以下に関連して、やるべきことのまとめ
1. メールドメインの一覧を用意する
MXレコードを登録してるドメインは、サブドメインも含めて一通り要チェックや!サブドメインもちゃんと見ましょう、マジで。
とは言うものの、メールサービスによってサブドメインやエイリアスドメインの実装が異なる場合もありますので、そもそも論として「大量のメール送信をするのに、メインドメイン以外を使うな」が安定だと思われます。
2. SPFレコードのチェック
各メールドメインのTXTレコードに以下のような行が存在して、そのドメインを利用しているメールサービスが網羅されていること
"v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all"
よく使いそうなメールサービスはこの辺かな(その他は自分で調べて←)
- Gmail:
include:_spf.google.com- Exchange Online:
include:spf.protection.outlook.com- Amazon SES:
include:amazonses.com- WP Mail SMTP: ホストしてるサーバーのIPアドレスなど
尚、Gmailにおいて、サブドメインがメインドメインのドメインエイリアスの場合は、以下の実装で対応できる可能性があります(参考)が、ぶっちゃけ情報が古いため修正されてる可能性もあり、この辺の仕様は正直謎です←
"v=spf1 redirect=contoso.com"
最低限は上記があれば一旦はOK。ruaとかは居ても居なくても
3. DMARCのチェック
各ドメインのサブドメイン『_dmarc』のTXTレコードを見る。contoso.com の場合は、 _dmarc.contoso.com を見て、最低限以下が存在するか
"v=DMARC1; p=none;"
最低限は上記があれば一旦はOK。ruaとかは居ても居なくても
4. DKIMのチェック
各ドメインのdomainkeyのレコードをチェックして、無ければ設定する。(設定手順は各サービスの手順を見て)
(1) Google Workspace (Gmail)
google._domainkey.contoso.com に以下のTXTレコードが居ること
(※『p=~』はテナントごとに異なる)
"v=DKIM1; k=rsa; p=~"
居ない場合は、GWSの管理コンソールで生成したレコードをDNSにぶち込む
2048 bit が入らなかったら 1024 bit でもOK。それすら入らない(某×serverとか)場合はDNSを乗り換えるべし(Cloudflare DNSがオススメ)
(2) Microsoft 365 (Exchange Online)
******._domainkey.contoso.com に以下のTXTレコードが居ること
(※******はテナント毎に可変)
"v=DKIM1; p=~"
居ない場合は、以下の手順を参考に生成したレコードをDNSにぶち込む
5. 最後に
チェックツールとかでチェックすべし(以下は一例)
(※TTL値によっては反映まで時間がかかるので注意)
-
Google Message Header
- 当該ドメインから送信したメールヘッダをチェックします
- MAツールやメールフォームを用いている場合、実際にそちらから送信したメールでチェックしましょう
-
Check MX
- 基本はGmail用のチェックツールなので、それ以外では一部利用不可の機能有
- DNSによっては非対応の場合もありそう…
あとはよしなに!
なんか設定できないのがあったら、今後のことも考えてメールサービスやDNSの乗り換えも含めて検討すべし