9ra10 > いつも使うシリーズ > Google WorkspaceでSPF・ DKIM・ DMARC 設定する方法
2023-12-19 いつも使うシリーズ

Google WorkspaceでSPF・ DKIM・ DMARC 設定する方法

なんだか急にメール受信できないなどなど問い合わせが増えてきたので、調べてみるとGoogleが 2024年2月からメール受信のセキュリティを強化した運用を開始するようです。
このセキュリティは、SPF,DKIM,DMARCの設定がされていないドメイン、または設定が誤っているドメインからのメールは受信を拒否され、未達となる可能性があるとのこと。。なんてこった。。。

https://support.google.com/mail/answer/81126

ということで、各設定の仕方を簡素化して記載しておきます。あくまで簡易に設定してますので、自己責任で参考にしてください。

対象

  • Google DomainでGoogle Workspaceを使っているケース
  • お名前.comでドメイン取って、GoogleWorkspaceを使っているケース
  • DNSいじれる方

Xserverやさくらインターネットのドメインの設定も同じです。

手順

  1. Google Workspaceで DKIMのレコードを生成する
  2. ドメイン管理サイトでDNSレコード DKIMを追加
  3. SPFのレコードを追加する
  4. DMARCのレコードも追加
  5. DMARC用のグループをGoogle Workspaceに追加
  6. 設定できているか確認する方法

用語について

DKIM DomainKeys Identified Mail : 送信メールにデジタル署名を付加することでなりすましと迷惑メールを防止する

SPF Sender Policy Framework : 送信メールに許可されている全サーバーのIPアドレス をリストアップし、受信側に届く前にSPFレコードと照合します。

DMARC Domain-based Message Authentication Reporting and Conformance : DKIMやSPFがエラーしている時にspam扱い、配信する、削除するをサーバーに指示します。

設定手順

1.Google Workspaceで DKIMのレコードを生成する

  1. Google Workspaceの特権管理者でログインしてください。https://admin.google.com/u/0/ac/apps/gmail/authenticateemail
  2. 選択したドメイン を設定したいドメインに選択(複数ドメインある場合)
  3. 新しいレコードを生成を叩く
  4. 右下の保存を叩いたら
  5. ページを更新
  6. TXT レコードをコピー

2.ドメイン管理サイトでDNSレコード DKIMを追加

Googleドメインの場合

で管理している場合は、下記管理アカウントでログインして一覧から選択
https://domains.google.com/registrar/

該当ドメインの右側の管理を叩く
サイドバーのDNSを叩いた後、カスタムレコードを管理を叩きます。
3クリックでDNS設定にたどり着きます。

お名前.comドメインの場合

の場合こちら からログイン
https://www.onamae.com/domain/navi/domain.html

お名前.comは、オプションに加入させようとトラップが多いので、DNSの設定するまでの道のりが遠いので要注意。
筆者はそのトラップによくはまっていたため、XserverやGoogleドメインに乗り換えました。が、2024年6月からはGoogleドメインは、米Squarespaceに移管されますのでご注意ください。

ドメインのテキストリンクを叩きます。この時点でどこトラップたくさん。

メニューからネームサーバーの設定>ドメインのDNS設定 を叩きます
ここにきてサイドバーが出現するが、該当ドメインのラジオボタンを叩いて、次へボタンを叩く。。
DNSレコード設定を利用するの右側にある設定するボタンを叩く。

フィールドに入れる情報について

新しいレコードを作成を叩いて、上記の入力フィールドを表示します。

左側(ホスト名):google._domainkey
セレクター(タイプ):TXT
数字(TTL):3600
データ:手順1の DKIMのTXTレコードをそのままコピペ

Googleドメインの場合

保存を叩いて DKIMは完了

お名前.comの場合

追加を叩いて、

さらにページ遷移したら設定を叩いて読み込んで設定完了画面が表示するまでお待ちください。

3.SPFのレコードを追加する

上記レコードを追加するフィールド画面から

Googleドメインの場合

ホスト名:空欄
タイプ:TXT 
TTL:3600
データ:
v=spf1 include:_spf.google.com ~all

保存して完了

お名前.comドメインの場合

ホスト名:@
タイプ:TXT 
TTL:3600
データ:
v=spf1 include:_spf.google.com ~all

追加を叩いて、

さらにページ遷移したら設定を叩いて読み込んで設定完了画面が表示するまでお待ちください。

DMARCのレコードも追加

DMARCのエラーレポートを dmarcreport@ドメインというGoogle Workspaceのグループで受信するという設定で進めます。

Googleドメインの場合

ホスト名:_dmarc
タイプ:TXT 
TTL:3600
データ:
v=DMARC1; p=none; rua=mailto:dmarcreport@ドメイン

保存して完了

お名前.comドメインの場合

ホスト名:_dmarc
タイプ:TXT 
TTL:3600
データ:
v=DMARC1; p=none; rua=mailto:dmarcreport@ドメイン

追加を叩いて、

さらにページ遷移したら設定を叩いて読み込んで設定完了画面が表示するまでお待ちください。

p=none という設定については

認証できないメールの処理方法を受信メールサーバーに指示します。
none—メールをそのまま受信者に配信して、日次レポートに記録します。レポートは、レコード内の rua オプションで指定されたメールアドレスに送信されます。
quarantine— メールを迷惑メールに分類して、受信者の迷惑メールフォルダに送信します。受信者は迷惑メールを確認し、正当なメールを特定することができます。
reject—メールを拒否します。このオプションを使用すると、通常、受信サーバーから送信サーバーにバウンスメールが送信されます。
このタグは必須です。 

参照Googleヘルプ

DMARC用のグループをGoogle Workspaceに追加

GoogleWorkspaceのグループ設定を開いて
https://admin.google.com/u/0/ac/groups

dmarcreport@ドメインのグループメールを作り、エラーレポートを受信します。外部からのメールを受信できるようにしないといけないはず?なので、下記の設定にしておきます。

設定できているか確認する方法

別のGoogleWorkspaceかGmailにメールを打って、受信した人にメッセージソースを開いて確認してもらう。。

無料で確認してくれるツールがいくつかあり、 DKIMレコードチェッカー や、 DMARCチェッカーツールなどでググるといくつかあります。

各チェッカーを提供している会社さんは、 DMARCを設定した後にBIMIというロゴを使ったセキュリティー対策などをし推奨してます。

BIMIのざっくり条件は

・商標登録してあるロゴをSVGで認証機関に登録する

・認証機関に$1,499.00 USDが年間コストがかかる

という感じです。

世界知的所有権機関(WIPO)の登録商標として貴社のロゴがリストアップされているかどうかチェックできます。
https://branddb.wipo.int/en/quicksearch