メールサーバのセキュリティ設定の見直し〜SPF,DKIM,DMARC
うちのメールの設定全然ダメでした。ということで。見直しなのですが・・・
もともとホームページをロリポップ、ドメインをムームードメインで契約したのが、18年ほど前。
その後、ロリポップからWPXサーバに引っ越ししました。
そして、メールはGoogleWorkspaceに移しました。WPXサーバでMXレコードとか設定したのが10年くらい前でしょうか。その設定が間違っていると言うか良くないということなのか。
SPFの設定をAIに確認してやってみます。
Google WorkspaceでのSPF設定は、ドメインのDNS設定にTXTレコードを追加し、「v=spf1 include:_spf.google.com ~all」と記述します。既存のSPFレコードがある場合は、~allの直前にinclude:_spf.google.comを追加して1つにまとめます。これにより、Google Workspaceからのメールが正当なものとして認証され、なりすましを防ぎ、迷惑メール判定を回避できます。
SPF設定の手順
- DNS管理画面にログイン: ドメインのレジストラ(お名前.comなど)やDNSホスティングサービスの管理画面にログインします。
- TXTレコードの確認・追加:
- レコードがない場合: 新しいTXTレコードを追加します。
- タイプ: TXT
- 名前/ホスト: ドメイン名(または空欄)
- TTL: デフォルト値(通常3600)でOK
- データ/値:
v=spf1 include:_spf.google.com ~all
- すでにレコードがある場合: 既存のレコード(
v=spf1で始まるもの)を探し、~allの直前にinclude:_spf.google.comを追記します(例:v=spf1 include:other.spf.com include:_spf.google.com ~all)。複数レコードがあるとエラーになるため、1つにまとめます。
- レコードがない場合: 新しいTXTレコードを追加します。
- 設定の保存と反映: レコードを保存します。DNSの変更が反映されるまで数分〜72時間かかる場合があります
すでにTXTレコードがあって、それがあっているのかわからなくて悩ましいのですが、Googleの表記を追加しました。
SPFがPASSになりました\(^o^)/
でも、この設定でいい?とAIに確認したら、余計なことを書きすぎだからシンプルにしろ!といわれました。
ngy.biz TXT v=spf1 +a:sv1033.wpx.ne.jp +a:ngy.biz +mx include:spf.sender.xserver.jp include:_spf.google.com ~allAレコードが余計なようです。 あと+表記もいらないと
ということで以下にしました。
v=spf1 mx include:spf.sender.xserver.jp include:_spf.google.com ~allうーむ xserverの方はもういらないのでしょうか。GoogleWorkspaceでメールしてるからgoogleだけでいいのだと思うのですが・・・ この辺、本質的なことがわかってなくて嫌になります。
一応ネットワークスペシャリストの資格を四半世紀前にとったのですがもう忘れた(^^;
DMARCの設定
Google WorkspaceでのDMARC設定は、まずSPFとDKIMを設定し、DMARCレポートを受け取るためのメールアドレスを用意、ドメインのDNSにTXTレコードとしてDMARCレコードを追加する、という流れで行います。最初はp=noneポリシーで監視し、徐々にquarantineやrejectへ移行するのが推奨されており、これによりドメインの信頼性を高め、なりすましメールを防ぐことができます。
設定手順の概要
- 前提条件の確認(SPFとDKIMの設定): DMARCを有効にする前に、Google WorkspaceでSPFとDKIMが正しく設定され、機能していることを確認してください。。
- レポート用メールアドレスの準備: DMARCレポート(RUA/RUF)を受け取るための専用のメールアドレス(例:
dmarc-reports@yourdomain.com)を用意します。管理コンソールでエイリアスを作成することも可能です。 - DMARCレコードの作成: 以下の形式でDMARCレコードを作成します。
- 種別:
TXT - ホスト名:
_dmarc.yourdomain.com - 値:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com;(最初はp=noneで様子見)。
- 種別:
- DNSへの追加: ドメインホスト(お名前.com, Route 53など)のDNS設定画面で、上記DMARCレコードを追加します。
- 効果測定とポリシー変更: DMARCレポートを定期的に確認し、SPF/DKIM認証に失敗しているメールがないかを確認します。問題がなければ、徐々に
p=quarantine(迷惑メールへ振り分け)、最終的にp=reject(拒否)へとポリシーを強化します。
と、DMARC設定しようと思ったのですが、wpx speedのサーバでの設定がうまくいかず。。。DMARCは保留となりました。wpx speedはもうちょっと古くて、後継の新レンタルサーバではDNSに直設定ではなく、メールフィルタの機能としてDMARC等を設定するようなのですが、wpx speedにはその項目が見当たらず。。
いつかそのうちレンタルサーバ(wpx speed)ごと引っ越さないといけない時期がくるのでしょうね。。
そんなところで
