▽概要
Googleや米Yahoo!が2024年2月(Yahoo!は第一四半期だったかな)メールガイドライン改定で、
Google(個人用)とYahoo!それぞれ1日5000件以上メールを送っているなら、
SPF,DKIM,DMARCを設定し、強力なメール認証を導入しないとメール届かなくなる可能性がある
ということで、DMARC導入を検討しました。
「なにから良いのか…」と悩まれているかたへのお力になればと思い、DMARC導入でやったことをまとめました。
▽簡単なDMARCの説明
SPFやDKIMの判定で認証失敗したメールを受信側でどういう処理させるか定義する仕組みのこと。
1つのドメインに対して1レコード設定できる。
※とても分かりやすくまとめられているIIJ様のページを紹介します。
(決してIIJ様のあれではございませんが、このページが個人的にはとても分かりやすいです)
▽大まかな流れ
①DMARC設定値検討
②DNSサーバにDMARCレコード設定
③動作確認
DKIM導入時よりやることが少なくて…ありがてええええ
▽各工程でやったこと
①DMARC設定値検討
DMARCはドメインに対して1つ設定ができるとのことで、設定値を考えてみました。
設定例
_dmarc.●●.jp
タイプ:TXT
v=DMARC1; p=none;rua=mailto:hoge@●●.jp;ruf=mailto:hoge@●●.jp;sp=none;
TTL:3600
まずは基本的な内容の↓このオプションを設定しました。
(これ以外にもいろいろなオプションがありますが、今後検討してみます…)
| オプション名 | 詳細 | 設定値 |
|---|---|---|
| v(必須) | DMARCのバージョン | 今のところ”DMARC1”でOK |
| p (必須) | ポリシー | none(何もしない、モニタリング) quarantine(隔離、受信者の迷惑メールに入れる) reject(拒否、受信者にメールを受信させない) |
| rua(オプション) | 集計レポート送信先 | メールアドレスを指定する |
| ruf(オプション) | 認証チェックに失敗した時のレポート送信先 | メールアドレスを指定する |
| sp(オプション) | サブドメインの定義 | none(何もしない、モニタリング) quarantine(隔離、受信者の迷惑メールに入れる) reject(拒否、受信者にメールを受信させない) ※親ドメインと同じ動きにしたい場合は省略OK |
"p"について、まずはnoneで様子見て、大丈夫そうならquarantineやrejectを検討しようかと思い、
とりあえずp=noneで設定しました
”v”と”p”だけ必須ですが、”rua”は設定しておくことをオススメします
ruaを設定しておくことで、メール送信先のメールサーバから1日1回「あなたは私のメールサーバへこんなメールを送ってきましたよ」っていう、1通1通のメールに対してのSPFやDKIMの認証状況などが記載されたレポートが受け取れます
②DNSサーバにDMARCレコード設定
①で決めた値を設定する。
DMARCはTXTタイプで設定すればOK👍
DNSの設定方法はレジストラによって手順が異なるので、以下参考↓
お名前.comのネームサーバを使用している場合のTXTレコード設定方法
③動作確認
下記のコマンドプロンプトから確認したり、CMANインターネットサービスからDMARCレコードが設定されていることを確認しました。
ちなみに、ruaを設定した場合、設定後の翌日くらいから、DMARCレポートが届き始めます。
C:\User\●●>nslookup
>server 8.8.8.8 (GooglePublicDNS以外のなんでも良いのでサーバを指定)
>set type=TXT
>_dmarc.●●.jp (調べたいドメインを指定)
▽最後に…
DMARCって他の国に比べて、日本の企業の導入は少数らしいです。
今回のGoogleや米Yahoo!のメールガイドライン改定で、本腰を入れ調べ始めました。
今後ポリシーをquarantineやrejectに検討し、より強度なメール認証にできたら良いなと思います。