Amazon SES を使用する場合
Amazon SESでDKIM, SPF, MXの設定を行う場合、以下のページとManagement Consoleを参照した。
作成したIdentityと各種Authentication Methodの内容をDNSサーバへ登録する際に、以下のような表にまとめてやり取りするとスムーズだった。
| Type | Name/サブドメイン名 | Value/設定値 | 説明 |
|---|---|---|---|
| CNAME | aaa._domainkey.domainname.com | aaa.dkim.amazonses.com | DKIM |
| CNAME | bbb._domainkey.domainname.com | bbb.dkim.amazonses.com | DKIM |
| CNAME | ccc._domainkey.domainname.com | ccc.dkim.amazonses.com | DKIM |
| MX | mail.domainname.com | 10 feedback-smtp.amazonses.com | MX |
| TXT | mail.domainname.com | "v=spf1 include:amazonses.com ~all" | SPF |
| TXT | _dmarc.domainname.com | "v=DMARC1; p=none;" | DMARC |
| CNAME | xx.domainname.com | aaa.cloudfront.net | Transfer from a domain to an application webserver |
一番下のCNAMEレコードは、メールのAuthentication Methodとは無関係である。DKIM等をDNSサーバへ登録してもらう場合新しいWebサイトのドメインを登録することが多いので、上記の例では追加した。WebサイトはCloudFrontを使う前提である。CloudfrontのDistributionについては、以下の記事を参考にした。
DKIM DomainKeys Identified Mail とは
送信ドメイン認証技術である。メール送信サーバ側が秘密鍵で電子署名を付与し、受信者は公開鍵を使って正当性を確認できる。
SESの場合、公開鍵を取得するためのキーが3つ存在するため、CNAMEレコードを3つ登録する必要がある。Name/サブドメイン名に入る値は (selector)._domainkey.(domain) の形式となっている。selectorとdomainを使用して公開鍵が取得できる。DKIMがDNSサーバに想定通りに登録されているかを、以下のようなサイトを使用して確認できる。
Selectorの有効期限はManagement Consoleで作成してから72時間である。72時間以内にDNSサーバに登録し、レコードが検証されないと無効になってしまうので注意。
DKIMの概要については、以下の記事を参考にした。
SPF Sender Policy Framework とは
SPFは、メールのなりすましを防ぐために使用する。送られたメールが正当であることを保証するために、送信元ドメインのDNSサーバにSPFレコードを公開する必要がある。
SESの場合はSPFのためのTXTレコードと合わせてMXレコードもDNSサーバへ登録する必要がある。MXレコードを登録する理由は、メールプロバイダーがバウンスをした場合にそれをSESで受け取るようにするためである。
以下の記事を参考にした。
DMARC Domain-based Message Authentication Reporting and Conformance とは
SPF認証とDKIM認証と組み合わせて利用される。SPFとDKIM認証のどちらかがエラーとなった場合、p=に指定されるアクションを受信したメールサーバが実行するように促す。
| p=none | 受信した結果がレポートされるので、メールプロバイダーがそれを見ることができる。 |
| p=quarantine | 受信したメールを隔離する。ジャンクメールに入れるか、受信サーバに保留するか等。 |
| p=reject | 受信したメールを破棄する。 |
以下の記事を参考にした。
参考文献
参考にした記事の内容やリンクは文中に記載した。
当サイトに掲載している記事は個人の見解であり、所属する組織の公式見解ではない。