DKIMとDMARCに関して

メールむずいなぁと思いながらDKIMとDMARCを設定しました。
カシマです。

今関わってる内容からDKIMとDMARCを設定する必要があり、DKIMとDMARCを設定しました。
最初は戸惑いながらなのですが、とりあえず無事に設定はできたのですが…根本解決には至らず残念なお話になります。

環境のお話

今回のDKIMとDMARCの対応ですが、環境としてはこんな感じになります。

外からのメール→xxx.onnmicrosoft.com(第一受信)→転送→alias.xxxx.co.jp(googleドメインエイリアス)→xxx.co.jp(googleでメールを見る)
よってメールを送る場合に二つのケースが発生します。

  • xxx.co.jp(Office 365側)
  • xxx.co.jp(google側)

上記二つともSPFは設定済みで100%のPASSですが…DKIMがないためにちょっと前から迷惑メール扱いとなり始めていました。

DKIMを設定する…

と言ったもののDKIMの設定には限界があるので、頭を抱えているのですが、ひとまず一部の迷惑メールの対策としてGoogle側は対応できるのでサクッと実施し、様子を見ました。

ドメイン管理がRoute53なので2048バイトのキーは直接入れられず、分割投入します。

google._domainkey.xxx.co.jp. 3599 IN TXT     "v=DKIM1; k=rsa; p=MIIBIjANBgkHHHHHHHHBAAAAAAOAAQAAMIIBCgKCAQEAuhIIIIIIIIIIIzrbNy63v9OIX8AJJJJJJJJJJJdN0iE1NzajCc5jqF6Br3/c7LGGGGGGGGGRlDAeWUsg35FTcAAAAAAdsJacIPMGwaqPOCKNETIpGJW4eI7cR6Hx2TJKpvUsQ59k/AAA08AAsBbBB+BOXV6Hmx3HYCtfF2X+5QKp3WeWwCIMogdTS+H6XvSVB" "FFFFFFFFF5NAKHte+JdXn+Yo1HqkdpDCCCCCCCCOxvUxCJWRDDDDDDDRMdeZY/t65KEEEEEEEEpLLLLLLLLLLLLLLMtCMMMMMMMMMMMMM4faflvEpIqF5GJoGx0GlW49bur5k+Twkr+cTmFrD4IKKKKKKKK"

概ねはGoogleを利用していますのである程度回避できます。
しかし本題はOffice365側…色々やってみたものの、onmicrosoft.comは設定できるのですが、カスタムドメインはAWSにあるのでOffice365側のxxx.co.jpのDKIMが設定できず…。
一応過去に払い出したDKIMを設定してみたもののそりゃあダメですよねぇという状態で、頭を抱える。
まあonmicrosoft.comは設定されてるしいいかな…と思ってみるものの、一部のメールがメールヘッダーでPASS,FAIL,FAILなので、諦めました。

一応、証拠を残す目的でDMARCを設定しておきます。

DMARCを設定する

というわけで報告メールを受けるためにDMARCを設定します。

_dmarc.xxx.co.jp.    60      IN      TXT     "v=DMARC1; p=none; rua=mailto:dmarc@xxx.co.jp; ruf=mailto:dmarc@xxx.co.jp; pct=100; adkim=r; aspf=r; fo=1"

現状はこれで様子見しています。レポートが欲しいので、ひとまずOKとしました。
届いたレポートを読む限りでは、やはり半数近くのDKIMがfailしてる……。

傾向とかがわかれば対策できるかなぁと思って見てましたけど、Googleカレンダーの新規登録のみがアウト(SPFもDKIMもFAIL)なんですよねー。。。

もっとシンプルにGoogle Workspacesに寄せられれば綺麗になるんだけどなあ。。。。

となると、Allowリストを作るしかないかもな

というわけでAllowリストを作ってみました。
Google Workspacesなら以下で受け取ったメールを迷惑メールとするかAllowリストとするかを選択できます。

https://admin.google.com/ac/apps/gmail/spam?hl=ja

社内宛に届くいくつかのメールが迷惑メールに入りがちだったので迷惑メールから受信トレイで受け取れるように変更も合わせて実施しました。
そうでもしないとGoogleカレンダーのヘッダーを通そうと躍起になっても迷惑メール入りは免れられませんでしたので。。。

なんか残念な対応になってしまった気がします。

protonmailに変えられればなぁとか

protonmailという考えもあるんですけど、しょうがないのであきらめます(笑)
protonmailも有料版を使えば、カスタムドメインが使え、DKIM、SPF、DMARCと使うことができ、各ユーザにpgp設定できるので個人的にはおすすめです。
値段にすると結構高くなるんですけどね(笑)

とりあえずはなんとかなったしいいかなぁ。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

%d人のブロガーが「いいね」をつけました。