概要
Hyperforce移行にあたり、「メールリレー」+「メールサーバーでIPフィルタリング」をしている際の対応方法について説明します。下記資料の③に該当します。
※参考資料:Hyperforce移行時の注意点
全体像
IPフィルタリングの場合
メールサーバーでSalesforceのIPを許可していて、該当IPからのメールは許可する
DKIMでフィルタリングの場合
HyperforceにおいてはIPでのフィルタリングは非推奨のため、代わりにdkim=passされたメールのみを許可する
前提条件
-
hoge.co.jpというドメインを仮定とします - Salesforce Classicで説明します
- DKIMやSFPなどの説明は割愛
手順
- Salesforce組織でDKIM鍵(メール管理 - DKIM鍵)を作成する
(代替)セレクターは後続のDNSレコード登録用の識別子になりますので、Sandboxを含む複数の組織を管理されている場合は命名規則を決めることをおすすめします。またSalesforceとわかるようにsfdcを含めることもおすすめします
- 表示されたすべてのDNSレコードをメールサーバーのドメイン(
hoge.co.jpを管理しているDNS)を管理しているDNSサーバーにCNAMEレコードとして追加します
追加される&認識されるまでは「無効」状態↓
- 該当組織で前述のDNSレコードが認識されたら、「有効化」ボタンを押下できるようになりますので、有効化してください
- Salesforceからメール送信して、メールの詳細(ヘッダー)に
dkim=passが載るようになります
- メールサーバーの受信ルールをIPベースではなく、メールヘッダーベースに変更します
条件:「ヘッダーにdkim=passが含まれていたら許可」
ただし、上記のように条件が1つだけだとSalesforce以外からのメールも意図せず許可することになるので、AND条件でX-SFDC-から始まるヘッダー情報も合わせてルールに含めて検討してください
気になること
Sandboxごとにこの設定をしないといけないのか?
おそらく、Sandbox同期すると本番のDKIM設定が同期されるので別途設定する必要はないと思われます
追って検証できたら更新します