エックスサーバー+GoogleWorkSpaceで「SPF」「DKIM」「DMARC」の設定をした
SPF (Sender Policy Framework)とは
メール送信ドメインの認証技術のひとつで、電子メールの送信元ドメインの詐称を防ぎ、送信ドメインの正当性を検証することができる。
メール送信に使用されるプロトコルであるSMTP (Simple Mail Transfer Protocol)は、 差出人のメールアドレス(Fromアドレス)を自由に設定できるため、 送信元を偽った「なりすましメール」を簡単に送ることができてしまい、 迷惑メールに利用されていた。その「なりすましメール」を検証するのがSPF。
SPFは、メールの受信者(受信サーバー)が送信元が詐称されていないかどうかを確認できる。メールの内容が改ざんされたかどうかを検知することはできない。
DKIM(Domain Keys Identified Mail)とは
DKIMは、メールの受信者(受信サーバー)が電子署名により送信元のドメインを認証し送信者の偽装(なりすまし)を防ぐ技術です。
DKIMは、第三者が電子メール内のデータを改ざんしていないことを確認できる。
DMARC(Domain-based Message Authentication Reporting & Conformance)とは
DMARCは、DKIMとSPFが認証をパスしなかった場合にメッセージをメールの受信者(受信サーバー)がどうするかを、送信ドメインのドメイン所有者が受信者に伝えるためのポリシーを作成できます。
実際にどうするかは受信者側が決めます。
エックスサーバーの対応状況
「SPF」「DKIM」「DMARC」はすべてドメイン所有者がDNSレコードにTXTレコードを追加する必要があります。「DKIM」は送信サーバーから発行する鍵が必要です。
2023/11/30 SPFレコードの設定がクリックで簡単にできる! サーバーパネルに「SPF設定」機能を追加
2023/11/30
平素は当サービスをご利用いただき、誠にありがとうございます。このたび当サービスでは、
SPFレコードの設定を簡単に行える「SPF設定」機能を追加しました。本機能を利用することで、
各ドメインのSPFレコードの設定を「ON/OFF」のクリックで切り替えられるほか、
Gmail利用時の設定もクリックのみで行えます。これまでは、ドメイン設定追加時にSPFレコードが自動で追加されるものの、
https://www.xserver.ne.jp/news_detail.php?view_id=11760
その後の設定変更や、Gmailへの対応などには一定の知識が必要でしたが、
本機能により、初心者の方でも簡単に設定が可能となります。
2023/02/14 送信メールの信頼性と到達率を向上! 送信ドメイン認証「DKIM」に対応
2023/02/14
平素は当サービスをご利用いただき、誠にありがとうございます。このたび当サービスでは、
送信メールの信頼性を向上させる送信ドメイン認証技術「DKIM」に対応しました。これにより、当サービスから送信するメールアドレスに使用されているドメインの、
https://www.xserver.ne.jp/news_detail.php?view_id=10286
正当性の検証が受信者側から可能になります。
送信メールが迷惑メールとして誤検知されるリスクの軽減や、
企業間におけるメールによるコミュニケーションのセキュリティ強化などを期待することができます。
2024/01/09 なりすましの防止とメールの到達性を向上させる「DMARC設定」機能を追加
2024/01/09
平素は当サービスをご利用いただき、誠にありがとうございます。
このたび当サービスでは、
メール認証技術であるDMARCの設定を簡単に行える「DMARC設定」機能を追加しました。本設定を行うことで、Gmailをはじめセキュリティ基準の高いメールサービスに対して、
メールの到達性を向上させるほか、なりすましメールの送信防止対策としても有効にご活用いただけます。「DMARC設定」はサーバーパネル上からクリックのみで設定可能で、
専門知識のない方でも、簡単にメールセキュリティを強化できます。今回の対応により、
既に対応していたSPF、DKIMも含め、主要な送信ドメイン認証技術すべてに対応し、
当サービスをご利用いただくことで、法人等でのより厳格な用途におけるメールの利用が可能となりました。いずれもサーバーパネルから簡単に設定が可能です。
間におけるメールによるコミュニケーションのセキュリティ強化などを期待することができます。
https://www.xserver.ne.jp/news_detail.php?view_id=11943
エックスサーバーにドメインを新規に追加してみた
取得したドメインのネームサーバー設定をns1.xserver.jpからns5.xserver.jpにする。「対象のドメインをエックスサーバーで管理する!」という意味。
契約中のXserverのレンタルサーバーからドメイン設定をクリック。
ドメイン設定追加→ドメイン名を入力して、確認画面へ進み追加する。
エックスサーバーにドメインを追加したドメインのレコードをみる
サーバーパネルの「DNSレコード設定」から対象のドメインを選択。
SPFのレコードの初期値を確認
メールサーバーは契約中のレンタルサーバー(エックスサーバー)を指定している。
SPFレコードによって、このレンタルサーバーからの
SPFレコードの基本書式【SPF version】【qualifier】【mechanism】:【値】
v=spf1+a:sv14103.xserver.jp+a:suggzz.com+mxinclude:spf.sender.xserver.jp~all
【SPF version】のv=spf1は、SPF自体のバージョンを記載する部分。原則として「v=spf1」とする。
【qualifier】は、後続の【mechanism】にマッチしたとき、その認証結果をどのように処理するのか内容を設定します。
「+」⇒正常なメールとして処理
「⁻」⇒不正メールとして処理され、配信拒否の可能性あり
「~」⇒不正メールとして処理されるが、配信される
「?」⇒SPF指定なしとして処理される
【mechanism】はマッチする形式です。
a機構は、ドメイン名を引数とします。
送信サーバのIPアドレスが、与えられたドメインのAレコードもしくはAAAAレコードで解決されるならば、認証を通します。
include機構は、ドメイン名を引数とします。
include先ドメインのSPFレコードで認証処理が通るならば、認証を通します。include先でさらにinclude機構があった場合は、再帰的に評価します。
mx機構は、ドメイン名を引数とします。
送信サーバのIPアドレスが、与えられたドメインのMXレコードで解決されるならば、認証を通します。
all機構は、引数を取らず常に認証を通します。
SPFレコードの末尾で使うのが一般的です。たとえば認証結果を失敗にする検証子(qualifier)と組みあわせた「~all」は、「これまでの機構によって認証が通らなかったIPアドレスは、不正メールとして処理されるが、配信される」ことを意味します。
サーバーパネルのSPF設定から「Gmail許可の追加」をクリックしてみた
GoogleWorkSpaceを利用する場合のSPFレコードの設定には必要です。
変更されたSPFのレコードを確認
Googleのinclude機構が追加されました。
v=spf1 +a:sv14103.xserver.jp +a:suggzz.com +mx include:spf.sender.xserver.jp include:_spf.google.com ~all
DKIMレコードの初期値を確認
「default._domainkey.{ドメイン名」の txt レコードに、公開鍵が記述されます。この公開鍵はXserverのサーバーから送信されたメールのヘッダに「DKIM-Signature」という項目に、「秘密鍵」を使って生成したハッシュ値がセットされています。txt レコードの値は、v=DKIM1; k=rsa; p=~で始まる400文字程度の半角文字列です。
dkim=unknownとは
ADSP(Author Domain Signing Practices)
DKIMのオプション拡張で、送信側ドメインが署名の方法を指定できるようにするものです。
電子署名ポリシーの上位概念として、DKIM署名ヘッダを含まないメッセージの権威を決定するのに役立ちます。
ADSPレコードで「dkim=unknown」と指定することにより、
電子署名がない(DKIM署名に失敗した)メールも送信できるようになります。
DMARC レコードを追加してみた
初期値ではDMARC レコードがないためサーバーパネルのDMARC設定から追加してみました。
何もしない。レポートをオフにしました。
追加されたDMARCレコードを確認
v=DMARC1; p=none; が追加されました。
GoogleWorkspaceのDKIMを追加
GoogleWorkspaceの管理画面のGmailからメールの認証 メール認証(DKIM)を設定します。 をクリックする。
対象のドメインを選択し、「新しいレコードを生成」→DKIM鍵のビット長をデフォルトの2048、プレフィックスセレクタをデフォルトのgoogleのまま「生成」をクリック。
生成された公開鍵をコピー
エックスサーバーの管理画面からTXTレコードを追加する。
追加後、GoogleWorkSpaceの管理画面の「認証を開始する」をクリック。
しばらくすると認証されます。
Gmailのメッセージのソースを確認
Gmailで受信したメールのソースを確認することで、SPFとDKIMの状態がわかります。
SPFのみ設定した状態(DKIMは設定前)で送信したメールでもSPFとDKIMはPASSになっていました。
Gmailでは、デフォルトでDKIM鍵( d=*.gappssmtp.com )を使用して、全てのメールに署名しているため、このときのDKIMもPASSになります。しかし、これでは、DMARC Alignment Checkで、ドメイン名が違うと判断されてしまうため、d=example.comでDKIM鍵を発行します。
DKIM設定後では、ドメイン名が一致しました。
DMARK設定後のメールはすべてPASSになりました。
以上です。
ディスカッション
コメント一覧
まだ、コメントがありません