【スポンサーリンク】

[mixhost] 独自メールをGmailに対応させた(SPFレコードの登録)

この項目は、随時追記します。なにかのヒントになれば嬉しいです。

[mixhost] 独自メールをGmailに対応させた(SPFレコードの登録)
2024.02.07
  • きちんとメールサーバの設定をしておかないと、Gmailに届かなくなりそうです。
  • SPFレコードにMailChannelsを入れていなかったので、追加しました。
\記事が役に立ったらシェアしてね/
  1. 何をすればいいの?
    1. Gmailに送ってセキュリティ状態を確認する
    2. 「SPF」とか「DKIM」ってなんなの?
  2. SPFが「SOFTFAIL」だった
    1. SPFレコードにないIPアドレスから送信されている
    2. 許可するIPアドレスを追加したけれど
  3. 「MailChannels」のIPアドレスは変動する
    1. 「relay.mailchannels.net 」を追加した
キーワード

キーワード:#Gmail(46)#cPanel(13)#mixhost(12)#メールサーバ(6)#DNSレコード(5)#MailChannels(2)#SPF(2)

【スポンサーリンク】

1. 何をすればいいの?

何をすればいいの?

高校の入試出願システムでGmailに届かなくなったんだって1

うちは大丈夫かな?

簡単に言うと、メール管理者はメールが安全に届くようにするためには「ルール」(SPF、DKIM、DMARC、TLSなど)を確認する必要があります。
「なりすましメール」と区別できるようにするためです。

Gmailへメールを送るための新ルール(送信側からのスパム対策)
Gmailへメールを送るための新ルール(送信側からのスパム対策)
2024年2月より、Gmail宛ての大量メール送信者に適用される新しいガイドラインが施行されます。 これらの変更は、迷惑メールと不正なメッセージの増加に対処するために設けられました。 以前、Googleは 検索に表示するには、HTTPSに対応するように要求したことがありました。今回は、そのメール版ということですね。 これで、一気にメールのセキュリティ保護が進むね。 Gmailにメールを送るには?7項目 Gmailの新しいポリシー応は、迷惑メールを減らし、より安全でスパムのない...
chiilabo.com
目次に戻る

1-1. Gmailに送ってセキュリティ状態を確認する

メールのセキュリティ状態は Gmailからでも確認できます。
独自メールから Gmail に送って、「セキュリティの詳細」を確認します。

Gmailに送ってセキュリティ状態を確認する
Gmailに送ってセキュリティ状態を確認する

うーん、一応セキュリティ保護はできているっぽいけど。
大手のメールと比べると「署名元」だけで「送信元」がないね。

目次に戻る

1-2. 「SPF」とか「DKIM」ってなんなの?

Gmailのセキュリティの詳細が、何に対応しているかというと:

  • 「送信元」がある:SPF認証が有効
  • 「署名元」がある:DKIM認証が有効
  • 「セキュリティ」がある:TLSが有効

それぞれ何を保護しているかが違うので、ちょっと用語を整理しておきます。

  • SPF(Sender Policy Framework)
    送信元IPアドレスの正当性を検証する仕組みです。
  • DKIM(Domain Keys Identified Mail)
    メールの内容がオリジナルから改竄されていないことを検証する仕組みです。
  • TLS(Transport Layer Security)
    インターネット上でデータを暗号化して安全に転送するためのプロトコルです。
    メール送信では、メールサーバ間のSMTPを介したメールの送受信を暗号化します。
「SPF」とか「DKIM」ってなんなの?

ちなみに、DKIMとTLSは似ていますが、別の機能です。
互いに補完するものです。

DKIMはメールの真正性を保証し、

TLSはメールの転送中のプライバシーとデータのセキュリティを保証します。

目次に戻る

2. SPFが「SOFTFAIL」だった

「送信元」の項目がない、ということはSPFに問題があります。

レンタルサーバのヘルプで SPFの設定について確認してみます。
どうも、mixhostでは自動的にSPF、DKIMの設定がされているようです。

mixhostでは、プライマリドメインやアドオンドメインから追加したドメインにつきましては、自動的にメールSPFやDKIMの設定が行われます。

そのため、お客様にて手動で設定する必要はございません。

メールSPFやDKIMの設定について – mixhost ヘルプ&サポート
SPFが「SOFTFAIL」だった

でも、うまくいっていないんだよね。

ウェブ版のGmailでもう少し細かくみます。

SPFが「SOFTFAIL」だった

「SPF」の項目は、「SOFTFAIL」になっていました。

SPFが「SOFTFAIL」だった

これは、「疑わしい」という意味で、SPFレコードに記載されているIPアドレス・ドメインの外から送信されていることを示しています。

目次に戻る

2-1. SPFレコードにないIPアドレスから送信されている

具体的な問題は、「IP: 23.83.218.24」がSPFレコードに記載されていないことです。

SPFは、DNSレコードに記録されていて、
v=spf1」で始まっているTXTレコードです。

cPanelの「ゾーンエディタ」で確認してみると、ありました。

SPFレコードにないIPアドレスから送信されている
v=spf1 +a +mx +ip4:150.95.55.137 +ip4:163.44.239.12 ~all

確かに、SPFレコードに「IP: 23.83.218.24」は記載されていません。

ちなみに

ここで特別に許可している IPアドレスは、mixhostのサーバでした。

  • jp58.mixhost.jp(150.95.55.137)
  • jp77.mixhost.jp(163.44.239.12)

内部的なサーバ引っ越しがあって、過去のIPアドレスが残っていました。

SPFレコードにないIPアドレスから送信されている

IPアドレスからドメインを調べるには、「ドメイン/IPアドレス サーチ」が便利です。

もう少し詳しく意味を読むと
  • v=spf1:SPFのバージョン1を使用している
  • +a:ドメインのDNS AレコードにリストされているIPアドレスからのメール送信を許可
  • +mx:ドメインのDNS MXレコードにリストされているメール交換サーバーからのメール送信を許可
  • +ip4特定のIPv4アドレスからのメール送信を許可
  • ~all:上記の条件に一致しない場合は、「ソフトフェイル」として扱う
「DNSレコード」とは?
「DNSレコード」とは?
「DNSレコード」は、「インターネットの住所帳」のようなものです。DNSレコードには、ドメイン名からIPアドレスに変換するプロセスで必要な情報が記録されています。 DNSレコードは誰でも見られる DNSレコードは、誰でも簡単に確認できます。 ドメイン名を使ってウェブサイトにアクセスしたり、メールを送受信したりする際に、バックグラウンドで自動的に参照されています。 直接 確認するには: オンラインのDNSルックアップツール コマンドラインツール DNS 「DNS(Domain ...
chiilabo.com
目次に戻る

2-2. 許可するIPアドレスを追加したけれど

特定のIPアドレスを許可するには、「~all」の前に「+ip4:23.83.209.25」を追加します。

v=spf1 +a +mx +ip4:150.95.55.137 +ip4:163.44.239.12 +ip4:23.83.209.25 ~all

ところが、これでGmailに送ってみると、またもやエラー。
よく確認すると、送信元 IPアドレスが微妙に変わっています。

許可するIPアドレスを追加したけれど
目次に戻る

3. 「MailChannels」のIPアドレスは変動する

このIPアドレスがどこから来ているのか、WHOIS検索でドメインを調べてみます。
すると、「MailChannels」だとわかりました。

実は、レンタルサーバの場合は、サーバを保護するために「メールリレーシステム」でチェックしてからメール送信するようになっています。
今回は、「MailChannels」を通して送信されているために、サーバ自体のIPアドレスとは異なっていたのです。

[mixhost] 外部から見えるSMTPサーバはMailChannels(メールリレーサービス)
[mixhost] 外部から見えるSMTPサーバはMailChannels(メールリレーサービス)
MailChannelsは「メールリレーサービス」で、外部に対してはSMTPサーバとして振る舞います。 mixhostの共有サーバからメールを送る場合、MailChannels を通して行っています。これは、迷惑メールの発信元になることを防ぐためです。 一部の利用者が迷惑メールの発信元になって共有サーバがブラックリストに入ると、ほかの利用者もメール送信できなくなるからです。 mixhostのメールを支えるツール サーバをmixhostで借りているのですが、Webメールの仕組み...
chiilabo.com
目次に戻る

3-1. 「relay.mailchannels.net 」を追加した

ただし、MailChannels のIPアドレスは固定ではないため、そのままIPアドレスを指定してもダメです2
MailChannels の場合は、ドメイン「relay.mailchannels.net 」を「include」で指定します。
(ついでに、この機会に過去のサーバのIPアドレスも削除しておきます)

v=spf1 +a +mx include:relay.mailchannels.net ~all

無事にSPFも「PASS」することができました。

「relay.mailchannels.net 」を追加した

とりあえずは、これでOKそうだね。
ところで「DMARC」ってなんなの?

DMARCについては続く。
[mixhost] 独自メールでDMARC設定をした
[mixhost] 独自メールでDMARC設定をした
Gmailが「セキュリティ対応していないメールサーバからのメールを受け取らない(だいぶ意訳)」というので、メール設定を見直しています。 DMARCレコードを追加しました。 前回はこちら。 つまり、DMARCってなに? 簡単に言えば、「DMARC」は、メールのなりすましを防ぎ、安全なメールのやり取りを支援するための「ルール」です。 このルールを決めておくと、メールが本物であることを確認し、偽物のメールをブロックして、そのメールがどう扱われたかを教えてくれるレポートが動きます。 ...
chiilabo.com
こちらもどうぞ。
Gmailで正しいメールなのに注意喚起メッセージが表示された【メール送信元と代行】
Gmailで正しいメールなのに注意喚起メッセージが表示された【メール送信元と代行】
登録したサービスからのメールに、注意が表示されたんだけど、危険なのかな? Gmailでは、メールシステムそのものにセキュリティ機能が付け加えられています。迷惑メールを自動で判定して、注意を促すことができます。 送信元が違う理由 企業からのメールが、メール代行サービスなどを介して届けられた場合、メールに記載された送信元アドレスと実際の送信元サーバが異なることがあります。 その場合、Gmailは 送信元アドレスを擬装した可能性を疑って、メール内のリンクや添付ファイルについて、注意...
chiilabo.com
[mixhost] 外部から見えるSMTPサーバはMailChannels(メールリレーサービス)
[mixhost] 外部から見えるSMTPサーバはMailChannels(メールリレーサービス)
MailChannelsは「メールリレーサービス」で、外部に対してはSMTPサーバとして振る舞います。 mixhostの共有サーバからメールを送る場合、MailChannels を通して行っています。これは、迷惑メールの発信元になることを防ぐためです。 一部の利用者が迷惑メールの発信元になって共有サーバがブラックリストに入ると、ほかの利用者もメール送信できなくなるからです。 mixhostのメールを支えるツール サーバをmixhostで借りているのですが、Webメールの仕組み...
chiilabo.com
[mixhost] 自分のサイトにアクセスできない【データベース接続確立エラー】
[mixhost] 自分のサイトにアクセスできない【データベース接続確立エラー】
ブログの編集をしていたら、いきなりアクセスできなくなりました。どうもレンタルサーバの一時的なエラーで、1時間ほど待つと無事に復旧されました。 はじめてのことでびっくりしましたので、その顛末を記録しておきます。 Error establishing a database connectionとは? 自分のサイトにアクセスしたら、こんなメッセージが表示されました(2020-09-26 17:33)。 Error establishing a database connection...
chiilabo.com
(参考)

(補足)

  1. 高校入試の出願システム、Gmailにメール届かず……神奈川県、受験生に「@gmail.com以外のアドレス使って」 – ITmedia NEWS
  2. MailChannels 送信フィルタリングを使用するには SPF を設定する必要があるのはなぜですか? – ヘルプセンター
目次に戻る
QRコードを読み込むと、関連記事を確認できます。

[mixhost] 独自メールをGmailに対応させた(SPFレコードの登録)
【スポンサーリンク】
【スポンサーリンク】
タイトルとURLをコピーしました