[mixhost] 独自メールをGmailに対応させた（SPFレコードの登録）

• きちんとメールサーバの設定をしておかないと、Gmailに届かなくなりそうです。
• SPFレコードにMailChannelsを入れていなかったので、追加しました。

1. 何をすればいいの？

高校の入試出願システムでGmailに届かなくなったんだって¹。

うちは大丈夫かな？

簡単に言うと、メール管理者はメールが安全に届くようにするためには「ルール」（SPF、DKIM、DMARC、TLSなど）を確認する必要があります。
「なりすましメール」と区別できるようにするためです。

Gmailへメールを送るための新ルール（送信側からのスパム対策）

2024年2月より、Gmail宛ての大量メール送信者に適用される新しいガイドラインが施行されます。これらの変更は、迷惑メールと不正なメッセージの増加に対処するために設けられました。以前、Googleは 検索に表示するには、HTTPSに対応するように要求したことがありました。今回は、そのメール版ということですね。これで、一気にメールのセキュリティ保護が進むね。Gmailにメールを送るには？7項目Gmailの新しいポリシー応は、迷惑メールを減らし、より安全でスパムのないコミュニケ...

chiilabo.com

1-1. Gmailに送ってセキュリティ状態を確認する

メールのセキュリティ状態は Gmailからでも確認できます。
独自メールから Gmail に送って、「セキュリティの詳細」を確認します。

うーん、一応セキュリティ保護はできているっぽいけど。
大手のメールと比べると「署名元」だけで「送信元」がないね。

1-2. 「SPF」とか「DKIM」ってなんなの？

Gmailのセキュリティの詳細が、何に対応しているかというと：

• 「送信元」がある：SPF認証が有効
• 「署名元」がある：DKIM認証が有効
• 「セキュリティ」がある：TLSが有効

それぞれ何を保護しているかが違うので、ちょっと用語を整理しておきます。

• SPF（Sender Policy Framework）
  送信元IPアドレスの正当性を検証する仕組みです。
• DKIM（Domain Keys Identified Mail）
  メールの内容がオリジナルから改竄されていないことを検証する仕組みです。
• TLS（Transport Layer Security）
  インターネット上でデータを暗号化して安全に転送するためのプロトコルです。
  メール送信では、メールサーバ間のSMTPを介したメールの送受信を暗号化します。

ちなみに、DKIMとTLSは似ていますが、別の機能です。
互いに補完するものです。

DKIMはメールの真正性を保証し、

TLSはメールの転送中のプライバシーとデータのセキュリティを保証します。

2. SPFが「SOFTFAIL」だった

「送信元」の項目がない、ということはSPFに問題があります。

レンタルサーバのヘルプで SPFの設定について確認してみます。
どうも、mixhostでは自動的にSPF、DKIMの設定がされているようです。

mixhostでは、プライマリドメインやアドオンドメインから追加したドメインにつきましては、自動的にメールSPFやDKIMの設定が行われます。

そのため、お客様にて手動で設定する必要はございません。

メールSPFやDKIMの設定について – mixhost ヘルプ＆サポート

でも、うまくいっていないんだよね。

ウェブ版のGmailでもう少し細かくみます。

「SPF」の項目は、「SOFTFAIL」になっていました。

これは、「疑わしい」という意味で、SPFレコードに記載されているIPアドレス・ドメインの外から送信されていることを示しています。

2-1. SPFレコードにないIPアドレスから送信されている

具体的な問題は、「IP: 23.83.218.24」がSPFレコードに記載されていないことです。

SPFは、DNSレコードに記録されていて、
「v=spf1」で始まっているTXTレコードです。

cPanelの「ゾーンエディタ」で確認してみると、ありました。

v=spf1 +a +mx +ip4:150.95.55.137 +ip4:163.44.239.12 ~all

確かに、SPFレコードに「IP: 23.83.218.24」は記載されていません。

IPアドレスからドメインを調べるには、「ドメイン/IPアドレス サーチ」が便利です。

「DNSレコード」とは？

「DNSレコード」は、「インターネットの住所帳」のようなものです。DNSレコードには、ドメイン名からIPアドレスに変換するプロセスで必要な情報が記録されています。DNSレコードは誰でも見られるDNSレコードは、誰でも簡単に確認できます。ドメイン名を使ってウェブサイトにアクセスしたり、メールを送受信したりする際に、バックグラウンドで自動的に参照されています。直接 確認するには：オンラインのDNSルックアップツールコマンドラインツールDNS「DNS（Domain Name Sys...

chiilabo.com

2-2. 許可するIPアドレスを追加したけれど

特定のIPアドレスを許可するには、「~all」の前に「+ip4:23.83.209.25」を追加します。

v=spf1 +a +mx +ip4:150.95.55.137 +ip4:163.44.239.12 +ip4:23.83.209.25 ~all

ところが、これでGmailに送ってみると、またもやエラー。
よく確認すると、送信元 IPアドレスが微妙に変わっています。

3. 「MailChannels」のIPアドレスは変動する

このIPアドレスがどこから来ているのか、WHOIS検索でドメインを調べてみます。
すると、「MailChannels」だとわかりました。

実は、レンタルサーバの場合は、サーバを保護するために「メールリレーシステム」でチェックしてからメール送信するようになっています。
今回は、「MailChannels」を通して送信されているために、サーバ自体のIPアドレスとは異なっていたのです。

[mixhost] 外部から見えるSMTPサーバはMailChannels（メールリレーサービス）

MailChannelsは「メールリレーサービス」で、外部に対してはSMTPサーバとして振る舞います。mixhostの共有サーバからメールを送る場合、MailChannels を通して行っています。これは、迷惑メールの発信元になることを防ぐためです。一部の利用者が迷惑メールの発信元になって共有サーバがブラックリストに入ると、ほかの利用者もメール送信できなくなるからです。mixhostのメールを支えるツールサーバをmixhostで借りているのですが、Webメールの仕組みを整理し...

chiilabo.com

3-1. 「relay.mailchannels.net 」を追加した

ただし、MailChannels のIPアドレスは固定ではないため、そのままIPアドレスを指定してもダメです²。
MailChannels の場合は、ドメイン「relay.mailchannels.net 」を「include」で指定します。
（ついでに、この機会に過去のサーバのIPアドレスも削除しておきます）

v=spf1 +a +mx include:relay.mailchannels.net ~all

無事にSPFも「PASS」することができました。

とりあえずは、これでOKそうだね。
ところで「DMARC」ってなんなの？

DMARCについては続く。

[mixhost] 独自メールでDMARC設定をした

Gmailが「セキュリティ対応していないメールサーバからのメールを受け取らない（だいぶ意訳）」というので、メール設定を見直しています。DMARCレコードを追加しました。前回はこちら。つまり、DMARCってなに？簡単に言えば、「DMARC」は、メールのなりすましを防ぎ、安全なメールのやり取りを支援するための「ルール」です。このルールを決めておくと、メールが本物であることを確認し、偽物のメールをブロックして、そのメールがどう扱われたかを教えてくれるレポートが動きます。DMARCに...

chiilabo.com

こちらもどうぞ。

Gmailで正しいメールなのに注意喚起メッセージが表示された【メール送信元と代行】

登録したサービスからのメールに、注意が表示されたんだけど、危険なのかな？Gmailでは、メールシステムそのものにセキュリティ機能が付け加えられています。迷惑メールを自動で判定して、注意を促すことができます。送信元が違う理由企業からのメールが、メール代行サービスなどを介して届けられた場合、メールに記載された送信元アドレスと実際の送信元サーバが異なることがあります。その場合、Gmailは 送信元アドレスを擬装した可能性を疑って、メール内のリンクや添付ファイルについて、注意喚起メッ...

chiilabo.com

[mixhost] 外部から見えるSMTPサーバはMailChannels（メールリレーサービス）

MailChannelsは「メールリレーサービス」で、外部に対してはSMTPサーバとして振る舞います。mixhostの共有サーバからメールを送る場合、MailChannels を通して行っています。これは、迷惑メールの発信元になることを防ぐためです。一部の利用者が迷惑メールの発信元になって共有サーバがブラックリストに入ると、ほかの利用者もメール送信できなくなるからです。mixhostのメールを支えるツールサーバをmixhostで借りているのですが、Webメールの仕組みを整理し...

chiilabo.com

[mixhost] 自分のサイトにアクセスできない【データベース接続確立エラー】

ブログの編集をしていたら、いきなりアクセスできなくなりました。どうもレンタルサーバの一時的なエラーで、1時間ほど待つと無事に復旧されました。はじめてのことでびっくりしましたので、その顛末を記録しておきます。Error establishing a database connectionとは？自分のサイトにアクセスしたら、こんなメッセージが表示されました（2020-09-26 17:33）。Error establishing a database connectionThis...

chiilabo.com

1. 高校入試の出願システム、Gmailにメール届かず……神奈川県、受験生に「@gmail.com以外のアドレス使って」 – ITmedia NEWS
2. MailChannels 送信フィルタリングを使用するには SPF を設定する必要があるのはなぜですか? – ヘルプセンター

QRコードを読み込むと、関連記事を確認できます。