※ この記事は 2024/03/18 に投稿され、 2024/03/19 に内容が更新されています
出オチ
落ち着いて来てはいますが、Gmail の送信者ガイドラインが公開されてから、業務および友人から相談を受けることが多い日が続きました。
調べていくうちに、 SPF / DKIM / DMARC 以外にも様々なメール関連の RFC が出ていたことに気づいたので、SPF / DKIM / DMARC だけではなく、その他にも準拠したイマドキなメール環境を全力で整えます。
いきなり最終形と便利サイト。
テストサイトと確認結果
Gmail
送信ドメイン認証とか騒ぎ出す前に DMARC まで対応済みなので、まあ、楽勝ですね。

mail-tester
mail-tester.com はアクセスすると一意な受信メールアドレスを発行してくれ、そのメールアドレス宛にメールを送信すると、スパム判定のされ難さをスコアで表示してくれるという便利なサイト。
思ったより高くなかった、、のは内緒。
スコアが減算される理由も教えてくれるので便利。
今回は IP レピュテーションが低かったため、減算が大きかった。このあたりは VPS とかレンサバを使っていると致し方ない部分がある。
真っ当なメール運用をして、時が経つのを待つしかない。

SKYSNAG
SKYSNAG も無料で利用できるが、直接メールを送るのではなく、メールアドレスを入力すると、DNS 情報を参照してレポートを表示してくれる。
ただ、メールアドレスというところが厄介で、入力したメールアドレス宛にキャンペーン情報などが届くようになるので注意。
個人利用に留めておき、うっかり自社やお客様のメールアドレスなど入力しないように注意しよう。
こちらも余裕で合格ですね。今は (フラグ

Gmail 送信者ガイドライン周りで今話題の技術
ChatGPT 先生お願いします。
※ ChatGPT 先生、、回答がイマイチで加筆修正めんどうでした。次回はおねしゃす!!
SPF (Sender Policy Framework)
SPF は RFC 7208 で規定されている送信元メールサーバーの認証を行うための仕組みです。
メール受信サーバーは、送信元メールサーバーのIPアドレスが送信元ドメインの DNSレコードに登録されているかどうかを確認します。
郵便物を実家の家族から受取る時に、実家の住所じゃなかったら不自然ですよね。
「ウチのメールはこの住所から送ります」と宣言するのが SPF レコードです。
DKIM (DomainKeys Identified Mail)
DKIM は、 RFC 6376 で規定されているメールの送信元が本物であることを証明するための技術です。
メール送信者は、メールヘッダーにデジタル署名を付与し、受信者はこの署名を検証してメールの信頼性を確認します。
実家から届いた手紙に「母より」の署名があるけど、見たことがない筆跡だったら不自然ですよね。
ちょっと苦しいですが、書簡に対して署名をつけて正当性を示すのが DKIM です。
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
DMARC は、 RFC 7489 で規定されている SPF と DKIM の両方を組み合わせてメールの認証を強化し、不正な送信を防ぐための仕組みです。
また、DMARC は送信ドメインとメールヘッダーの「アライメント」をチェックし、不正送信のリスクを軽減します。
「SPF / DKIM に対応してればいいじゃないか?」と考えている方が多いのですが、 DMARC は別物です。SPF / DKIM は「なりすまし」ができてしまいます。
それに対し、 DMARC は「アライメント」という考えを用いて、 SPF / DKIM の認証結果を元に、 ヘッダ FROM のドメインパートが正当であるかを認証します。
DMARC を導入していなければ、 SPF / DKIM もただの飾りと言っても過言ではありません。
SPF: Pass DKIM: Pass でも DMARC: Pass とは限らないから注意!
SPF もしくは DKIM 署名の認証結果が、ヘッダ FROM ドメインと一致していなければ、 DMARC は 認証に失敗する。
アライメントについての詳細は「餅は餅屋に」で参考サイトをどうぞ。
つづく
TLS-RPT とか MTA-STS の話を書きたかったのに、結局 Gmail 送信者ガイドラインの話だらけになってしまった気がする。
ちなみに SPF / DKIM / DMARC に準拠したとしても、それだけでは Gmail 送信者ガイドラインを満たせないので注意!
よく読んで欲しい。個人的に一番厄介なのは以下だと思っている。
送信元のドメインまたは IP に、有効な正引きおよび逆引き DNS レコード(PTR レコードとも呼ばれます)があることを確認します。詳細
1 日あたり 5,000 件以上のメールを送信する場合の要件 – メール送信者のガイドライン – Google Workspace 管理者 ヘルプより
およびという & 条件になっている。
レンサバ勢は同一の IP アドレスを複数のドメインで共有しているため、 逆引きである PTR レコードを登録することができない。
ひとつの IP アドレスに対し複数のドメインを正引きで登録することはできる。
逆は無理で、ひとつの IP アドレスに対し、複数のドメインを逆引き登録することはできない。
レンサバ勢は爆死でしょうな。
スパマーはよくレンサバを利用しているので、それが Google の狙いかもしれないけど。
自分が利用している IP アドレスが共用かどうかは、以下のサイトなどで確認できる。
IP アドレスが共用だった場合は、 IP レピュテーションも同居している人に左右される。
一軒家に住んでいるか、集合住宅に住んでいるかの違いというところか。
VPS サービスであれば、固定 IP アドレス付きで逆引きレコードも登録できるので、送信メールサーバだけそちらに立てるのもいいかもしれない。
長くなったので、続きは [ : 破 ] で!
コメント