SPF, DKIM, DMARC導入の準備

メールを送受信するドメインを example.uec.ac.jp と仮定して話を進めます。 基本的に作業はDNSサーバのゾーンファイルへのレコードの記入だけになります。

SPFレコードとDKIMレコードの設定

SPFは、DNSサーバを用いて送信メールサーバのIPアドレスを指定するものです。 IPアドレスを指定するとともに、そのIPアドレス以外からのメールをどのように処理するかを指定することができます。

DKIMはメールヘッダが偽装されていないことを公開鍵暗号を用いて保証する仕組みです。 メールサーバにて秘密鍵を用いてメールヘッダの署名を行います。 受信側ではDNSサーバで公開されている公開鍵を用いて署名の検証を行うことで、ヘッダが偽装されていないかを確認します。

SPFレコードは、ドメイン example.uec.ac.jp のDNSサーバのゾーンファイルのMXレコードの下に以下のレコードを追加してください。

IN    TXT    “v=spf1 include:uec.ac.jp ~all”

これは uec.ac.jp ドメインに設定されているSPFレコードを参照すると言う意味になります。 末尾の ~all は指定されたIPアドレス以外からのメールについては特に何も行わない、を指定しています。

DKIMレコードはドメイン example.uec.ac.jpのDNSサーバのゾーンファイルに以下のレコードを追加してください。

default._domainkey    IN CNAME    default._domainkey.uec.ac.jp.

これは uec.ac.jp ドメインに設定されているDKIMレコードを参照すると言う意味になります。

外向きゾーン、内向きゾーンの両方に同じものを書き、SOAレコードのシリアルをインクリメントしてから、ゾーンファイルの再読み込みあるいはDNSサーバのリスタートを行なってください。

確認は nslookup コマンドを利用してください。学内からこれを行なうと内向きゾーンの確認ができます。

nslookup -type=txt example.uec.ac.jp

nslookup -type=cname default._domainkey.example.uec.ac.jp

外向きゾーンを確認する場合は、無償の確認サイトを利用します。

https://powerdmarc.com/ja/spf-record-lookup/

https://powerdmarc.com/ja/dkim-record-lookup/

にアクセスして、 example.uec.ac.jp を入力してください。レコードチェックが全て緑でしたら問題ありません。

ドメインのゾーンファイルの管理を情報基盤センターに委託している場合は、 support@cc.uec.ac.jp までご依頼ください。

DNSの設定が終了したら、

Subject: DKIM設定希望（サブドメイン名）

としてメールを support@cc.uec.ac.jp にお送りください。

本文は

SPF・DKIMのDNSへの設定が終了したのでDKIM署名のメールサーバの設定をお願いします

・氏名
・所属
・uecアカウント
・サブドメイン名

としてください。DKIM署名のメールサーバの設定作業が終了しましたらご連絡します。

メールサーバの設定作業後に、テストメールを送信してください。受信したメールのヘッダを調べて dkim=pass となっていれば設定終了です。

注意

SPFレコードは、送信メールサーバのIPアドレスを指定するものです。

Fromが @example.uec.ac.jp のメールを送信する場合は、必ず学内のメールサーバを利用するよう利用者に周知徹底してください。

学内のISPやフリーメールのメールサーバでFromが @example.uec.ac.jp のメールを送信すると受信拒否される可能性があります。

DMARCの設定

DMARCはSPFとDKIMの検証結果を利用して、送信元・送信者が正当なメールと送信元・送信者が不正なメールの取り扱いを指定することが可能な技術です。 DMARCはSPFとDKIMの検証結果を利用しますので、SPFとDKIMが正しく設定されていることが必須となります。

SPFとDKIMの設定が終了したら、DMARCを設定します。これもDNSサーバのゾーンファイルに記入します。

_dmarc    IN    CNAME    _dmarc.uec.ac.jp.

これは uec.ac.jp ドメインに設定されているDMARCレコードを参照すると言う意味になります。

確認は nslookup コマンドを利用してください。学内からこれを行なうと内向きゾーンの確認ができます。

nslookup -type=cname _dmarc.example.uec.ac.jp

外向きゾーンを確認する場合は、無償の確認サイトを利用します。

https://powerdmarc.com/ja/dmarc-record-checker/

にアクセスして、 example.uec.ac.jp を入力してください。レコードチェックが全て緑でしたら問題ありません。

これでSPF, DKIM, DMARC対応になりました。お疲れ様でした。

今回の設定は、全て uec.ac.jp ドメインの設定を参照するようになっています。 SPFとDMARCについては独自の設定を行うことが可能です。 その場合は、情報基盤センターではサポートを行いませんので、自己責任でお願い致します。

SPF の設定方法

• SPFの設定方法 (解説)
  • 基本情報
  • 設定例
  • 参考