LoginSignup
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@nukosan(Fujita-ITに少し詳しいアザラシ)

カスタム MAIL FROM ドメインを使って Azure Communication Services からメール送信する

Last updated at Posted at 2024-03-16

はじめに

メールセキュリティ対策が重要と言われてきている昨今ですが、2023年にはGoogleから「メール送信者のガイドライン」が公表されエンジニア界隈では話題になりましたね。

Azureにおけるメール送信元ドメイン認証や改ざんの対策をどのように実現するのか気になりましたので、本記事でそのインフラ構築とセキュリティ対策を実践していきます。

重要: Gmail では 2024 年 2 月以降、Gmail アカウントに 1 日あたり 5,000 件以上のメールを送信する送信者に対し、送信メールを認証すること、未承諾のメールまたは迷惑メールを送信しないようにすること、受信者がメールの配信登録を容易に解除できるようにすることが義務付けられます。詳しくは、1 日あたり 5,000 件以上のメールを送信する場合の要件をご覧ください。

なぜメール送信ドメイン認証をすべきなのか

この対応はGoogleだけが対応してくださいといっているだけではありません。

一般的にメールアドレスは、送信元ドメイン「@の後ろ部分」を簡単に詐称することができてしまうので、この送信元IPアドレスが正しいことを確認する「SPF (Sender Policy Framework)」という技術を使って対策をする必要があります。

さらに送信元から送ったメールが改ざんされていた場合、受信者が不本意にランサムウェア等を受けとってしまうと、セキュリティ事故の温床となる可能性があり「DKIM (DomainKeys Identified Mail)」というメール改ざんを検知する技術への対応が求められているのです。

「DMARC(Domain-based Message Authentication Reporting & Conformance)」とはSPF または DKIM の検証に合格しなかった場合にメールの処理方法を受信サーバーの指示を行うというものです。

このSPF/D-KIM/DMARCに対応することにより、送信者側で検証に失敗した際の検知や受信者側にメールが送信されないよう自動で拒否をしたり迷惑メールへ移動させるということをマネージできるようになり、アプリケーションのセキュリティを向上させることができるのです。

これらが本質的なリスクおよびその対策になります。

この記事で扱い内容と扱わない内容

今回は、メール送信ドメインの認証の技術である「SPF」および電子署名を用いて送信ドメインの認証をおこなう「D-KIM」について触れます。「DMARC」の検証に関しては次回の記事で記載しようと考えています!

目次

  1. Azure Communication Services(通信サービス) とは
  2. Azure Communication Services(通信サービス) の用意
  3. ドメインの用意
  4. Azure Email Communication Services(メール配信サービス)の作成
  5. Azure Email Communication Services(メール配信サービス)にカスタム検証済みドメインを設定
  6. SPF と DKIM の設定
  7. メールを送信する

Azure Communication Services とは?

  • Azure Communication Services とは からの引用です。

  • 用意されている REST API およびクライアント ライブラリ SDK を利用することで、通信を手軽にアプリケーションに組み込むことができます。 基になる技術 (メディアのエンコードやテレフォニーなど) の専門家でなくても、アプリケーションに通信を追加できます。

  • Comunications Service Email ができることは以下のようです。

    • 電話番号を取得する
      • 電話番号のプロビジョニングし、通話を発呼、着呼したりSMS ソリューションを構築できる。
    • アプリから SMS を送信する
      • Azure Communication Services の SMS REST API および SDK を使用して、サービス アプリケーションから SMS メッセージが送受信できる。
    • アプリからメールを送信する
      • Azure Communication Services のメール REST API と SDK を使用すると、サービス アプリケーションからメール メッセージを送信できる。

Azure Communication Services(通信サービス) の用意

  • ここからは、Azure Portal でリソースを構築し、メール配信するまでを実践した証跡ベースで進めていきます!

  • Azure Communication Servicesの作成を進めます。重要なのは「データの場所」です。この後作る「メール配信サービス」の「データの場所」と一致させる必要があります。
    image-65.png

  • 作成後はこのように表示されます。
    image-67.png

ドメインの用意

  • これから「App Service ドメイン」でドメインを購入します。費用は、 $11.99/年 です。

  • 「App Service ドメイン」で検索
    image-3.png

  • 「App Service ドメインの作成」を押下

  • image-4.png

  • 「ドメインの詳細」を入力
    image-5.png

  • 「連絡先情報」は個人情報駄々洩れになっちゃいますので省略しますw

  • 「詳細」では、自動更新とプライバシー保護の設定を行います。

  • image-9.png
    image-8.png

  • 購入したドメインが表示されている事を確認します。作成後に「ネットワーキング」「DNSゾーン」の順に押下し、「DNSゾーン」の画面を開きます。
    image-16.png

  • NS レコードと SOA レコードが追加されていますので、これで Azure DNS ゾーンを権威DNSサーバとして利用することができるようになりました。
    image-17.png

Azure Email Communication Services(メール配信サービス)の作成

  • 続いてメール送信を行うために「メール配信サービス」を作成します。
    「メール配信サービス」は以下の「+作成」から作成できます。
    image-25.png
  • 「Basics」で名前とDatalocationを選択できます。ここで重要なのは「データの場所」です。この指定はこの後作る「メール配信サービス」の「データの場所」と一致させる必要がありますのでご注意ください。
    image-22.png
    image-24.png

メール配信サービスにカスタム検証済みドメインを設定

  • Azure が提供するドメインではなく独自のカスタムドメインを利用してメールを送信したい場合には、検証済みのドメインを用意する必要があります。

  • 今回は冒頭で購入した「nukocse.net」というドメインをカスタム検証済みドメインとして利用できるよう設定します。以下リンクを参考にしています。
    クイックスタート: カスタム検証済みドメインを電子メール通信サービスに追加する方法

  • 以下の「メール通信サービス」>「ドメインをプロビジョニングする」の「+ドメインの追加」>「カスタムドメイン」から「nukocse.net」を入力して「確認する」を押下
    image-30.png
    image-32.png
    image-29.png

  • 正常に追加されました。
    image-33.png

  • カスタムドメインの「Domain Status」が[構成] となっていますので、[構成] をクリックして [TXT レコードを使用してドメインを確認する] に移動します。
    image-34.png

  • ドメイン検証するためのレコードが表示されます。
    image-35.png

  • DNSゾーンにレコードを追加します。
    image-37.png

  • Name:「@」、「Record Type」:「TXT」で指定された「Value」を入力してレコードを追加しました。
    image-41.png

  • Name:「nukocse.net」をそのまま入力すると以下のように検証が完了しませんのでお気を付けください!少しはまってしまいましたw

  • それでは「メール配信サービス」で完了を実行します。
    image-36.png

  • プロセスが完了するまでに 15 分から 20 分かかる場合があります。
    image-40.png

  • 以下のようにStatusが更新されます。
    image-43.png

以上でドメイン検証は終わりです。

SPF と DKIM を使用してドメインを認証する

  • 続いてSPF・D-KIMレコードを追加します。
  • 「メール通信サービス」にあるSPF Statusの「構成」を選択します。
    image-44.png
  • Azureでは次のように「SPF」、「D-KIM」、「D-KIM2」で定義すべきレコードが表示されます。
    image-45.png
    image-46.png
    image-47.png
  • これらをDNSゾーンへ追加します。SPFレコードは、DNS検証で追加していた「@」レコードにSPFレコードを追加すればSPFレコードも検証ができるようになります。
    image-59.png
  • レコードを追加したら、「メール通信サービス」の「レビュー」から「Done」を選択します。
    image-53.png
  • 検証が開始されました。
    image-54.png
  • D-KIMレコードはすぐに検証済みに変わりました。
    image-60.png
  • 20分程度経過してSPFレコードも検証済みに変わりました。
    image-61.png

カスタム MAIL FROM ドメインを使ってAzure Communication Service からメール送信する

  • 続いて「通信サービス」に戻り「ドメインを接続する」を選択します。
    image-68.png

  • 先ほど作成した「メール配信サービス」の確認済みドメインを選択し「接続」を押します。
    image-69.png

  • 冒頭でもお伝えしましたが、以下が注意事項です。

  • ドメインが正常に接続されました
    image-70.png

  • 「通信サービス」>「メールを試す」から必要な情報を入力し、「Send」を実行します。以下のフォームを入力すると勝手に右のサンプルコードが書き換わります。素晴らしい・・・。
    image.png

  • メール届きましたね。PCで見ると次のように「送信元」と「署名元」が指定したドメインになっていますので問題ないですね。
    image.png

  • Google からもメッセージのソースを見る方法や送信元・署名元を見る手順が記載されています。
    https://support.google.com/mail/answer/180707?hl=ja&co=GENIE.Platform%3DDesktop

  • ちなみにメッセージのソースは以下のようになっていました。
    image.png

終わりに

以上です。何とか出来たので良かったです!続いてこういうこともやりたいですね。

  • DMARCレコード追加して検証失敗時のポリシーを定義する
  • Azure Functions からのメール送信
  • メール受信はどうやるのか・・・ ←Azure Communication Servicesからは難しそう?

是非ご感想いただけると嬉しいです!

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?