コグノスケ

自分のドメインとGmailとDNSのDKIM, DMARC

目次: 自宅サーバー

Gmailのメール受信ポリシーが2024年の2月で変更されるというニュース（Gmailユーザへメールが届かなくなる？Googleが発表した「新しいメール送信者のガイドライン」とDMARC対応を解説！ - NRIセキュア ブログ）の対応の続きです。

Gmailに大量にメールを送る人（5000通over）でなければSPFだけでも良いらしいです。が、さくらインターネットがDKIMに対応してくれました（DKIM署名、DMARCを設定したい - さくらのサポート情報）し、せっかくなので使ってみます。

DKIM Keyレコード

DKIM（RFC 5672, RFC 4871, DomainKeys Identified Mail (DKIM) Signatures）はSPFとは異なりメールサーバーの設定が必須です。仕組みとしては、

• 送信側メールサーバー（さくらインターネット）にRSA秘密鍵を登録
• DNSサーバーにRSA公開鍵、ドメイン名を登録（DKIM Keyレコード）
• 送信側メールサーバー（さくらインターネット）はメールヘッダにドメイン名と署名を追加
• 受信側メールサーバー（Gmail）はDKIM Keyレコードから公開鍵を取得、メールヘッダの署名を検証し改ざんがないことを確認

こんな感じみたいです。間違ってたらごめんなさい。メールサーバーの設定はさくらインターネットの説明通りに設定すれば良いです。ログインしてコントロールパネルからDKIM署名を有効にし、秘密鍵を作成するボタンを押します。簡単でありがたいです。

DNSサーバーのTXTレコードにDKIM Keyレコードを追加します（バリュードメインの設定パネル用の書式で書いています）。"p="タグの値には公開鍵を書きますが、長いので省略します。

txt rs20240131._domainkey.katsuster.net v=DKIM1; k=rsa; p=(略)

先頭にあるrs20240131という謎の文字列はセレクタというそうです。RFCだと場所とか時間とか個人を表すものにする例が書かれています。さくらインターネットの場合はDKIM鍵を作成した日になるみたいですね。

DKIMセレクタの確認（さくらインターネットのコントロールパネル）

DKIM署名の確認（メールヘッダの一部から抜粋）

セレクタ文字列自体にあまり意味はなくて、メールサーバーがメールヘッダに追加するDKIM-Signatureの"s="タグの値と一致していることが重要です。

DMARCレコード

最後にDMARC（RFC 7489, Domain-based Message Authentication, Reporting, and Conformance (DMARC)）レコードを設定します。

txt _dmarc.katsuster.net v=DMARC1; p=quarantine; aspf=r; adkim=r; rua=mailto:(略)

DMARCはメールの送信元の改ざんや詐称を防ぐ仕組みですが、DMARC自体が何かする訳ではなく実際にはSPFとDKIMの合わせ技です。DMARCはポリシー適用の厳密さだったり、違反していたらどうしたら良いか？だったりを宣言しています。なのでSPFレコードとDKIMレコードが正しく設定できている必要があります。

Gmailに送って確認

DMARCの設定をしたらGmailにメールを送り、メールヘッダを確認します。

Authentication-Results: mx.google.com;
       dkim=pass header.i=@katsuster.net header.s=rs20240131 header.b=uzgJOfTY;
       spf=pass (google.com: domain of (略) designates 219.94.129.142 as permitted sender) smtp.mailfrom=(略);
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=katsuster.net

SPF, DKIM, DMARCともに無事passしました。しばらくこれで運用したいと思います。