エックスサーバー+GoogleWorkSpaceで「SPF」「DKIM」「DMARC」の設定をした

SPF (Sender Policy Framework)とは

メール送信ドメインの認証技術のひとつで、電子メールの送信元ドメインの詐称を防ぎ、送信ドメインの正当性を検証することができる。

メール送信に使用されるプロトコルであるSMTP (Simple Mail Transfer Protocol)は、 差出人のメールアドレス(Fromアドレス)を自由に設定できるため、 送信元を偽った「なりすましメール」を簡単に送ることができてしまい、 迷惑メールに利用されていた。その「なりすましメール」を検証するのがSPF。

SPFは、メールの受信者(受信サーバー)が送信元が詐称されていないかどうかを確認できる。メールの内容が改ざんされたかどうかを検知することはできない。

DKIM(Domain Keys Identified Mail)とは

DKIMは、メールの受信者(受信サーバー)が電子署名により送信元のドメインを認証し送信者の偽装(なりすまし)を防ぐ技術です。

DKIMは、第三者が電子メール内のデータを改ざんしていないことを確認できる。

DMARC(Domain-based Message Authentication Reporting & Conformance)とは

DMARCは、DKIMとSPFが認証をパスしなかった場合にメッセージをメールの受信者(受信サーバー)がどうするかを、送信ドメインのドメイン所有者が受信者に伝えるためのポリシーを作成できます。

実際にどうするかは受信者側が決めます。

エックスサーバーの対応状況

「SPF」「DKIM」「DMARC」はすべてドメイン所有者がDNSレコードにTXTレコードを追加する必要があります。「DKIM」は送信サーバーから発行する鍵が必要です。

2023/11/30 SPFレコードの設定がクリックで簡単にできる! サーバーパネルに「SPF設定」機能を追加

2023/11/30
平素は当サービスをご利用いただき、誠にありがとうございます。

このたび当サービスでは、
SPFレコードの設定を簡単に行える「SPF設定」機能を追加しました。

本機能を利用することで、
各ドメインのSPFレコードの設定を「ON/OFF」のクリックで切り替えられるほか、
Gmail利用時の設定もクリックのみで行えます。

これまでは、ドメイン設定追加時にSPFレコードが自動で追加されるものの、
その後の設定変更や、Gmailへの対応などには一定の知識が必要でしたが、
本機能により、初心者の方でも簡単に設定が可能となります。

https://www.xserver.ne.jp/news_detail.php?view_id=11760

2023/02/14 送信メールの信頼性と到達率を向上! 送信ドメイン認証「DKIM」に対応

2023/02/14
平素は当サービスをご利用いただき、誠にありがとうございます。

このたび当サービスでは、
送信メールの信頼性を向上させる送信ドメイン認証技術「DKIM」に対応しました。

これにより、当サービスから送信するメールアドレスに使用されているドメインの、
正当性の検証が受信者側から可能になります。
送信メールが迷惑メールとして誤検知されるリスクの軽減や、
企業間におけるメールによるコミュニケーションのセキュリティ強化などを期待することができます。

https://www.xserver.ne.jp/news_detail.php?view_id=10286

2024/01/09 なりすましの防止とメールの到達性を向上させる「DMARC設定」機能を追加

2024/01/09

平素は当サービスをご利用いただき、誠にありがとうございます。

このたび当サービスでは、
メール認証技術であるDMARCの設定を簡単に行える「DMARC設定」機能を追加しました。

本設定を行うことで、Gmailをはじめセキュリティ基準の高いメールサービスに対して、
メールの到達性を向上させるほか、なりすましメールの送信防止対策としても有効にご活用いただけます。

「DMARC設定」はサーバーパネル上からクリックのみで設定可能で、
専門知識のない方でも、簡単にメールセキュリティを強化できます。

今回の対応により、
既に対応していたSPF、DKIMも含め、主要な送信ドメイン認証技術すべてに対応し、
当サービスをご利用いただくことで、法人等でのより厳格な用途におけるメールの利用が可能となりました。

いずれもサーバーパネルから簡単に設定が可能です。

間におけるメールによるコミュニケーションのセキュリティ強化などを期待することができます。

https://www.xserver.ne.jp/news_detail.php?view_id=11943

エックスサーバーにドメインを新規に追加してみた

取得したドメインのネームサーバー設定をns1.xserver.jpからns5.xserver.jpにする。「対象のドメインをエックスサーバーで管理する!」という意味。

契約中のXserverのレンタルサーバーからドメイン設定をクリック。

ドメイン設定追加→ドメイン名を入力して、確認画面へ進み追加する。

エックスサーバーにドメインを追加したドメインのレコードをみる

サーバーパネルの「DNSレコード設定」から対象のドメインを選択。

SPFのレコードの初期値を確認

メールサーバーは契約中のレンタルサーバー(エックスサーバー)を指定している。

SPFレコードによって、このレンタルサーバーからの

SPFレコードの基本書式【SPF version】【qualifier】【mechanism】:【値】

v=spf1+a:sv14103.xserver.jp+a:suggzz.com+mxinclude:spf.sender.xserver.jp~all

【SPF version】v=spf1は、SPF自体のバージョンを記載する部分。原則として「v=spf1」とする。

【qualifier】は、後続の【mechanism】にマッチしたとき、その認証結果をどのように処理するのか内容を設定します。

「+」⇒正常なメールとして処理
「⁻」⇒不正メールとして処理され、配信拒否の可能性あり
「~」⇒不正メールとして処理されるが、配信される
「?」⇒SPF指定なしとして処理される

【mechanism】はマッチする形式です。

a機構は、ドメイン名を引数とします。
送信サーバのIPアドレスが、与えられたドメインのAレコードもしくはAAAAレコードで解決されるならば、認証を通します。

include機構は、ドメイン名を引数とします。
include先ドメインのSPFレコードで認証処理が通るならば、認証を通します。include先でさらにinclude機構があった場合は、再帰的に評価します。

mx機構は、ドメイン名を引数とします。
送信サーバのIPアドレスが、与えられたドメインのMXレコードで解決されるならば、認証を通します。

all機構は、引数を取らず常に認証を通します。
SPFレコードの末尾で使うのが一般的です。たとえば認証結果を失敗にする検証子(qualifier)と組みあわせた「~all」は、「これまでの機構によって認証が通らなかったIPアドレスは、不正メールとして処理されるが、配信される」ことを意味します。

サーバーパネルのSPF設定から「Gmail許可の追加」をクリックしてみた

GoogleWorkSpaceを利用する場合のSPFレコードの設定には必要です。

変更されたSPFのレコードを確認

Googleのinclude機構が追加されました。

v=spf1 +a:sv14103.xserver.jp +a:suggzz.com +mx include:spf.sender.xserver.jp include:_spf.google.com ~all

DKIMレコードの初期値を確認

「default._domainkey.{ドメイン名」の txt レコードに、公開鍵が記述されます。この公開鍵はXserverのサーバーから送信されたメールのヘッダに「DKIM-Signature」という項目に、「秘密鍵」を使って生成したハッシュ値がセットされています。txt レコードの値は、v=DKIM1; k=rsa; p=~で始まる400文字程度の半角文字列です。

dkim=unknownとは

ADSP(Author Domain Signing Practices)
DKIMのオプション拡張で、送信側ドメインが署名の方法を指定できるようにするものです。
電子署名ポリシーの上位概念として、DKIM署名ヘッダを含まないメッセージの権威を決定するのに役立ちます。
ADSPレコードで「dkim=unknown」と指定することにより、
電子署名がない(DKIM署名に失敗した)メールも送信できるようになります。

DMARC レコードを追加してみた

初期値ではDMARC レコードがないためサーバーパネルのDMARC設定から追加してみました。

何もしない。レポートをオフにしました。

追加されたDMARCレコードを確認

v=DMARC1; p=none; が追加されました。

GoogleWorkspaceのDKIMを追加

GoogleWorkspaceの管理画面のGmailからメールの認証 メール認証(DKIM)を設定します。 をクリックする。

対象のドメインを選択し、「新しいレコードを生成」→DKIM鍵のビット長をデフォルトの2048、プレフィックスセレクタをデフォルトのgoogleのまま「生成」をクリック。

生成された公開鍵をコピー

エックスサーバーの管理画面からTXTレコードを追加する。

追加後、GoogleWorkSpaceの管理画面の「認証を開始する」をクリック。

しばらくすると認証されます。

Gmailのメッセージのソースを確認

Gmailで受信したメールのソースを確認することで、SPFとDKIMの状態がわかります。

SPFのみ設定した状態(DKIMは設定前)で送信したメールでもSPFとDKIMはPASSになっていました。

Gmailでは、デフォルトでDKIM鍵( d=*.gappssmtp.com )を使用して、全てのメールに署名しているため、このときのDKIMもPASSになります。しかし、これでは、DMARC Alignment Checkで、ドメイン名が違うと判断されてしまうため、d=example.comでDKIM鍵を発行します。

DKIM設定後では、ドメイン名が一致しました。

DMARK設定後のメールはすべてPASSになりました。

以上です。

System

Posted by zzz