レジストラのメール転送用の SPF/DKIM 設定

レジストラのメール転送用の SPF/DKIM 設定

私はレジストラを利用して、別の電子メール アドレスに直接転送できるドメインをいくつか持っています。

このシステムは長年にわたり多くのドメインで問題なく動作してきましたが、最近、テストで失敗した新しい転送を作成しました。

このエラーは SPF/DKIM エラーではなく、アドレス不明エラーでした。レジストラは、失敗の理由は、転送されるドメインに SPF および DKIM レコードが存在することをレジストラのシステムが許可していないためだと主張しています。

この分野に関する私の知識はそれほど広くありませんが、レジストラの発言が真実であるとは確信できません。何かアドバイスはありますか?

答え1

いいえ、DKIMとSPFはメールの中継を完全に無効にするわけではありません。代わりに、認可されたリレーはドメインのメールを中継し、すべての受信システムがそのドメインからのメールを拒否することを推奨します。無許可リレー。この承認は特別な DNS レコードを通じて通知されます。

複数の送信リレー(独自のサーバーといくつかの外部サーバー)を同時に設定することも可能です。ただし、SPF および DKIM レコードにそれらすべてをリストすることになります。

SPF の場合、リレー IP アドレスをすべて知っているか、すべてのアドレスをリストする SPF 有効レコードの名前を知っている必要があります。次に、それらのアドレスすべてを SPF レコードに設定するか、include:their-spf-record独自のリレーまたは必要な他のリレーに加えて を使用します。

example.com. TXT "v=spf1 a:your.server.name include:their-spf-record ip4:192.0.2.111 -all"

(a:、include:、ip4: の各部分は多数存在する可能性があります)。

DKIMの場合、リレーオペレーター署名鍵ペアを生成する必要があります。次に、公開鍵とそのセレクタ(対応する秘密鍵とこのセレクターを使用して署名するようにサーバーも構成します)。次に、各キーセレクターのペアに対して、次の形式の追加の TXT レコードを作成します。

selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=..<key>.."

もちろん、各システムは独自のセレクタを使用する必要があります。

これは、複数のシステムから同時に「送信元」ドメインを含むメールを送信するために必要なすべての DNS 設定です。


SPF の部分は誰にとっても難しいことはないはずです。システムの問題は、リレーされたメールの DKIM 署名の設定方法を知らないことかもしれません。たとえば、私の場合、postfix+rmilter でこれを実行し、問題はなく、すべて設定できます。また、リレーをスマートホストとして使用するサーバーで DKIM を使用して署名することもできますが、リレー システムが署名されたヘッダーを操作したり、署名を削除したりしないようにする必要があります。その場合、リレー システムで追加の DKIM 署名を設定する必要はありません。

関連情報