【AWS】EC2 IPのDNS逆引き設定をしてみました。

弊NWはAWSをベースに構築をされています。ネットワーク概要はこちらをご覧ください。

インターネットへはNATゲートウェイではなく、EC2上に構築したNATインスタンスで実装しているため、
EC2に割り当てたElastic IPにはデフォルトで ec2-XXX-XXX-XXX-XXX.ap-northeast-1.compute.amazonaws.com. というDNS逆引き設定がされています。これをITSドメインのものに変更することにします。

なお、米国東部(オハイオ)、カナダ(中部)、欧州(ミラノ)、アジアパシフィック(ムンバイ)、およびアフリカ(ケープタウン)などのリージョンはElastic IPの項目からコンソール上で逆引きの設定ができるようになっています。

注意点

  • 申請はルートアカウントでしかできません。
  • 正引きのDNSのAレコードを登録しておいてください。

正引き・逆引きとは?

言葉で説明すると、「ホスト名(ドメイン名)に紐づくIPアドレスを調べることを正引き、
逆にIPアドレスに紐づくホスト名(ドメイン名)を調べることを逆引き」といいます。

逆引きの設定がなぜ必要なのか、
それは、逆引きによって確認されたホスト名(ドメイン名)からあらためて正引きを行い導き出されたIPアドレスと元のIPアドレスを比較することで接続元の出自の正確性をある程度はかることができるからです。
これはドメイン名・IPアドレスの取得はそれぞれ別々に行われ管理者が別々である場合もあるため、お互いの情報に整合性があればそれだけ信頼度が高いと考えられるためです。

申請手順

マネジメントコンソールにログイン
※ルートユーザーでログインします。

ログインした状態で、以下のURLにアクセスします。
https://aws.amazon.com/forms/ec2-email-limit-rdns-request

以下入力します。

①Email address: ルートユーザーのメールアドレスを入力
②Use case description:DNS逆引きが必要な理由を入力
③Elastic IP Address:逆引きを可能にしたいグローバルIP(Elastic IP)を入力します。
④Reverse DNS Record:逆引きの結果として設定してほしいドメイン名を入力します。

各項目への入力が完了したら、Submit ボタンを押してください。

あとは設定完了を待ちましょう。

フィードバックが来た

申請をした4分後くらいにフィードバックが来ました。

Hello,

 Thank you for submitting your request to have the email sending limit removed from your account and/or for an rDNS update.

 We will require the following before this request can continue being reviewed:
     * A statement indicating how you intend to ensure this account is not implicated in sending unwanted mail
 Please reply directly to this message with the above information. Once this has been received, we can continue reviewing your original request.

 As a reference, please make sure to review the AWS Acceptable Use Policy (https://aws.amazon.com/aup/) for more information regarding prohibited use of AWS services.
 Please note that violations of the AWS Acceptable Use Policy may result in mitigation of identified activity or content.

 Regards,

スパムメールなどの送信に使わないことを示すエビデンスを出せと言うことなので、以下を主張しました。

  1. NATインスタンスとしての利用であるため、PostfixやSendmailなどの利用はない
  2. MTAはアンインストールしている
    →エビデンスとして ll /etc/alternatives/ のコマンド結果を引用しました。
    sendmail が採用されていれば、”/etc/alternatives/mta -> /usr/sbin/sendmail.sendmail”
    Postfix が採用されている場合には、ここは “/etc/alternatives/mta -> /usr/sbin/sendmail.postfix” というリンクが確認できますので、ないということはインストールされていないということであるという主張です。

設定完了

メールを返信した45分後くらいにAWSから設定完了のメールが到着しました。

Hello,

We have configured the reverse DNS record you requested! Your request was mapped for the following:

Successfully setup XXXXXXXXXX as rDNS for NNN.NNN.NNN.NNN

Please note that propagation of this update to DNSBL services that Amazon works with may take up to a week.

Email sending limitations have also been removed for any resources for the region your EIP is located in.

Please let us know if you have any questions.

Regards,
Amazon Web Services

動作確認をしてみます。いつも通りnslookupコマンドで良いと思います。

お詫び)マスキングしました

ちゃんと設定されていました。

最後に

AWSのrDNSは申請が必要なことと英語での問い合わせが必要であるため、少し敷居が高いですが、ちゃんと説明すればAWSのサポートは納得してくれます。
東京リージョンもコンソール上で逆引きの設定ができるようになってくれるといいですね。