電子メール サーバーの送信認証を強化しようと考えています。このトピックに関する役立つヒントを探しています。
メールの送信、登録確認、パスワードのリセットなどを行う Vps サーバーが合計 4 台あり、ドメインも複数あるため、メール認証のセキュリティを強化したいと考えています。
私はIRedMailをベースにしたメールサーバーであるVPS1を持っていて、そこで設定しました
ドメイン1、2、3、4、5
ドメインの Web サイトはそれぞれ異なる VPS サーバー上にあるため、それぞれ IP アドレスが異なります。
ドメイン 1、2、3 は VPS2 上にあり、ドメイン 4 は VPS 3 上にあり、ドメイン 5 は VPS 4 上にあります。
SPFとDMARCレコードを適切に作成するための最善のアプローチは何でしょうか
このトピックに関するあらゆるご助力をいただければ幸いです。
答え1
すべての VPS サーバーが電子メールを送信するために VPS 1 に接続し、すべてのドメインの MX レコードが VPS 1 の IP アドレスを指していると仮定します。
SPF
SPF TXTすべてのドメインのレコードを作成します: "v=spf mx ~all"。ステートメントでは~ではなく が使用されます。 これは多少議論の余地がありますが、以下の注記に関連しています。 ハード フェイルは、配信に望ましくない結果をもたらすことがよくあります。-all-
チェックでは、アドレスではなくReturn-Path(バウンスが送信される) ドメインがチェックされることに注意してください(これが が必要な理由です)。したがって、メールで送信元アドレスとは異なるバウンス アドレスが使用されている場合は、 のドメインがレコードに対してチェックされます。SPFFromDMARCBounce addressSPF
SPFトランスポート/受信トレイ ルールまたはメーリング リストによって転送された電子メールでは、チェックが失敗することに注意してください(Return-Pathヘッダーが書き換えられていない場合)。チェックでは、アドレスではなく(Return-Pathバウンスが送信される) ドメインがチェックされることに注意してください(これが が必要な理由です)。したがって、電子メールで From アドレスとは異なるバウンス アドレスが使用されている場合は、 のドメインでレコードがチェックされます。サブドメインを使用する場合も同様です。バウンス アドレスとして使用するサブドメインごとに、SPF (および MX) レコードを設定する必要があります。SPFFromDMARCBounce addressSPF
DMARC
TXT_dmarc.domain.com の各ドメインに「DMARC」レコードを作成します"v=DMARC1;p=reject"。設定は非常に簡単なので、ドメインに代わってメールを送信する権限を持つホストは 1 つだけであることがわかっているため、自分またはサードパーティのサービスに送信される形式のレポートを気にする必要はないでしょう。サービスを拡張する場合は、レポートの受信を有効にするタグXMLを追加できます。rua
DKIM
上記のシナリオで説明したように認証が失敗したDKIM場合に備えて、配信性を向上させるために、セットアップに署名構成を追加することを強くお勧めします。 は失敗した場合でも転送を続行しますが、メールの一部が転送中に変更された場合 (アドレスの書き換えなど) は認証に失敗する可能性があります。 と を組み合わせると、配信性を向上させるために互いに補完し合います。SPFDKIMSPFDKIMSPFDKIM
DKIM を設定するための基本的なアドバイスとしては、ビット長が 2048 の DKIM キー ペアを作成し、TXT独自のセレクター名を選択できる ._domainkey.domain.com の DNS レコードで公開キーを公開することが挙げられます。キーのローテーションを目的として、最初の秘密キーが侵害されたときに使用する 2 番目のセレクター レコード、またはスケジュールに従って (たとえば 6 か月ごとに) ローテーションするベスト プラクティスとして設定することが賢明です。
DKIM 署名のベスト プラクティスについては、まだ多くのことが語られていますが、これは質問の範囲を超えており、RFC に完全に記載されています。
免責事項
この設定は、説明されたシナリオで電子メール認証を設定する方法に関する私の選択を反映しています。特定の領域には、正確ではない、または完全ではない可能性のある仮定があり、そうでない場合は別のアプローチにつながる可能性があります。