GNU/Linux >> Linux の 問題 >  >> Panels >> Plesk

メール検証レコードの作成方法:SPF、DKIM、DMARC

飲んだことがありますか:

  • メール メッセージが「5.7.1 コマンドが拒否されました」のような不可解な応答で戻ってきましたか、それとも誰かがあなたにメールを送って同様のメッセージを受け取りましたか?
  • SPF レコードまたは DKIM (または DomainKeys) レコードのエラーに関する明確な回答が記載されたバウンス メールですか?
  • メールが送信先の迷惑メール フォルダに届くか、まったく届かない

何が原因ですか?拒否されたり、スパムとしてフィルタリングされたりするのはなぜですか?メッセージがスパムとしてフィルター処理される理由は他にもありますが、ほとんどの場合、送信ドメインのメール スプーフィング保護構成に問題があるため、上記の問題のいずれかが発生します。

これらの保護は SPF、DKIM、DMARC と呼ばれ、それぞれが 1 つまたは 2 つの DNS レコードの形式をとっており、ドメインのメール送信レピュテーションが確実に維持されるように構成できます。

これらの記録は、個別に偽造アドレスの防止を保証するものではありませんが、組み合わせると防止に大いに役立ちます。スパム送信者は一般的に送信者偽装を使用して、受信者をだましてスパム メールを読ませようとします。

ヒント:DKIM にも一致するメール ヘッダーがあるため、DKIM DNS レコードを使用することを選択した場合は、すべての電子メール メッセージが SMTP サーバーを経由するようにする必要があります。追加のメール ソースが存在することはできません。 DKIM DNS レコードを公開している間、別のメール サーバーが使用されます。

各タイプの記録とその仕組みの内訳は次のとおりです。

SPF レコード

SPF レコードは、ドメインの所有者/管理者が、そのドメインに代わってメールを送信できるサーバーを示す方法です。これにより、スパマーやその他の悪意のあるアクターが、ドメインから送信されたように見えるメールを送信するのを防ぐことができます。

SPF レコードを正しく取得するためのサポートが必要ですか?下の SPF レコード ジェネレーターまでスクロールします。

では、これはどのように機能するのでしょうか。 SPF レコードは、次のようなドメインの DNS レコード (TXT タイプのレコード) です:

v=spf1 include:_spf.websavers.ca +a +mx +ip4:2.2.2.2 -all

これを分解しましょう。レコードの各部分は異なる意味を持ち、空白で区切られています:

<オール>
  • v=spf1 –> これは、SPF レコード、バージョン 1 (デフォルト/標準) であることを示しています
  • include:_spf.websavers.ca –> include ステートメントは、提供されたアドレスで利用可能な SPF レコードを含めることを意味します。この特定の 1 つは、Websavers が許容できると判断したすべての送信メール サーバーを含めることを意味します。それらは _spf.websavers.ca で公開されています (Web ブラウザーでそこにアクセスして表示することはできませんが、DNS 要求に対してのみ表示されます)
  • +a +mx –> A レコード アドレスと MX レコード アドレスの両方に存在するサーバーが電子メールを送信できるようにします。ドメインのルックアップを実行して、A および MX レコードが何に設定されているかを確認できます。または、DNS が当社でホストされていない場合は、Plesk または DNS ホストを調べてください。
  • +ip4:2.2.2.2 –> IP アドレス 2.2.2.2 のサーバーは、ドメインからメールを送信できます
  • -すべて –> 他のサーバーによるメッセージの送信を許可しない

    • ~all (ダッシュではなくチルダ) を使用している他のユーザーが表示される場合があります。これは、デフォルトの "-all" に相当する弱いものです。 ~ を使用することは、「これらが一致しない場合、それが正当であるかどうかはあなた次第です」と言っているようなものです。上記のように「-all」を使用することを強くお勧めします。これは、「これらのサーバーのみが有効である」というより確固たる声明を示しています。

    含めることができる追加オプションなど、SPF について詳しく知りたい場合は、OpenSPF の Web サイトをご覧ください。

    上記の方法のいずれかを使用して SPF レコードに表示されないサーバーは、そのドメインのメール アドレスを使用してメールを送信することを許可されていません。これらのサーバーを介して送信されたメッセージは、スパムとしてフラグが立てられるか、ブロックされる可能性があります。完全に目的地で。

    外部メールを使用していますか? 外部のメール プロバイダーの使用に切り替えても、ウェブサイトを引き続き Google でホストしている場合でも、両方の +a を維持することが重要です。 include:_spf.websavers.ca あなたのSPFレコードに。これは、あなたのウェブサイトが、メール プロバイダーを介して送信するのではなく、ホストされているサーバーから直接メールを送信することが多いため (例:登録または注文通知メール)、これらのメールが正常に送信されるようにしたいためです.

    SPF レコード ジェネレーター

    ドメインの適切な SPF レコードを生成するのに役立つツールを作成しました。以下のフォームに入力してください。使用する SPF レコードが生成されます。

    一般的な SPF 構成リファレンス

    次の値はありません SPF レコード全体。一致する会社の SMTP サーバーがドメインに代わって電子メールを送信できるようにするために、SPF レコードに追加する部分だけです。

    追加するときは、これらの追加と SPF レコードの他の部分の間にスペースがあることを確認してください。また、レコードが v=spf1 で始まることを確認してください ~all のいずれかで終わります (緩い) または -all (より厳密)。 これらのレコードを挿入する場所を視覚的に表現するには、このページの上部にあるサンプル レコードを参照してください。

    • ウェブセーバー: include:_spf.websavers.ca
    • Google: include:_spf.google.com (詳細)
    • ベルネクシア: +ptr:bellnexxia.net
    • イーストリンク: include:_spf.eastlink.ca
    • Microsoft Office 365 :include:spf.protection.outlook.com (詳細)
    • GoDaddy: include:spf.secureserver.net
    • Yahoo: ありえない。代わりに DMARC を使用し、SMTP を Yahoo アカウントのみが使用するよう強制します。
    • Shopify: include:shops.shopify.com (詳細)

    DKIM レコード

    DKIM レコードは厳密に必須のコンポーネントではありませんが、信頼性が高まるため、使用できる場合は使用する必要があります。

    DKIM レコードの最大の問題は、DNS レコードと、送信メール (SMTP) サーバーによってすべてのメールに追加されるヘッダーの 2 つの検証システムであることです。このため、@yourdomain.com アドレスから送信されたすべての電子メールがまったく同じ SMTP サーバーを通過することを絶対に確認する必要があります。これは、Web サイト、CRM、およびドメインに代わって電子メールを送信するその他の Web またはサーバーベースのツールを介して送信されるメッセージも、SMTP サーバーを使用してメッセージを送信するように構成する必要があることを意味します。

    • 外部メール ホスト :メールが外部でホストされている場合は、適用する正しい DNS レコードを取得するためにメール プロバイダーに問い合わせる必要があります。
    • ウェブセーバーの Exchange メール: 我々 の Exchange サービスは DKIM をサポートしていないサービスの 1 つであるため、このセクションはスキップしてかまいません。
    • Websavers Plesk ホスティング: 共有、リセラー、または VPS (Plesk Panel を使用) でホストされている場合は、Plesk で DKIM を有効にするだけで、SMTP サーバーと DNS が適切に構成されます! DKIM を有効にする方法については、この Plesk ガイドを参照してください。 DNS が外部の場合、この目的のために Plesk が作成した DNS レコードを確認できます。DNS ホストでそれらを複製する必要があります。 DNS が Google でホストされている場合にのみ、このプロセスをサポートできることに注意してください。それ以外の場合は、DNS ホストがサポートの手段となる必要があります。

    DMARC レコード

    DKIM と SPF を使用して電子メールが適切なサーバーから送信されていることを確認するのに対し、DMARC はこれらのツール (特に SPF) に基づいて構築され、エンベロープと送信元の電子メール アドレスが正しいことを確認するために使用されます。また、(送信者として) 配信可能性に関するレポートを受け取りたいメール アドレスを公開することで、送信者が Google や Microsoft などの大手プロバイダーでメールがどのように処理されているかを知ることができます。

    SPF レコードはサブドメインを使用せず、ルート (@) ドメインに直接適用されますが、DMARC はサブドメイン _dmarc を使用します .最も単純な例は次のとおりです。

    • サブドメイン:_dmarc
    • タイプ:TXT
    • 値:v=DMARC1; p=なし

    しかし、そのレコードは基本的に「SPFレコードとおそらくDKIMレコードを持っていますが、あなた(受信者)にDMARCで特別なことをしてほしくありません」と言っています.少しアレンジして、使用できる代替値をいくつか提供しましょう。これらのそれぞれで、サブドメインとタイプは常に上記と同じであり、複数の DMARC レコードを公開しないでください。

    次のレコードの例は、一致しないメッセージ (SPF、DKIM、エンベロープ) を隔離することを示しています (これは通常、スパムに入れることを意味しますが、一部のプロバイダーは、メール管理者が許可するまで受信者からメッセージを非表示にします)。また、ドメインから受信したすべてのメッセージの 20% について、エラーが発生した場合は、各エラーに関するレポートを指定されたメール アドレスに送信することも述べています。

    v=DMARC1; p=quarantine; pct=20; ruf=mailto:[email protected];

    次のレコードは次のように述べています。一致しないメッセージを拒否します。 100% の障害に関するレポートを受け取りたいこと。その DKIM は緩和されたものとして扱われるべきです。その SPF は厳格なものとして扱われるべきです。各メッセージの失敗に関する *個別の* レポートを見たくない (ruf )、代わりに集計レポートを取得します (rua )。レポートは通常毎月送信されると思いますが、これは Google や Microsoft などの受信側プロバイダーの裁量による場合があります。

    v=DMARC1; p=reject; pct=100; adkim=r; aspf=s rua=mailto:[email protected];

    これらのレポートを受け取りたい実際の電子メール アドレスを入力する必要があります。それ以外の場合は、rua/ruf オプションと pct オプションを省略してください。レポートを見たくない場合は役に立たないからです。 p=none で pct と ruf/rua を使用できます。これは、DKIM、SPF、DMARC チェックに失敗した場合でも、受信サーバーが通常どおりメッセージを渡すことを意味します。

    adkim および aspf オプションは、省略した場合、デフォルトでリラックスしているように見えます。

    ヒント:DKIM が有効になっていない場合でも、常に DMARC を使用する必要があります。ただし、SPF が正しく構成されていることを確認してください。そうしないと、DMARC は役に立ちません。

    これらの DNS レコードはどこに置くのですか?

    DNS が当社でホストされている場合、DNS レコードを編集する方法は次のとおりです。そのガイドでは、TXT タイプの既存のレコードを編集しようとしています。 .

    DNS が別の場所でホストされている場合は、パネルにログインして SPF レコードを編集または追加する必要があります。

    Plesk ホスティングでは、これらすべてのレコードを構成しますが、配信可能性に問題がある場合は、それらが正しいことを再確認する必要があります。最適ではない古いバージョンのレコードを持っているか、あなたまたはあなたのアカウントにアクセスできる誰かが影響を知らずに変更した可能性があります.

    複数の SPF レコードを作成しないでください。 DNS 設定に既存のものがある場合は、別のものを追加するのではなく、必ず編集してください . レコードが重複していると、どれも機能しないことがよくあります。

    これらは DNS レコードであるため、DNS 設定に加えた変更が世界中に適用されるまでに数時間 (最大 48 時間) かかります。しばらくお待ちください。

    トラブルシューティング

    SPF ルックアップが多すぎるエラー: ルックアップが多すぎるという SPF レコード チェッカーのエラーが表示された場合、簡単な解釈は、レコード内のアイテムが多すぎるということです。これを解決する唯一の方法は、SPF レコードから重要度の低い要素を削除するか、メール サービスを統合してあまり使用しないようにすることです。メーリング リスト サービスを使用している場合は、その構成を mailing-list.mydomain.com などのサブドメインを使用するように切り替え、代わりに SPF レコードのその部分をサブドメインの SPF レコードに移動できます。

    SPF Too Many Lookups エラーの詳細については、こちらの詳細記事をご覧ください。

    Google Workspace (以前の G Suite) などの外部メール サービスを使用している場合、ルックアップの総数を減らす最善の方法は、SPF レコード (include:_spf.websavers.ca) の Websavers 部分を削除することです。 )。ただし、これを行う場合は、Google でホストしているすべての Web サイトが、外部メール プロバイダーの SMTP サービス (この例では Google Workspace など) を使用してメールを送信するように構成されていることを確認してください。これにより、ウェブサイトからのすべてのメールが、SPF レコードに残っていない当社のサーバーではなく、SPF レコードで承認されたままの SMTP サーバーを通過するようになります。

    「include」ステートメントを削除する必要がある場合は、メインのメール リレーが引き続きメールを配信できるようにするため、代わりにこれを必ず残してください:

    +ip4:149.56.38.109

    スパムまたはジャンクに配信されるメッセージ: 上記のすべての DNS レコードを正常に構成してから 48 時間経過しても (DNS の変更が反映されるまでに時間がかかることを忘れないでください)、それでもメールが受信者の迷惑メール フォルダーに届く場合は、トラブルシューティング ガイドを確認してください。


    Plesk

    1. Pleskでメールアカウントを作成する方法

    2. Plesk でメールグループを作成または追加する方法

    3. Plesk で外部 DNS を使用する方法

    1. UbuntuサーバーにDKIMをインストールする方法

    2. cPanel Mail Exchanger(MX)レコードを管理する方法

    3. 共有ホスティングでSRVレコードを作成する方法

    1. DMARCの設定方法

    2. Pleskで電子メールの配信可能性設定を管理する方法

    3. PleskにSPFレコードを追加するにはどうすればよいですか?