Closed5
Googleの2024.2のメール送信者のガイドライン変更について
dehio3ガイドラインに準拠してない場合の影響
- Gmailアカウントへのメールが届かなくなる可能性がある
- Gmailアカウントの末尾が「@gmail.com」 または「 @googlemail.com」 の個人アカウント
- 企業等が利用しているGoogle Workspace アカウント(末尾が「@gmail.com」でないもの)
ガイドラインに対応するポイント
- 電子メール認証(SPF、DKIM、DMARC)へ対応する
- 迷惑メールと疑われるメールを送信しない
- 受信者がダイレクトメールを容易に登録解除できるよう対応する
- Gmailアカウントに対して1日に送信するメールが5,000件未満か5,000件以上で条件が異なる
dehio3SPF(Sender Policy Framework)
メールアドレスにおけるなりすましとは
電子メールのFrom:ヘッダー上に示される送信者アドレスと、SMTP通信でのMAIL FROM:コマンドの引数として与えられるメールアドレスである。SMTPでは、この2つが同じでなくてはいけないという規則はなく、また、一般に任意のアドレスを指定可能であるため送信者の偽称が非常に簡単に行える。
SPFとは
- 「送信ドメイン認証(Sender Authentication Technology)」の一つ
- SMTP通信において送信側のホストのIPアドレスを基に認証を行うIPアドレスベースの認証方式
- SMTP接続してくる相手のIPアドレスと、SMTP通信でのMAIL FROM:コマンド(およびHELOコマンド)の引数として与えられるドメイン名(FQDN)を元に認証
- ドメイン名を元にSPFレコードを取得し、相手ホストのIPアドレスと照合して認証する
SPFレコード
- ドメインに設定できる SPF レコードは 1 つだけ
- ドメインの SPF レコードには、ドメインに代わってメールを送信できるサーバーとサードパーティを複数指定できる
確認コマンド
dig <domain name> txt | grep -i spf
DKIM (Domainkeys Identified Mail)
- 送信側で電子メールに電子署名を付加し、受信側でその電子署名を照合するという方法で送信者のドメインの認証を行う
- 送信側のドメインを管理する権威DNSサーバーを使用して、署名に利用する公開鍵を公開する
- 公開鍵は、次に示すFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)に対するTXTレコードとしてDNSに登録する
- DKIMでの電子署名では、第三者認証局が発行した電子証明書を利用するのではなく、OpenSSLなどのツールを使って各ドメインの担当者らが、自身が管理するドメインの鍵を自身で作成する
- OpenDKIMでは、opendkim-genkeyというツールが提供されており、DKIMの署名に必要な秘密鍵と公開鍵を作成できる
DKIMの設定
GoogleWorkspaceのレコード確認コマンド
dig google._domainkey.<domain name> txt | grep -i dkim
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
- DMARCは、SPFとDKIMを利用したメールのドメイン認証を補強する技術
- 認証失敗時にどのようにメールを処理すればよいかを、 送信者が受信者に対してポリシーと呼ばれるレコードをDNS上で公開することで表明する仕組み
- 受信者から送信者に対して認証に失敗した旨を通知するレポートを送ることができる
DMARCレコード
- まずはメールフローのみをモニタリングする none ポリシーから始める
- none ポリシーを使用すると、受信サーバーによってメールが拒否されたり、迷惑メールに分類されたりすることなく、レポートの取得を開始できる
確認コマンド
dig _dmarc.<domain name> txt | grep -i dmarc
このスクラップは2023/11/19にクローズされました