さくらインターネットのレンタルサーバーでDKIMおよびDMARCが利用可能になったため設定実施

2024.02.02
サイト運営費捻出のため広告を使用しています

世の中には数多くの迷惑メールが出回っています。迷惑メールか否かを判断するために、メールの本文の内容やメールの送信元が正しいかなどをチェックしますが、メールソフトで簡単に目にすることができる迷惑メールの送信元(ヘッダFROM)は偽装(なりすまし)されている可能性があるので注意が必要です。このメール送信元の偽装を防ぐための仕組みの一つで従来から用いられてきたのは「SPF(Sender Policy Framework)」という方法です。

スポンサーリンク

SPFとは?

SPFは、エンベロープFrom(エンベロープ情報は、メールサーバー間の転送を担うMTAが、メールサーバ上で自動的に付加するもので原則詐称はできない)のドメインと送信元のIPアドレスから、メールが正当なサーバから送信されているかを確かめる方式です。DNSサーバには、あらかじめ送信側メールサーバのIPアドレス(SPFレコード)が登録されています。受信側メールサーバは、エンベロープFromドメインを管理するDNSサーバからSPFレコードを取得し、送信元メールサーバのIPアドレスと一致するかどうかを確認することで、なりすましでないことを確認します。

しかし、SPFにも限界があり、FROMアドレスには適用できない、SPFレコードはDNSルックアップの制限がある、メールが転送されたときにSPFが機能しないといった課題があります。

これらの課題を解決するために導入が進んでいるのがDKIMという技術です。

DKIMとは?

DKIMは「DomainKeys Identified Mail」の略です。メールサーバーから電子メールを送信する前に電子署名し、メールの受信者がDNSを経由して署名を検証することで、間違えなく送信されたドメインから送られてきていることを確認し、送信ドメインのなりすましを防ぐことができる機能です。

DKIMは次の2つのステップから送信元を検証します。

  1. 送信者はメールサーバに秘密鍵を配置し、メッセージから電子署名を生成する。
  2. 受信サーバは公開鍵を取得し、送られてきた電子署名を検証する。

実はGmailで2023年10月に下記の3点がアナウンスされていました。2024年2月以降に順次適用されます。

  1. 電子メール認証(SPF、DKIM、DMARC)へ対応する
  2. 迷惑メールと疑われるメールを送信しない
  3. 受信者がダイレクトメールを容易に登録解除できるよう対応する

ちなみに、DMARCとは、SPFとDKIMを補強するために、両方の認証に失敗したメールを受信側サーバでどう扱うかを送信側であらかじめ決めておくための仕組みです。

さくらインターネットでの対応

メール outlook

もしも、さくらインターネットがこれらの技術に対応しなければ、最悪、さくらインターネットのメールサーバーからGmailにメールを送っても迷惑メールに振り分けられたり、受け取りを拒否される可能性もありました。従って、さくらインターネットとしては何としてでも2024年1月末までに対応は終わらせたかったのだと思います。

1月31日にさくらインターネットでDKIMとDMARCが利用可能になったというアナウンスがあったので、コントロールパネルにログインして設定を行いました。多分、同じタイミングでたくさんの人が設定したためか、サーバーからレスポンスがなくてエラーになることが何回かありましたが、繰り返して操作をしているうちに無事に設定が終わりました。

さっそく、さくらインターネットのメールサーバーからGMAIL へメールを送信し、メールのソースを確認してみると、DKIMは無事にPASSの状態になっていました。DMARCポリシーは推奨されていた「迷惑メールフォルダに振り分ける」にしておきました。DMARCポリシーはさくらインターネットでは下記の三種類を選ぶことができました。

DMARCポリシー (p) 

  • 報告のみ行う (none)
  • 迷惑メールフォルダに保存する (quarantine)
  • 受信させない (reject)

なお、DMARCポリシーはメールの認証に失敗したときに取るべき動作を設定しますが、この設定に従うかはメールクライアントによって異なります。

「受信させない」を選択すると、仮に必要なメールが認証に失敗した場合、破棄されたメールは復旧することができなくなるので自己責任で設定するよう注意されていました。

不具合解消

以前、Niftyあてに来るメールを全てGmailのアドレス宛に自動転送していました。Gmailの迷惑メールシステムが優秀だったことと、いくつものメールボックスを管理するのが面倒だったので、Gmailに集約したかったからです。しかし、Niftyがメールのセキュリティ対策を強化したタイミングで、さくらインターネットのメールシステムから送付したメールがエラーになって転送できなくなってしまいまいました。仕方なく、NiftyからGmailへの自動転送は止めて、Niftyの受信箱を別に管理していたのですが、今回のさくらインターネットのDKIM対応に伴い、NiftyからGmailへの転送も問題なくできるようになりました。ひとまず一安心です。

コメント