプリを立ち上げてEnabledをタップしてDisabledに変更してください。広告や見たいものが見れると思います

NextDNSでのペアレンタルコントロールについて

例えば
管理画面でペアレンタルコントロール：カテゴリー：ポルノを追加
ウェブサイト：Tiktokを追加
ポルノサイトとTiktokの利用ができなくなります
お好みで設定を

ただし、
VPNだとVPNのDNSを使って逃れられる可能性あります
※管理画面：ペアレンタルコントロール：フィルタリング回避防止をOnにしましょう

またiPhoneだと
設定⇒一般⇒VPN、DNS、デバイス管理⇒DNS⇒NextDNS
となっているのを自動に戻されると、NextDNSの管理から外れます

あとは、アプリでオン⇒オフが設定できるので、アプリにパスコードを設定して教えない
管理外に逃げようと思えばできるので、どうしたら外れるか理解しておきましょう

下記リンクにペアレンタルコントロールの体験談等ありますので、先輩の記事を参考にしてみてください

最後に大事なことですが、無料は月間30万クエリーまで
パソコンやルータに設定したい場合は年2500円のプランに入りましょう

現在のクエリーの数は、ログインしてメールアドレスをクリック
アカウントをクリックするとどれくらい利用しているかわかります

https://nextdns.io/

NextDNSの参考になりそうなリンク一覧日付順

2020/01/19 CNAME Cloakingが回避できるらしい「NextDNS」の設定方法
https://note.com/dafujii/n/nb7cca325fb7c

2020/04/15 新進気鋭のDNSサービス「NextDNS」を使うと何ができるのか？
https://gigazine.net/news/20200415-next-dns-is-great/

2020/04/20 Androidでアプリを使わずに広告ブロック　NextDNS
https://note.com/prinny/n/n1f3f2cd50955

2020/05/30 DNS で簡易ペアレンタルコントロール
https://yabe.jp/thoughts/parental-control-via-dns/

2020/06/06 NextDNSというサービスは子持ち家庭のインターネットを安心安全にする
https://kuenishi.hatenadiary.jp/entry/2020/06/06/111724

2020/10/20 自分でカスタマイズしたフィルターを適用できる"NextDNS"を使ってみる
https://nellab.net/archives/00690/

2021/01/21 NextDNSでDNSレベルでフィルタイリング
https://www.barasu.org/pc/14549.html

2021/02/09 nextdnsがペアレンタルコントロールにすごく良かった
https://qiita.com/nardtree/items/cae04f8ff8b44c1c1b43

2021/06/08 広告をフィルタリング その2
https://ohaohaoha.cocolog-nifty.com/blog/2021/06/post-98b418.html

2021/07/12 NextDNS おすすめ設定
https://note.com/gomamotikuriogo/n/ne3605bda0f56
Lightswitch05 - Ads & Tracking+Fanboy's Annoyance List

2021/10/08 NextDNSを使って深夜にTwitterにアクセスできないようにする
https://nixeneko.hatenablog.com/entry/2021/10/08/105730

2023/02/13 NextDNS 設定ガイド
https://memonotealpha.net/blog/archives/3723

ソースはGoogleから
https://support.google.com/mail/answer/81126#authentication
重要: 2022 年 11 月より、個人用 Gmail アカウントにメールを送信する新規の送信者は、SPF または DKIM を設定する必要があります。Google では、新規の送信者から個人用 Gmail アカウント宛てのメールをランダムにチェックして、認証されたメールであることを確認します。認証方法が一つも設定されていないメールは拒否されるか、迷惑メールに分類されます。この要件は、すでに送信者である場合は適用されません。ただし、組織のメールを保護し、今後の認証要件をサポートするために、必ず SPF と DKIM を設定することをおすすめします。

relay=gmail-smtp-in.l.google.com[xxx.xxx.xx.xx]:25, delay=1.5, delays=0/0.02/0.81/0.64, dsn=5.7.26, status=bounced (host gmail-smtp-in.l.google.com[xxx.xxx.xx.xx] said: 550-5.7.26 This message does not pass authentication checks (SPF and DKIM both 550-5.7.26 do not pass). SPF check for [gmail.com] does not pass with ip: 550-5.7.26 [xx.xx.xx.xx].To best protect our users from spam, the message has 550-5.7.26 been blocked. Please visit 550-5.7.26 https://support.google.com/mail/answer/81126#authentication for more 550 5.7.26 information. xxxx.xx - gsmtp (in reply to end of DATA command))

opendkim のインストールと設定

設定するドメイン名は exsample.jp

・CentOS 7 の場合

# yum install opendkim --enablerepo=epel

・Rocky/Alma/Oracle Linux 9 の場合

# yum install opendkim opendkim-tools --enablerepo=epel

# cd /etc/opendkim/keys
# mkdir exsample.jp
# opendkim-genkey -D ./exsample.jp -d exsample.jp
 (省略すると -b 1024 -s default となる。1024bit selector名はdefaultという意味)
# chown -R opendkim:opendkim *
# cat exsample.jp/default.txt
 v=DKIM1; k=rsa; p=yyyyyyyyyy

・DNSに公開鍵(default.txt)の内容登録(selectorがdefaultの場合)
いずれもTXTレコードに値を入力

default._domainkey
TXT
v=DKIM1; k=rsa; p=yyyyyyyyyy

・opendkim.conf の編集

# vi /etc/opendkim.conf

Mode    sv
# Sign と Verify 両方行うので sv

SoftwareHeader  no
# DKIM-Filter: OpenDKIM Filter v2.xx.0 exsample.jp とメールヘッダーに表示されるので no に変更
Domain  exsample.jp
# 該当ドメイン名

KeyFile /etc/opendkim/keys/exsample.jp/default.private
KeyTable        refile:/etc/opendkim/KeyTable
SigningTable    refile:/etc/opendkim/SigningTable
ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts

・KeyTable の編集

# vi /etc/opendkim/KeyTable 

default._domainkey.exsample.jp exsample.jp:default:/etc/opendkim/keys/exsample.jp/default.private

書式:
[セレクタ名]._domainkey.[ドメイン名] [ドメイン名]:[セレクタ名]:[秘密鍵へのパス]

・SigingTable の編集

# vi /etc/opendkim/SigningTable

*@exsample.jp default._domainkey.exsample.jp

書式:
*@[ドメイン名] [セレクタ名]._domainkey.[ドメイン名]

・TrustedHosts の編集・確認

# vi /etc/opendkim/TrustedHosts

127.0.0.1
::1

・postfix/main.cf 一番下に追加

# vi /etc/postfix/main.cf

# OpenDKIM
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters
milter_default_action = accept

・起動、自動起動の登録、postfix restart

# systemctl start opendkim
# systemctl enable opendkim

# postfix check
main.cf の設定間違いなど確認可能
# systemctl restart postfix

・opendkim-testkey による確認

# opendkim-testkey -d exsample.jp -k /etc/opendkim/keys/exsample.jp/default.private -vvv
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: key loaded from /etc/opendkim/keys/exsample.jp/default.private
opendkim-testkey: checking key 'default._domainkey.exsample.jp'
opendkim-testkey: key OK

となっていたら、問題ありません

あとはGmailにメール送信してみて、縦...マークから
メッセージのソースを表示
SPF:
DKIM:
のところを確認してみてください

PR:レンタルサーバでDKIM

GMAILが24/02から拒絶する方針を出してから、各社DKIM DMARC対応を始めた
24/02までに対応できるところが増える

人気のXserverが
23/02/14 sv14450.xserver.jp 以降でDKIM対応しました
default._domainkey.exsample.jp TXT "v=DKIM1; k=rsa; p=" 設定される selector名 default
24/01/09 DMARC設定機能を追加
_dmarc.exsample.jp TXT "v=DMARC1; p=none;" で設定される

coreserverのV2(CORE-X)プランでDKIM対応

CORESERVER (V2) のひみつ

参考：

技術解説:DKIM (Domainkeys Identified Mail)
https://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/dkim/

その他：
ドメイン名とセレクタ名で確認
https://dmarcian.com/dkim-inspector/

TXTレコードに設定可能な文字数は最大255文字までとなります。

TXTレコード　255文字が上限です。

DKIM（TXT）レコード 255文字以内に収まるよう1,024ビットドメインキーをご利用ください。

TXTレコードに限りVALUE値の最大文字数は510文字になります。（DKIM設定等で長いVALUE値の設定が求められるため）

TXT レコードの値の最大文字数は 4,000 文字です。

ARC (Authenticated Received Chain)

※Gmailにメール転送するなら
ARCを導入しましょう。(opendkim,openarcの設定)そのまま転送すると弾かれます
転送より、gmailからpopなりimapで取込するのが簡単です

default.private のまま ARC に利用

# yum instll openarc
# mkdir /etc/openarc/
# cp /etc/opendkim/keys/exsample.jp/default.private /etc/openarc/openarc.private
# chown -R openarc:openarc /etc/openarc/

・openarc.conf の編集

# vi /etc/openarc.conf

PidFile /var/run/openarc/openarc.pid
Syslog  yes
#Umask   002
UserID  openarc:openarc
Socket  inet:8894@localhost

Mode                    sv
AuthservID              exsample.jp

Canonicalization        relaxed/simple
Domain                  exsample.jp # change to domain
Selector                default
KeyFile                 /etc/openarc/openarc.private
SignatureAlgorithm rsa-sha256

# systemctl enable openarc
# mkdir /var/run/openarc
# chown openarc:openarc /var/run/openarc/
# systemctl start openarc

・postfix /etc/postfix/main.cf に「inet:127.0.0.1:8894」の追加

# vi /etc/postfix/main.cf

smtpd_milters = inet:127.0.0.1:8891, inet:127.0.0.1:8894

# systemctl restart postfix

メールを Gmail に転送するおすすめの方法
https://support.google.com/mail/answer/175365?hl=ja

#URIs: http://ports.ubuntu.com/ubuntu
URIs: http://ftp.udx.icscoe.jp/Linux/ubuntu
Suites: noble noble-updates noble-backports

#URIs: http://ports.ubuntu.com/ubuntu-ports
URIs: https://linux.yz.yamagata-u.ac.jp/pub/linux/ubuntu-ports
Suites: noble noble-updates noble-backports

URIs: http://ports.ubuntu.com/ubuntu
Suites: noble-security

さくらインターネット内 さくらのVPS さくらのクラウドとかは

#URIs: http://archive.ubuntu.com/ubuntu/
URIs: http://ftp.sakura.ad.jp/ubuntu/
Suites: noble noble-updates noble-backports

いつの間にか dig してみたら
jp.archive.ubuntu.com.
ja.archive.ubuntu.com.
同じになってました
グレートブリテン及び北アイルランド連合王国
に接続しに行きます。遠すぎ

元々の記事(22/10/13時点)はここから

apt update
apt upgrade
するとファイルのダウンロードが遅くイライラしたので調べました
※22.04から22.04.01 dist-upgrade した後に起きたので、もともとは archive.ubuntu.com

# dig jp.archive.ubuntu.com
jp.archive.ubuntu.com. 8 IN CNAME ubuntutym.u-toyama.ac.jp.
ubuntutym.u-toyama.ac.jp. 8 IN CNAME ubuntutym1.u-toyama.ac.jp.
ubuntutym1.u-toyama.ac.jp. 8 IN A 160.26.2.185

# dig ja.archive.ubuntu.com
ja.archive.ubuntu.com. 60 IN A 91.189.91.38
ja.archive.ubuntu.com. 60 IN A 91.189.91.39
ja.archive.ubuntu.com. 60 IN A 185.125.190.39
ja.archive.ubuntu.com. 60 IN A 185.125.190.36

どこの国なんだろうなーと whatismyip.com で調べると
91.189.91.x City: Douglas State: Scotland
185.125.190.x City: London State: England
グレートブリテン及び北アイルランド連合王国

# dig archive.ubuntu.com
archive.ubuntu.com. 48 IN A 91.189.91.39
archive.ubuntu.com. 48 IN A 91.189.91.38
archive.ubuntu.com. 48 IN A 185.125.190.36
archive.ubuntu.com. 48 IN A 185.125.190.39

ああ、うん。察し。jaが存在しないんだなと
結論 archive.ubuntu.com となりました

余談：
国内の速いミラーは秋葉原UDXにある 経済産業省のICSCoE(産業サイバーセキュリティセンター) が100Gbps で高速(12 mirror 120Gbpsのうちの100Gbps)
https://launchpad.net/ubuntu/+archivemirrors

https://ftp.udx.icscoe.jp/Linux/ubuntu/
http://ftp.udx.icscoe.jp/Linux/ubuntu/

sedでftp.udx.icscoe.jpに置き換えるなら

sed -i.bak -r 's@http://(jp\.)?archive\.ubuntu\.com/ubuntu/?@http://ftp.udx.icscoe.jp/Linux/ubuntu/@g' /etc/apt/sources.list

Ubuntuだけでなく
CentOS stream 9 http://ftp.udx.icscoe.jp/Linux/CentOS-stream/
almalinux 8 8.6 9.0 http://ftp.udx.icscoe.jp/Linux/almalinux/
rocky 8 8.4 8.5 8.6 9 http://ftp.udx.icscoe.jp/Linux/rocky/

alpine 3.0 から 3.16 http://ftp.udx.icscoe.jp/Linux/alpine/
raspbian http://ftp.udx.icscoe.jp/Linux/raspbian/
使うと良いと思います

deb https://ftp.udx.icscoe.jp/Linux/ubuntu/ YOUR_UBUNTU_VERSION_HERE main
deb-src https://ftp.udx.icscoe.jp/Linux/ubuntu/ YOUR_UBUNTU_VERSION_HERE main

こんな記事もありました 2011/01/09
https://ftp-admin.blogspot.com/2011/01/ubuntu.html

Ubuntuのアップデートでパッケージのダウンロードが遅いのは、デフォルトで設定される「日本のサーバ(jp.archive.ubuntu.com)」が遅いからです。サーバの変更方法を覚えてもらうために、意図的に性能を落としているそうです。そこで、アップデートに用いられるサーバを「日本のサーバ」から変更する方法を紹介しておきます。対象のバージョンは10.10です。

・やっていたこと
WEB　xserverのシン・レンタル xserverのメールは使わない
MAIL　さくらインターネットVPS postfix+dovecot+Let's encrypt(DKIM,DMARC,ARC)
gmail 個人のアドレスで取込や送信があるので include:_spf.google.com 記述

SPF dnsレコード設定済
"v=spf1 a:exsample.co.jp a:www.exsample.co.jp mx a:sv????.wpx.ne.jp include:_spf.google.com include:spf.sender.xserver.jp ~all"

DKIM opendkimとdnsレコード設定済 s=default
"v=DKIM1; k=rsa; p= 省略"

DMARC opendmarcとdnsレコード設定済(よく見る設定)
"v=DMARC1; p=none; pct=100; adkim=r; aspf=r;"

・時系列に書いていくと
最初の詐称spamに気づいてすぐにしたのは、DMARC p=none がダメなのでは？と思い
"v=DMARC1; p=quarantine; pct=100; adkim=r; aspf=r;"
に変更

意味は
p=none なにもしない
p=quarantine 認証失敗したメールは隔離してください
p=reject 認証失敗したメールは受信拒否してください

info@あてにメールがバウンスしてきて(failure notice, Mail delivery failed, spamへのauto responseなど)3,000程

また outbound.protection.outlook.com からのエラーが目立ったので
「grep outbound.protection.outlook.com /var/log/maillog | grep 'connect from' | awk '{ print $8 }' | sort」　実際のIPと下記から該当IP帯域を拒絶(2日後解除)

Office 365 URL および IP アドレス範囲
https://docs.microsoft.com/ja-jp/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide

上記で対策したので、大丈夫だろうと期待したのですが、、、
2日後の日付が変わる頃にドイツから詐称spam発生

ちょっと考えて、SPFが ~all だからではないかと？思い立ち -all に変更
更に重複していたレコード類を整理
"v=spf1 a:exsample.co.jp mx include:_spf.google.com include:spf.sender.xserver.jp -all"

DMARCレコードに rua=mailto: ruf=mailto: を追加
"v=DMARC1; p=quarantine; pct=100; adkim=r; aspf=r; rua=mailto:dmarc-a@exsample.co.jp; ruf=mailto:dmarc-f@exsample.co.jp"

不要なメールを処理するため postfix の header_checks で
/^Subject: .*EXSAMPLE EXSAMPLE/ DISCARD
で DISCARD(通知なし受け取り拒否) して捨てる (10,000通近く受信)

ここまでの内容で、設定間違いがあったことに後で気づきました。

答えは「spfのdns lookupは10回以内」
最初の SPF 記述では lookup が11回あり、SPF設定したつもりができていなかった！

最初のSPFはこれで
"v=spf1 a:exsample.co.jp a:www.exsample.co.jp mx a:sv????.wpx.ne.jp include:_spf.google.com include:spf.sender.xserver.jp ~all"

dns lookup回数を数えると
1 a:exsample.co.jp
2 a:www.exsample.co.jp
3 mx
4 a:sv????.wpx.ne.jp
5 include:_spf.google.com
6 include:spf.sender.xserver.jp

5 _spf.google.com の中身
7 _netblocks.google.com
8 _netblocks2.google.com
9 _netblocks3.google.com

6 spf.sender.xserver.jp の中身
10 _spf.sender0.xserver.jp
11 _spf.sender1.xserver.jp
10回のlookup回数をオーバーしてしまい、何も設定してないのと同じ状況

DMARCはSPFとDKIMが正しく設定されていて初めて役立ちます

SPF変更後は lookup が10回以内になり正しい状態
同時に rua,ruf で設定したメールアドレスにレポートメールが届き始める
※以前は ip4:192.168.1.1 とかで書いてましたが、a:が楽だと気付いたのが間違いの始まり

spf lookupが10回以内できちんと設定できているかは、下記サイトで確認可能
SPF Lookup後にSPF Raw Checker
https://senderpolicyframework.com/lookup/
ドメイン入力後 Validate SPF Record
https://dnschecker.org/spf-record-validation.php
ドメイン入力後 Check SPF
https://easydmarc.com/tools/spf-lookup
ドメイン入力後 Check SPF Record
https://dmarcly.com/tools/spf-record-checker

DKIMレコードの確認
ドメインとセレクタ入力後 DKIM Lookup
https://mxtoolbox.com/dkim.aspx
ドメインとセレクタ入力後 Inspect DKIM
https://dmarcian.com/dkim-inspector/

DMARCレコードの確認は
ドメイン入力後 DMARC Lookup
https://mxtoolbox.com/DMARC.aspx
ドメイン入力後 Inspect the domain
https://dmarcian.com/dmarc-inspector/

あたりが使えます
DMARCで設定した rua= ruf= のメール
rua レポートは xml 形式を gz で圧縮して各サーバから大量に送ってくるので 人間が見るようにはできていません
ruf レポートはどこのIPから送ったメールがエラー出ているかわかるので設定しておくと設定エラーのサーバやspamに気づきます

rua レポートを自動解析したい場合 個人なら
https://powerdmarc.com/ja/
https://easydmarc.com/
が使えるようですが、今回企業ドメインなので使っていません

SPFで ~all と -allの違い
~all 送信元メールアドレスは詐称されている可能性がある
-all 送信元メールアドレスは詐称されている

~all の書式でSPF認証に失敗すると SoftFail
-all の書式でSPF認証に失敗すると Fail

メールを送信しないドメインなら
"v=spf1 -all"
と記述するとよいです

何時から設定をミスっていたのかとなると、「include:spf.sender.xserver.jp」を入れましたというXserverからのメールが来た22/02/17より後にincludeを追加し変更したようです

変更後の確認が甘かったのが、エラーの原因でしたorz
check-auth@verifier.port25.com にメール送るが簡単でよいかな

参考：
なりすまし対策ポータルナリタイ
https://www.naritai.jp/

あなたの会社のなりすましが現れたら？ 迷惑メール対策方法とYahoo!メールのDMARC導入事例紹介
https://techblog.yahoo.co.jp/entry/2021070530163050/
Yahoo!メールのDMARC導入のその後と、「DMARCレポート」の活用術
https://techblog.yahoo.co.jp/entry/2021121030233781/

注意点
conohaで利用しているVPSが「VPS割引きっぷ期間中」でないとalphassl DV証明書は無料になりません
最低期間で良いなら３ヵ月だけ割引きっぷを購入

VPS割引きっぷの詳細はこちら



3,6,12,24,36ヵ月を選択でき、長期間になるほど利用料金が下がります

申請までの手順は
１．CSR作成
２．conoha管理画面で申し込み CSR情報入力
３．有効ドメインのメールで受信
４．受信した証明書をサーバに設定
５．動作確認

１．証明書を発行するためのCSRを作成

opensslコマンドでwww.exsample.jpのCSR証明書を作る場合
強調しているところが入力部分
※www.exsmaple.jp でCSRを作っていれば exsample.jp でのアクセスも可能

openssl req -new -newkey rsa:2048 -nodes -keyout www.exsample.jp.key -out www.exsample.jp.csr
Generating a 2048 bit RSA private key
.................+++
.........+++
writing new private key to 'www.exsample.jp.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Tokyo
Locality Name (eg, city) []:Shibuya-ku
Organization Name (eg, company) [Internet Widgits Pty Ltd]:exsample, inc.
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.exsample.jp
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

cat www.exsample.jp.csr
-----BEGIN CERTIFICATE REQUEST-----
-----END CERTIFICATE REQUEST-----
までコピーしましょう

• https://tech-unlimited.com/csr.html
• https://www.ssl-store.jp/system/tool.php/generateCsr
• https://www.ssl-mart.com/system/tool/generateCsr

２．CSRをconohaの管理画面で申請

ログイン後、左メニュ―のセキュリティ⇒SSL
右上カートをクリック
・プラン　アルファSSL
・新規取得
・デュアルアクセス　有効
・認証方式　DNS認証　メール認証　ページ認証（メール認証を選択）
「次へ」をクリック

CSRを張り付けて「CSR内容確認」をクリック

CSR解析結果で、作成したCSR内容になっているかを確認後「次へ」をクリック

申請者担当情報
・氏名(ローマ字)
・電話番号
・メールアドレス　admin@exsample.jp
入力して「次へ」をクリック

プラン
CSR情報
申請担当者情報
確認して問題なければ、「決定」をクリック

支払確認
SSL申請料金(税込) が 0円になっているのを確認して「決定」をクリック

認証
メールの場合は admin@exsample.jp に来ているメールをクリック
DNSの場合は　globalsign-domain-verification=
DNSレコードに登録して認証依頼をクリック

認証が問題なく終わると、SSLサーバ証明書リストの中に申請したドメインの
証明書のダウンロード
・中間証明書　ICA形式
・証明書　PEM形式
・証明書＋中間証明書 PKCS7形式
ダウンロードできるようになります

証明書(PEM)と中間証明書(ICA)をダウンロードしましょう

４．サーバに証明書を設置

vi server.crt
-----BEGIN CERTIFICATE-----
www.exsample.jp(PEM).txtの内容
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
www.exsample.jp(ICA).txtの内容
-----END CERTIFICATE-----

証明書の場所をapacheに設定
SSLCertificateFile /home/kuni/server.crt
SSLCertificateKeyFile /home/kuni/www.exsample.jp.key

設定に間違いが無いか確認
# apachectl configtest

apache再起動
# service apache2 restart
# systemctl restart httpd

nginxで使う場合
ssl_certificate /home/kuni/server.crt;
ssl_certificate_key /home/kuni/www.exsample.jp.key;

設定に間違いが無いか確認
# nginx -t

nginx再起動
# service nginx restart
# systemctl restart nginx

５．証明書の確認

証明書や設定に問題が無いかssllabsでテストして確認
https://www.ssllabs.com/ssltest/

※中間証明書が無いっていわれるとき(chain issue Incomplete)

vi intermediate_alpha.crt
-----BEGIN CERTIFICATE-----
www.exsample.jp(ICA).txtの内容
-----END CERTIFICATE-----
の内容を張り付けて

apacheに
SSLCertificateChainFile /home/kuni/intermediate_alpha.crt
を追加

apacheを再起動

問題が無ければ365+30日の証明書が使えます

apache 2.4におけるSSL証明書の設定
https://qiita.com/bageljp@github/items/6b9876b7571852284ead

ECDSA(楕円曲線DSA)使えません。RSA2048bitのみ
無料で使えるのであればアリだと思います

Buypassはノルウェーにある会社でCA Browser Memberにも参加している、信頼のおける会社です https://cabforum.org/members/ (日本から GlobalSign, JPRS, Secom trustが参加)

https://github.com/acmesh-official/acme.sh

acme.shは /home/kuni/.acme.sh/acme.sh にある前提で

・インストール

$ curl https://get.acme.sh | sh -s email=my@example.com
or
$ wget -O - https://get.acme.sh | sh -s email=my@example.com
or git
$ git clone https://github.com/acmesh-official/acme.sh.git
$ cd ./acme.sh
$ ./acme.sh --install -m my@example.com

・デフォルトCAを Buypass に変更

$ /home/kuni/.acme.sh/acme.sh --set-default-ca --server buypass
Changed default CA to: https://api.buypass.com/acme/directory

・アカウント登録 exsample.comを該当ドメインに

$ /home/kuni/.acme.sh/acme.sh --server https://api.buypass.com/acme/directory --register-account --accountemail kuni@exsample.com

・証明書発行

$ /home/kuni/.acme.sh/acme.sh --server https://api.buypass.com/acme/directory \
--issue -d exsample.com -w /var/www/html　\
--days 180

・証明書設置 Let's encryptと同じように配置

# /home/kuni/.acme.sh/acme.sh --install-cert -d exsample.com --key-file /etc/letsencrypt/live/exsample.com/privkey.pem --fullchain-file /etc/letsencrypt/live/exsample.com/fullchain.pem --cert-file /etc/letsencrypt/live/exsample.com/cert.pem

更新は有効期限の30日前からかな、170日後に追記します

$ /home/kuni/.acme.sh/acme.sh --renew -d example.com

参考：
https://github.com/acmesh-official/acme.sh/wiki/BuyPass.com-CA
https://www.buypass.com/products/tls-ssl-certificates/go-ssl

ASUSルータは中身がarmv7(32bit)でLinuxが動いているためmackerelをインストールすることができます

# uname -a
Linux RT-AX3000-xxxx 4.1.52 #2 SMP PREEMPT Tue Apr 19 12:35:05 CST 2022 armv7l

事前に用意しておくと良いもの
mackerelで利用する apikey
ルータに登録するsshの公開鍵(public key)と秘密鍵(secret key)

管理画面より公開鍵を登録する
RT-AX3000 http://192.168.50.1/ 3core Mem:512MB
RT-AC68U http://192.168.1.1/ 2core Mem:256MB

sshログインする簡単なやり方

管理⇒システム⇒サービス
・SSHを有効にする LAN only
・SSHポート 22
・パスワードログインを許可　はい
・認証キー　空欄のまま

一番下にある「適用」をクリック

sshログインのセキュリティが高いやり方
ed25519の公開鍵を用意

管理⇒システム⇒サービス
・SSHを有効にする LAN only
・SSHポート 22
・パスワードログインを許可　いいえ
・認証キー　公開鍵をコピペして貼り付け

一番下にある「適用」をクリック

次にsshでルータにログインします

RT-AX3000 なら 192.168.50.1 port:22
RT-AC68U なら 192.168.1.1 port:22

接続ユーザは admin
パスワードは ルータに設定した password 、もしくは公開鍵のpasswordを入力

adminでログインすると /tmp/home/root に移動しています
# pwd
/tmp/home/root

ログインして df -h すると

# df -h
Filesystem Size Used Available Use% Mounted on
/dev/root 51.0M 51.0M 0 100% /
devtmpfs 250.0M 0 250.0M 0% /dev
tmpfs 250.1M 652.0K 249.5M 0% /var
tmpfs 250.1M 2.7M 247.4M 1% /tmp/mnt
ubi1:data 4.5M 84.0K 4.1M 2% /data
tmpfs 250.1M 2.7M 247.4M 1% /tmp/mnt
tmpfs 250.1M 2.7M 247.4M 1% /tmp
/dev/mtdblock9 47.0M 6.1M 40.9M 13% /jffs
/dev/sda1 3.8G 1.1M 3.8G 0% /tmp/mnt/sda1

# ls -l /
drwxrwxr-x 2 admin root 2047 Apr 19 13:43 bin
drwxrwxr-x 2 admin root 3 Apr 19 13:43 bootfs
drwxr-xr-x 2 admin root 3 Apr 19 13:42 cifs1
drwxr-xr-x 2 admin root 3 Apr 19 13:42 cifs2
drwxr-xr-x 2 admin root 600 Apr 23 12:04 data
lrwxrwxrwx 1 admin root 16 Apr 19 13:42 debug -> sys/kernel/debug
drwxr-xr-x 6 admin root 3700 Apr 23 15:40 dev
lrwxrwxrwx 1 admin root 7 Apr 19 13:42 etc -> tmp/etc
lrwxrwxrwx 1 admin root 8 Apr 19 13:42 home -> tmp/home
drwxr-xr-x 13 admin root 0 Apr 24 22:29 jffs
drwxrwxr-x 5 admin root 1621 Apr 19 13:43 lib
drwxr-xr-x 2 admin root 3 Apr 19 13:42 mmc
lrwxrwxrwx 1 admin root 7 Apr 19 13:38 mnt -> tmp/mnt
drwxr-xr-x 3 admin root 147 Apr 19 13:42 opt
dr-xr-xr-x 159 admin root 0 Jan 1 1970 proc
drwxr-xr-x 9 admin root 880 Apr 19 13:40 rom
lrwxrwxrwx 1 admin root 13 Apr 19 13:42 root -> tmp/home/root
drwxr-xr-x 2 admin root 3132 Apr 19 13:40 sbin
dr-xr-xr-x 12 admin root 0 Jan 1 1970 sys
drwxr-xr-x 2 admin root 3 Apr 19 13:42 sysroot
drwxrwxrwx 18 admin root 1720 Apr 24 22:30 tmp
drwxr-xr-x 12 admin root 195 Apr 19 13:42 usr
drwxrwxrwt 19 admin root 440 Apr 24 22:27 var
drwxrwxr-x 16 admin root 7935 Apr 19 13:42 www

etc は /tmp/etc
mnt は /tmp/mnt
home は /tmp/home
root は /tmp/home/root

/tmp 以下にあるファイルは、ファームウェアアップデートすると消えます
なので mackerel idを保存する場所を変更しないと、バージョンアップの度にNew hostとして登録されめんどくさいことに「/var/lib/mackerel-agent/id」

USBメモリを刺していると、/dev/sda1 で認識 データは /tmp/mnt/sda1 に
これは安定した保存場所に。またusb mountするときに実行するスクリプトを登録できます

mackerelのプログラムは消えない場所 /jffs/ 展開します

ディレクトリ /jffs/ に移動
cd /jffs/

mackerelプログラムをダウンロード
# wget https://github.com/mackerelio/mackerel-agent/releases/download/v0.37.1/mackerel-agent_linux_arm.tar.gz

ファイルを展開
# tar zxf mackerel-agent_linux_arm.tar.gz

ダウンロードしたファイル削除
# rm -r mackerel-agent_linux_arm.tar.gz

ディレクトリ名を変更
# mv mackerel-agent_linux_arm mackerel

起動スクリプトを作成 aを押しINSERTモードになったら
# vi mackerel.sh
下記をコピペ
#!/bin/sh
AGENT_DIR="/jffs/mackerel"
${AGENT_DIR}/mackerel-agent -conf "${AGENT_DIR}/mackerel-agent.conf"

コピペ後は :wq で保存して抜けます(write quit)

ファイルに実行権限をつけます
# chmod 755 mackerel.sh

次にmackerle/mackerel-agent.confを編集

# vi mackerel/mackerel-agent.conf
root = "/jffs/mackerel"
apikey = ''

root と apikey を設定したら :wq で抜けます

自宅のグローバルIPアドレス変更を監視する
この記事のスクリプトを流用します

自宅のグローバルIPアドレスの変更をMackerelで通知する
https://qiita.com/tinoue@github/items/303cd3e3d030f4e89c59

# vi checkglobalip.sh
コピペして保存

ファイルに実行権限をつけます
# chmod 755 checkglobalip.sh

# vi mackerel/mackerel-agent.conf
コピペして保存

mackerelをバックグラウンドで起動
# /jffs/mackerel.sh &

再起動時のおまじない、USBメモリを刺していれば実行(刺さってない場合はsshログインして手動で起動)
# nvram set script_usbmount="/jffs/mackerel.sh &"
# nvram commit

以上で終わり。通知はmackerelでお好みの通知先に
フレッツ光のメンテナンスで通信できなくなった時に、通知が来るのも良き

mkr のarm版は 0.41以降あるようです
# wget https://github.com/mackerelio/mkr/releases/download/v0.41.0/mkr_linux_arm.tar.gz

RT-AX3000は WI-FI 6EかWI-FI 7出るまでは使う予定

これから買うならマイナーバージョンがあがったv2版

参考サイト
無線LANルータ(ASUS RT-AC68U)をmackerel-agentで監視
http://move0tofu.hatenablog.jp/entry/2016/mackerel_advent

ルータをRT-AC68Uに更新してDDNS更新させるようにした
http://kinomuku129.blogspot.com/2017/12/rt-ac68uddns.html

新世代のサーバー監視ツール「Mackerel」
https://www.idcf.jp/cloud/mackerel/

管理画面demo
https://demoui.asus.com/JP/

Asus-Merlin wiki
https://github.com/RMerl/asuswrt-merlin.ng/wiki

他には nasne を監視できたり

Mackerelでnasneを監視する 〜mackerel-plugin-nasne〜
https://papix.hatenablog.com/entry/2017/12/02/132132

nasneの録画件数をシェルスクリプトとmackerelで監視する
https://qiita.com/norio_jp/items/059118d82f231013a78d

nasneの残量やGoogle Analyticsの情報をMackerelに監視させよう
https://www.yasuhisay.info/entry/2016/12/06/000000

改正電子帳簿保存法は年末にどんでん返しが(2年間の猶予)ありましたが
・発注書
・見積書
・納品書
・請求書 証拠書類
・領収書 証拠書類
証拠書類の印刷と保存(7年)が大変で2年後に慣れておくため
令和4年度(2022年1月)から電子帳簿保存法に基づいたデータ保存を運用開始しました

※確定申告に関する書類の保存期間

帳簿　7年
　仕訳帳、総勘定元帳、現金出納帳、売掛帳、買掛帳、経費帳、固定資産台帳など

決算関係書類　7年
　損益計算書、貸借対照表、棚卸表など
現金預金取引等関係書類 7年
　領収証、小切手控、預金通帳、借用証など
その他の書類　5年
　取引に関して作成し、又は受領した上記以外の書類
　請求書、見積書、契約書、納品書、送り状など

電子帳簿保存法に対応するための概要

対応している電子帳簿保存法の区分
・電子帳簿等保存（電磁的記録等による保存）
・スキャナ保存
・電子取引

対応している帳簿書類
・国税関係帳簿（仕訳帳や元帳等）
・国税関係書類＞決算関係書類（貸借対照表等）
・国税関係書類＞取引関係書類（請求書や領収書等）
・国税関係書類以外の書類（電子で授受した請求書や領収書等）

このどれに対応しているのか、理解している範囲で対応状況は

帳簿である「MoneyForward確定申告」の場合（無料利用可能）
〇　電子帳簿等保存（電磁的記録等による保存）
〇　スキャナ保存
〇　電子取引

〇　国税関係帳簿（仕訳帳や元帳等）
〇　国税関係書類＞決算関係書類（貸借対照表等）
〇　国税関係書類＞取引関係書類（請求書や領収書等）
〇　国税関係書類以外の書類（電子で授受した請求書や領収書等）

支払った領収書・請求書「MoneyForwardクラウドbox」の場合（無料利用可能）
〇　電子取引
〇　国税関係書類以外の書類（電子で授受した請求書や領収書等）

クラウドBox：電子帳簿保存法への対応について
https://biz.moneyforward.com/support/box/guide/e-book/eb01.html

仕事の請求書　「MoneyForwardクラウド請求書」を利用した場合(パーソナルプランに含まれる)
〇　電子帳簿等保存（電磁的記録等による保存）
〇　電子取引
〇　国税関係書類以外の書類（電子で授受した請求書や領収書等）

クラウド請求書：電子帳簿保存法への対応について
https://biz.moneyforward.com/support/invoice/guide/e-book/eb01.html

仕事の請求書　「Misoca」で発行して「メール送信」「リンク共有」「PDFダウンロード（したものをメール添付等で送信）」した場合
〇　電子取引
〇　国税関係書類以外の書類（電子で授受した請求書や領収書等）

Misocaは無料で使え「改正電子帳簿保存法」に対応
令和4年1月1日以降の改正電子帳簿保存法に対応してますか？
https://support.yayoi-kk.co.jp/faq_Subcontents.html?page_id=26741

まとめると、令和4年度以降の確定申告時に印刷する書類は
・総勘定元帳、仕訳帳、決算書「MoneyForward 確定申告」で保存。印刷不要
・経費で支払った領収書や請求書「MoneyForward クラウドbox」で保存。印刷不要
・お仕事の請求書、見積書、納品書などは「Misoca」「MoneyForwardクラウド請求書」で保存。印刷不要
・クレジットカード明細　PDF出力　印刷(印刷しなくてもよさげ)
・銀行通帳(Online Bank)　PDF出力　印刷(印刷しなくてもよさげ)
・確定申告書類 e-tax 印刷保存

といった感じになり、印刷が少なくなると思います

事務処理規定を作りましょう

まず最初に「事務処理規定」を作成しましょう
無い場合は7日以内にアップロードという条件が
事務処理規定がある場合は2ヶ月+7日に緩和されます

・国税庁のひな型「電子帳簿保存法_事務処理規定.docx 個人事業者」の例を自分用に変更して印刷保存
https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/0021006-031.htm

・支払った領収書や請求書等の証拠書類を発行日から2ヶ月+7日以内に
　タイムスタンプ機能のついた「MoneyForwardクラウドBox」にアップロードして保存
　1月最初の方の取引は時間がありませんのですぐアップロードしましょう

・領収書、請求書のファイル名は
　日付_取引先名_金額.pdf とする
　例えば
　20220225_NTT東日本_5432.pdf (2022/02/25 NTT東日本 5432円)
　20220207_Amazon_595.pdf (2022/02/07 Amazon 595円)
これをあちこちの管理画面等からダウンロード、リネームして保存

・電子帳簿保存法に基づいた「MoneyForwardクラウドBox(無料)」にアップロード
　確定申告や日々の帳簿管理は「MoneyForward 確定申告」を使ってます

　会員登録すれば誰でも無料で使えます
下記バナーをクリックし「無料ではじめる」から会員登録すれば「MoneyForwardクラウドBox」すぐに使えます

・会員登録後はログインして、利用可能サービスの中にある「Box」からサービスを使うをクリック
実際の保存の様子は下記画像(UQモバイル(KDDI)の請求書)

　画面の右にある「アップロード」をクリック
　上記保存した、領収書や請求書をドラッグアンドドロップで放り込み

　取引日を選択
　取引先名を入力
　金額を入力
　最後にアップロードをクリックで保存されます

　入力するときに、このPDFなんだっけ？となるのでファイル名を先に固定しておくとPDFを開けなくてよいのでひと手間減ります

今年の確定申告も、1/27には e-tax ソフトに組み込みできるようになりさくっと終わったので「MoneyForward確定申告」良いです

クラウドBoxは電子帳簿保存法の要件を満たしてるので安心して預けられます

・プリンタが無い場合はプリンタも購入。備えておくこととなってます

電子帳簿保存法
参考記事：
「電子帳簿保存法」改正で何が変わる？ 個人事業主がやらなければならないことは何？
https://internet.watch.impress.co.jp/docs/special/denshichobo/1370106.html

1月1日からの「改正電子帳簿保存法」、最低限これだけ考えておくべきポイントは？
https://internet.watch.impress.co.jp/docs/special/denshichobo/1374258.html

23/01/12時点では、IPAの「TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～」
　TLS1.3(高セキュリティ型)とTLS1.2(パターン名による高セキュリティ型)という結論

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers ECDHE+AESGCM:DHE+aRSA+AESGCM:ECDHE+AESCCM:DHE+aRSA+AESCCM:ECDHE+CHACHA20:DHE+aRSA+CHACHA20:+AES128:+DHE;

ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256;

・ssl_ciphers TLS 1.2 1.1 1.0の暗号化設定に利用 1.1と1.0はもういらない
・ssl_conf_command Ciphersuites TLS1.3の暗号化設定に利用

ちょいメモ
OCSP Stapling nginx 1.3.7以降
HTTP/2 nginx 1.13以降
TLS 1.3 nginx 1.9.14以降
TLS 1.2 nginx さて？ openssl 1.0.2

高セキュリティ型

・TLS1.3　高セキュリティ型の設定例

ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256;

・TLS1.2 パターン名による高セキュリティ型の設定例

ssl_ciphers ECDHE+AESGCM:DHE+aRSA+AESGCM:ECDHE+AESCCM:DHE+aRSA+AESCCM:ECDHE+CHACHA20:DHE+aRSA+CHACHA20:+AES128:+DHE;

・TLS1.2 暗号スイート名による高セキュリティ型の設定例

ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-CCM:ECDHE-ECDSA-AES256-CCM8:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-CCM:ECDHE-ECDSA-AES128-CCM8:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-CCM:DHE-RSA-AES256-CCM8:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-CCM:DHE-RSA-AES128-CCM8;

推奨セキュリティ型

・TLS1.3　推奨セキュリティ型、セキュリティ例外型の設定例

ssl_conf_command Ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:TLS_AES_128_CCM_8_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256;

・TLS1.2 パターン名による推奨セキュリティ型の設定例

ssl_ciphers ECDHE+AESGCM:DHE+aRSA+AESGCM:ECDHE+AESCCM:DHE+aRSA+AESCCM:+AES256:ECDHE+CHACHA20:DHE+aRSA+CHACHA20:+DHE:ECDHE+AES128:ECDHE+CAMELLIA128:ECDHE+AES:ECDHE+CAMELLIA:+ECDHE+SHA:DHE+aRSA+AES128:DHE+aRSA+CAMELLIA128:DHE+aRSA+AES:DHE+aRSA+CAMELLIA:+DHE+aRSA+SHA;

・TLS1.2 暗号スイート名による推奨セキュリティ型の設定例

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-CCM:ECDHE-ECDSA-AES128-CCM8:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-CCM:ECDHE-ECDSA-AES256-CCM8:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-CCM:DHE-RSA-AES128-CCM8:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-CCM:DHE-RSA-AES256-CCM8:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-CAMELLIA128-SHA256:ECDHE-RSA-CAMELLIA128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-CAMELLIA256-SHA384:ECDHE-RSA-CAMELLIA256-SHA384:ECDHEECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-CAMELLIA256-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA256-SHA;

ssl-config.mozillaのnginxと比べると

https://ssl-config.mozilla.org/

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

動作確認 SSL Server Testから
https://www.ssllabs.com/ssltest/

・TLS 1.3 増加 3→5
TLS_AES_256_GCM_SHA384 (0x1302) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_CHACHA20_POLY1305_SHA256 (0x1303) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_AES_128_GCM_SHA256 (0x1301) ECDH x25519 (eq. 3072 bits RSA) FS
以下増加分
TLS_AES_128_CCM_SHA256 (0x1304) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_AES_128_CCM_8_SHA256 (0x1305) ECDH x25519 (eq. 3072 bits RSA) FS

・TLS 1.2 増加 5→10
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e) DH 3072 bits FS
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f) DH 3072 bits FS
以下増加分
TLS_DHE_RSA_WITH_AES_256_CCM (0xc09f) DH 3072 bits FS
TLS_DHE_RSA_WITH_AES_256_CCM_8 (0xc0a3) DH 3072 bits FS
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xccaa) DH 3072 bits FS
TLS_DHE_RSA_WITH_AES_128_CCM (0xc09e) DH 3072 bits FS
TLS_DHE_RSA_WITH_AES_128_CCM_8 (0xc0a2) DH 3072 bits FS

参考サイト：
最終更新日：2021年12月7日より
https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html

OpenSSLでの暗号スイートと指定方法を確認する（＋Apache、nginxでのIPAガイド設定例含む）
https://kazuhira-r.hatenablog.com/entry/2021/08/31/000416

nginx 1.19.4 以降で ChaCha20-Poly1305 の運用が現実的になった件
https://blog.kteru.net/chacha20-poly1305-with-nginx-ssl-conf-command/

TLS 1.0/1.1サイトは完全にブロック ～「Google Chrome 98」安定版がリリース
https://forest.watch.impress.co.jp/docs/news/1385273.html

余談：ssl_dhparam /etc/nginx/dhparamXXXX.pem は設定しましょう
dhparam.pemを作るのが面倒な場合
https://github.com/internetstandards/Internet.nl/tree/master/docker/it/targetbase/dh_param_infiles
ffdhe2048.txt
ffdhe3072.txt
ffdhe4096.txt
があります
最近は 3072bitsで作成 openssl dhparam -out /etc/nginx/dhparam3072.pem 3072

nginx : ssl_dhparamの有り無しでの挙動の違い
https://qiita.com/r-ytakada/items/7ac9ce32c1ed4d01d505

ガラホの要件は、メールが受信できること
・一台はUQmobileを利用しているのでそのまま使えると楽
　候補は @uqmobile.jp を受信できるガラホ KYF31U
・お休みモードで夜中に通知がわからないということが無い
※ケータイ(FOMA)からガラホに電話帳の移動はしません
　ガラケー(FOMA)をMNPしてiPhoneで利用
　iPhoneのSIM(UQmobile)をガラホで利用

docomo編

最初にdocomoのXiガラホ(KY-41B)を検討しました
・ドコモオンラインショップ 18,480円(KY-41B)、携帯からは購入することができない
・ドコモショップに行って契約しようとすると、頭金が必要・総額32,780円(KY-41B)かつ取寄で時間がかかる
・中古は数がまだ出ていない、なおかつ高い

携帯プラン(Xi) 月1,200円＋端末代を合わせると結構なお値段
https://www.nttdocomo.co.jp/charge/keitaiplan

DIGNO Phone KY31U購入

ドコモショップに行く前に、@uqmobile.jpのメール受信ができるガラホ(DIGNO Phone KY31U)購入
iPhone(UQmobile)のSIMを抜いてメールアドレスを契約(220円)受信できるか確認
・設定⇒端末⇒ソフトウェア更新 212.0.0d10 にアップデート
・メールアプリアップデート
上記アップデートでメール受信できたので、電池の減り具合などを確認したかったので数日そのまま利用

ガラケーだと充電から再充電まで12-15日でよかったのが
ガラホKYF31Uだと7日くらいだとわかり
ガラケー(docomo)のMNP番号発行してUQmobile(5Gプラン くりこしプランS+5G)を契約
SIMを抜いたiPhoneに入れて利用

UQmobileで使える携帯型端末

UQmobileで使えるガラホ(ケータイ型スマホ)は下記の通り
https://www.uqwimax.jp/mobile/products/sim/devices/
・DIGNO Phone KYF31U UQmobile仕様
・らくらくホン F-01M ドコモ製SIMロック解除必要
・GRATINA 4G KYF31 au製SIMロック解除必要
・AQUOS K SHF33 au製SIMロック解除必要
・AQUOS K SHF32 au製SIMロック解除必要
※@uqmobile.jp のメールが使えるのは KYF31U のみ
※上記端末はAPN設定を変更できるため、UQmobileのデータ通信が可能
　電話だけでよいのなら、他の後継端末でも良いはずです

60歳以上ならかけ放題をつけても1,628円＋770円=2,398円なので安い！
auのかけ放題プランより安いはず
もっと裏技は povo のかけ放題プラン 1,650円 が最安(データ通信とかメールは利用せず)

KYF31はリース落ちが多いのか在庫がいい感じです。UQmobile仕様のKYF31Uはたまに見かける程度
じゃんぱら
https://www.janpara.co.jp/sale/search/result/?SSHPCODE=&OUTCLSCODE=&KEYWORDS=KYF31&KEYWORDS.x=0&KEYWORDS.y=0&CHKOUTCOM=1

むすび
https://www.musbi.net/search/?searchword_txt=kyf31

長い間無償版ということでありがとうございました
この後は１アカウントあたり 680円/月 を払うか、独自ドメインでメールを受け取ってGmail で受信する設定に変更する等やり方はいろいろあると思います

Google Apps で利用していたメールを、新しく作ったGmailで受信できるまでの設定を解説

１．Gmailアカウントを作成する
２．Google Apps(Suite,Workspace)のアカウントでログイン
　設定(右上の方の歯車)⇒すべての設定を表示⇒メール転送とPOP/IMAP⇒POPダウンロード
　すべてのメールでPOPを有効にする　を選択して変更を保存
３．下記より安全性の低いアプリのアクセスを　オン　にする
　https://www.google.com/settings/security/lesssecureapps
　
４，新しく作ったアカウントで、
　設定(右上の方の歯車)⇒すべての設定を表示⇒アカウントとインポート⇒他のアカウントメールを確認
　メールアカウントを追加する　をクリック
５．受信するアドレスを入力　次へ
６．他のアカウントからメールを読み込む(POP3) を選択して　次へ
７．詳細情報の入力
　ユーザー名：kuni@exsample.com
　パスワード：そのまま入力
　POPサーバー：pop.gmail.com
　ポート：995
　メールの取得にセキュリティで保護された接続(SSL)を使用する　チェック
　受信したメッセージにラベルを付ける　任意
　アカウントを追加　をクリック

指定のユーザー名とパスワードによる POP3 アクセスはサーバーで拒否されました。
サーバーから返されたエラー: "[AUTH] Username and password not accepted."

これでメールの受信はできるはずです
6分で200通ずつ読み込むので
1時間2000通
24時間で48000通
メールの数によりますが、そこそこ時間がかかります

注意点は、POP3取込したメールはすべて未読になるのと、一定数のメールが「迷惑メール」に放り込まれるので、本当に不要か確認が必要
また、ラベルも同じように設定しないといけないので、ラベルの設定もやりなおしましょう

Google domainに移管してGmailに転送する方法

Google domainに移管してGmailに転送するGoole説明を記述しておきます
Google domainでは受信したメールを任意のgmailに転送する機能があるのでそれを利用

メールを転送する
https://support.google.com/domains/answer/3251241?hl=ja

Google Domains のメール オプション
https://support.google.com/domains/answer/6328630?hl=ja

メール転送の使用方法
https://domains.google/intl/ja_jp/learn/how-to-use-email-forwarding/

カスタム ネームサーバーによるメール転送を設定する
https://support.google.com/domains/answer/9428703

Cloudflare Email Routingを利用

このドメインはcloudflareを利用しているのと、メールは受信しか利用していなかったため、 今後は「Cloudflare Email Routing」を利用して、個人のgmailに転送することにしました

メールを送信する場合は、DKIMやspfの設定がきちんとできていないと「相手側の迷惑メール」に入ることになるので
・SendGrid
・mailgun
メール送信サービスを使いましょう。ググれば解説記事がでてきます

もしくは、独自ドメインの mx を「さくらのメールボックス(1048円/年)」に設定
・POP3かIMAP経由で受信
・送信はさくらのメールボックスのアカウント経由
メールは取込に行く頻度(20-30分程)タイムラグがあるのが難点

DKIMやDMARC対応するならさくらのVPSに複数ドメインを突っ込んで
postfix, dovecot, Let's encryptなどの設定

メールに関する技術用語

SPF DNS TXTレコードに記述 https://www.naritai.jp/guidance_spf_example.html

DKIM 設定は簡単 https://www.naritai.jp/guidance_dkim_example.html

DMARC 設定は簡単運用は別 https://www.naritai.jp/guidance_dmarc_example.html

BIMI ロゴ表示 https://www.naritai.jp/technology_bimi.html

ARC MailingList運用なら必須 https://www.naritai.jp/technology_arc.html

最低限設定しておくのは、SPF DKIM です
設定しているだけで、メールの到着率が変わります

参考：
https://support.google.com/a/answer/2855120