Serveur DNS : Bind
De OpenWikiBSD.
Sommaire |
Install & Config
L'ancienne doc ainsi que quelques notions de base qui ne seront pas reprises ici.
Installé par défaut, il ne reste plus qu'à l'activer.
echo 'named_flags="-c /etc/named-dual.conf -u named -t /var/named" ' >> /etc/rc.conf.local
Toujours le script de Mr Plouf pour relancer le démon.
Puis vous configurez vos zones comme vous l'entendez.
SPF
- Un enregistrement (txt ou spf) permettant d'afficher aux autres MTA quelles sont vos machines autorisées à servir de SMTP sortant du domaine. Les serveurs SMTP utilisant SPF récupéreront la liste de vos SMTP et autoriseront ou pas la réception de mails.
A ajouter à /var/named/master/db.votrezone :
openbsd-edu.net. IN TXT "v=spf1 mx ptr ip4:82.237.239.48 ip6:2a01:e35:2ede:f300:201:2ff:fe9d:daee -all"
Qui signifie : Je déclare que :
- Tous les MX du domaine,
- tous les enregistrements PTR du domaine,
- l'adresse IPv4 :machin,
- l'adresse IPv6 : truc,
- et eux seulement
sont autorisés à expédier des mails ! Tout autre serveur SMTP déclarant envoyer des mails dont le champ From est openbsd-edu.net est un menteur et il faut refuser ses mails.
Remarque: Un serveur SMTP validant SPF recevant un mail d'un domaine sans enregistrement SPF a une compatibilité ascendante et accepte par défaut le mail.
rndc: la commande de Bind
Inspiré de ça.
rndc-confgen > /etc/rndc.conf
Ajouter controls {
inet 127.0.0.1 port 953
allow { localhost; }
keys { Nomrndc; };
};
key "Nomrndc" {
algorithm hmac-md5; secret "LA_Cle_de/etc/rndc.key";
};
à /var/named/etc/named-dual.conf
Maintenant,
rndc reload
permet de
DNSSEC
A faire quand la version de Bind sera compatible DNSSEC, cad dès la 9.7.
Remarques générales
- Un serveur avec vues (et deux pattes) ne peut pas avoir un esclave connecté à l'identique et répliquant les vues.
