セキュリティ機能〜送信ドメイン認証
1. 概要
送信元のメールアドレスの正当性や、改ざんの有無などを検査し、ヘッダーに記載する機能です。
SPF/DKIM認証により、受信したメールのヘッダーから正規なメールであることが確認できるため、なりすましメールや、存在しないメールアドレスからの迷惑メールなどの対策としてご利用になることができます。
2. メール受信時の送信ドメイン認証
仕様
受信時にメールヘッダへ次のような認証結果が挿入されます。
■DKIM認証■SPF認証
ARC-Seal: i=1; a=rsa-sha256; d=[送信元ドメイン]; s=20231221; t=[ユニックスタイムスタンプ]; cv=none
pass | 認証に成功した(正しい送信元からのメールである) |
---|---|
none | 送信元ドメインが未対応(レコードが無い) |
fail | 認証に失敗した(送信元が偽られている可能性が高い) |
softfail | 認証に失敗した(ただし、送信元はエラーとして扱わないよう明示している) |
PermError | 認証側が対応していない方式、またはレコード記載誤り |
なお、現時点では判定結果による隔離機能などは対応しておりません。判定結果についてはヘッダを開いて確認するか、クライアントによるヘッダでの振り分け機能などと併用してご利用ください。
設定方法
メール管理者(kanri@お客さまドメイン)アカウントにてログインのうえ、メールマネージャーから設定することができます。
サイト管理 > セキュリティ > 送信ドメイン認証 のメニューを開き、利用したい機能について「利用する」を選択のうえ、最下部の「設定変更」ボタンをクリックします。
<外部のDNSをご利用されているお客さまへ>
お客さまがご利用のDNSサーバーに、次のとおりDKIMおよびARC対応に必要なレコードを登録してください。
セレクタ名は「20231221」となります。
VALUE:"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDJzD+E51YUVSfAZjEcZs9805mxl+L82yCtiL2/aLodm9K4tdNCUD7bhEeCZ47pcraTh+cdJ/k6iGCYmpOw62SseBI3QWCRX8GEgk/7A6l9KjWnFCdEL384alFwv6R1nFkO2FKIPhkCIg0IBEfhpSizJy+q9nrG4qotiRBUEWDLFwIDAQAB"
※メインドメインは、お客さまが現在本サービスでご利用のメールアドレス「***@****」の@より後の部分です。
※設定方法はお客さまご利用のDNSによって異なります。
オプションサービスのDNSアウトソーシングをご利用のお客さまはこちらをご参照ください。
例:メインドメインが「example.com」の場合
注意事項
- ARC認証を「利用する」、かつ、外部DNSをご利用されているお客さま(ご自身でDNSサーバーをご用意されているお客さまや、別サービスのオプションサービスとしてDNSアウトソーシングをご利用のお客さま)につきましては、サイトマネージャーでの操作を行う前に、必ず先にDNSサーバーへのレコード登録を済ませてください。
必要なTXTレコードが登録されていない状態でARC認証を「利用する」設定にし、メール転送が行われると、宛先メールサーバーから正常な認証ではないと判断され、拒否されることがあります。 - メール受信時のSPF/DKIM認証を「利用する」に設定した場合、SuiteX V2 タイプ メールプレミアムに登録されたメールユーザーから送信されるメールも認証の対象になります。そのため、SPFレコードにはメールサーバーのIPアドレスを必ず記載する必要があります。
- 他のメールサーバーから転送されたメールを本機能で認証する場合、転送元サーバーがメールの送信元として認証されます。その為、spfとsender-idの判定がsoftfailまたはfailとなる場合がありますので、ご注意ください。
3. メール送信時の送信ドメイン認証
DKIM署名の仕様
<仕様>
DKIM署名につきましては、送信時にメールヘッダへ次のような署名が挿入されます。
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=[送信元ドメイン]; s=20231221; t=[ユニックスタイムスタンプ];
bh=[本文のハッシュ値];
h=From:To:Date:Message-ID:MIME-Version;
b=[電子署名時の文字列]
DKIM署名の設定方法
DKIM署名を利用する際は、メール管理者(kanri@お客さまドメイン)アカウントにてログインのうえ、メールマネージャーから設定することができます。サイト管理 > セキュリティ > 送信ドメイン認証 のメニューを開き、DKIM署名を「利用する」を選択のうえ、最下部の「設定変更」ボタンをクリックします。
<外部のDNSをご利用されているお客さまへ>
お客さまがご利用のDNSサーバーに、次のとおりDKIMおよびARC対応に必要なレコードを登録してください。
セレクタ名は「20231221」となります。
VALUE:"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDJzD+E51YUVSfAZjEcZs9805mxl+L82yCtiL2/aLodm9K4tdNCUD7bhEeCZ47pcraTh+cdJ/k6iGCYmpOw62SseBI3QWCRX8GEgk/7A6l9KjWnFCdEL384alFwv6R1nFkO2FKIPhkCIg0IBEfhpSizJy+q9nrG4qotiRBUEWDLFwIDAQAB"
※メインドメインは、お客さまが現在本サービスでご利用のメールアドレス「***@****」の@より後の部分です。
※設定方法はお客さまご利用のDNSによって異なります。
オプションサービスのDNSアウトソーシングをご利用のお客さまはこちらをご参照ください。
例:メインドメインが「example.com」の場合
SPFの設定方法
<本サービスが標準提供しているDNSをご利用のお客さま>ご契約のメールサーバーのIPアドレスはデフォルトで登録されているため、設定は必要ありません。
それ以外のIPアドレスを追加登録したい場合、DNS設定変更画面にて「拡張設定」を選択することにより、任意の設定を追加することができます。
メール管理者(kanri@お客さまドメイン)アカウントにてログインのうえ、メールマネージャーから設定してください。
サイト管理 > ドメイン > DNS設定変更 のメニューを開き、真ん中部分にある「拡張設定」を選択のうえ、TXTレコード欄に入力します。入力後、最下部の「設定」ボタンをクリックしてください。
<外部のDNSをご利用されているお客さま>
お客さまのDNSサーバーにて設定をお願いいたします。設定例はこちらをご参照ください。
DMARCの設定方法
<本サービスが標準提供しているDNSをご利用のお客さま>
DMARCに必要なTXTレコードはデフォルトで登録されているため、設定は必要ありません。
<外部のDNSをご利用されているお客さま>
お客さまご自身でDNSの設定変更をお願いいたします。次の設定例をご参考になさってください。
DMARCポリシー(「p=*」の部分)につきましては、例のとおり「p=none;」のままでも、お客さまの運用にあわせて適宜カスタマイズいただいても問題ありません。
_dmarc.お客さまドメイン名. IN TXT "v=DMARC1; p=none;"
オプションサービスのDNSアウトソーシングをご利用のお客さまはこちらに手順を用意しておりますので、適宜ご参照ください。
注意事項
- DKIM署名「利用する」、かつ、外部DNSをご利用されているお客さま(ご自身でDNSサーバーをご用意されているお客さまや、別サービスのオプションサービスとしてDNSアウトソーシングをご利用のお客さま)につきましては、サイトマネージャーでの操作を行う前に、必ず先にDNSサーバーへのレコード登録を済ませてください。
必要なTXTレコードが登録されていない状態でARC認証を「利用する」設定にし、メール転送が行われると、宛先メールサーバーから正常な認証ではないと判断され、拒否されることがあります。 -
当社でのDKIM・ARC対応につきましては、お客さまが現在設定されているメインドメインをもとに対応いたします。マルチドメインを設定されているお客さまにつきましては、本手順を設定することによってマルチドメインにも対応いたします。
- DKIM対応にあたり、メール送信する時は587あるいは465ポートでメール送信いただく必要がございますが、本サービスのオンラインマニュアルの案内に倣って設定されているお客さまにつきましては、メールソフトの設定変更は特に必要ございません。
25番ポートで設定されているお客さまにつきましては、別途587あるいは465ポートへの変更をお願いいたします。 - Microsoft 365から送信されたメールにつきましては、MicrosoftがRFC8601の定めるポリシーに準拠していないため、メールヘッダに「arc=fail」と判定されることを確認しております。