「G Suite」タグアーカイブ

G Suite(Google Apps)×お名前.comでGmailをSPFとDKIMに対応させました

G Suite(Google Apps)×お名前.comでGmailをSPFとDKIMに対応させました

最近はいろんなチャットなどのコミュニケーションツールやサービスが出てきていますが、電子メール(e-mail)もまだまだ需要がありますよね。
特定のプラットフォームに依存しない、束縛されないe-mail(電子メール)というシステムはこれからもしばらくは無くならないのでしょう。

そう思うとe-mailって古くからあるわりに優れているなぁと思いますが、いくつか脆弱性というか、スキのあるシステムでもあって、迷惑メールやなりすましメールなどの悪意を持った第三者が他人のメールアカウントを偽造したりすることも少なくありません。

自分のメールアドレスが本当に自分が持っている、正規のドメインから送信されているという証明をつけることが大切になってきていると思います。

電子メールの送信者偽称を防ぐ送信ドメイン認証技術には、SPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)、Sender IDなどいくつかの方式が標準化されていますが、その中でも比較的導入しやすいSPFとDKIMをG Suite(旧Google Apps)のGmailに実装してみました。

SPFレコードは DNS(Domain Name Service)レコードの一種で、ドメインからのメール送信を許可するメールサーバーを指定します。

SPFレコードを記述することで、ドメインの送信元アドレスを偽装した迷惑メールの送信を防止できるほか、受信側はこのレコードを参照することで、相手のドメインからのメールが認証済みのメールサーバーから届いたものであるかどうかを確認できます。

SPFレコードに記載されたメールサーバー以外のサーバーからメールが送信されている場合、受信側のメールサーバーで迷惑メールとして拒否できます。

ボクがドメインを管理しているはお名前.com。

SPFの設定方法はわりと簡単。
お名前.comのドメインNaviの「ネームサーバーの設定」→「DNS関連機能の設定」→「DNSレコード設定を利用する」で
「v=spf1 include:_spf.google.com ~all」を記述した TXT レコードを作成するだけです。

慣れれば5分程度で設定が終わり、早ければ10分程度でDNSが書き換わってSPFが有効となります。

簡単に設定できるので、できる限りSPFを設定しておきましょう。
詳しくは「SPF レコードについて」を参照のこと。

次にDKIMですが、これはなりすましを防ぐために、送信メッセージのヘッダーに、DKIM 規格を使用してデジタル署名を追加します。
署名を追加するには、秘密ドメインキーを使用してドメインの送信メールのヘッダーを暗号化し、キーの公開版をドメインの DNS レコードに追加する必要があります。
これで受信サーバーが公開キーを取得して受信ヘッダーを復号化し、メールが本当にそのドメインからのものであること、途中で変更されていないことを確認できます。

これも思ったよりも簡単に設定できます。

まずはG SuiteのGoogle 管理コンソールに管理者アカウントでログイン。
[アプリ] > [G Suite] > [Gmail] > [メール認証] をクリック。
ドメインキーを生成するドメインを選択。
[新しいレコードを生成] をクリック。

お名前.comの場合は、2,048 ビットのキーがサポートされていないので、キー長を 2,048 から 1024 に変更します。
[生成] をクリックします。

SPFと同じく、お名前.comのドメインNaviの「ネームサーバーの設定」→「DNS関連機能の設定」→「DNSレコード設定を利用する」で
TEXTレコードを作成します。

ホスト名は「google._domainkey.your_domain.com」(your_domain.comを自分が使っているドメインに置き換える)
生成したキー「v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/”」を作成するだけです。

こちらも慣れれば10分程度で設定が終わり、早ければ10分程度でDNSが書き換わってDKIMが有効となります。
詳しくは「DKIM を使用してメールを認証する」を参照のこと。

送信ドメイン認証技術はemail(電子メール)を取り扱うすべての組織・企業での導入が望まれていますので、G SuiteでGmailを利用している方はぜひ設定をお試しください。

それにしても、G Suiteを使っている会社や組織ではGoogle Chromebookの相性もいいので、ノートPCのリプレイスにはChromebookも検討したらいいですよ。