[Google Apps]Gmailにおけるなりすましメール対策の設定方法

Gmailにおけるなりすましメール対策 - DKIMを設定する


みなさんは迷惑メールについてどのような対策をしていますか?
どのような知識をお持ちでしょうか?
自分が保有しているドメインのなりすましメール対策は万全でしょうか?





企業のドメインをなりすまし、メールを送信されることでその企業の信用が落ちてしまうことやサポートセンター等に問い合わせが多数きてしまい業務に影響を与える可能性があります
Google Appsにおいてはそのなりすましメールの対策としてDKIMを利用することができます


GoogleAppsのGmailにおけるDKIMの設定方法


かならずIT技術者に実施して良いかどうか確認後実施してください
所有のサーバからGoogleAppsを経由しないで送信されるメールがあるのであれば、GoogleAppsを経由するように設定する必要があります
※設定を行わないとそのサーバからのメールが正常に届かなくなる可能性があります


  • GoogleAppsの管理画面にログインし、上部メニューの[高度なツール]を選択します
    GoogleApps_Dashboard

  • 画面の下部にある[メール認証(DKIM)を設定]を選択します
    105_02.png

  • 以下のような画面になりますので、[新しいレコードを追加]を選択します
    105_03.png

  • ポップアップが開きますので、任意のプレフィックスを入力し、[生成]を選択します
    ※既存のドメインキーと重複しないようにしてください
    105_04.png

  • 以下のように指定したプレフィックス._domainkeyというレコードの値が指定されます
    この画面を開いたままにし、DNSサーバの設定をしていきます
    105_09.png

  • 今回はお名前.comのDNSサーバを利用していますので、ドメインNaviよりログインし、[レンタルDNSレコード設定]へ移動します

  • 入力の欄の[ホスト名]にはGoogleAppsの先程の画面の[DNS ホストの名前(TXT レコード名):]の箇所の値を入力します
    [Type]はTXTを選択します
    [Value]にはGoogleAppsの先程の画面の[TXT レコード値:]のv=DKIM1;の箇所から記号の終りの部分までコピーして貼り付けます
    ドメインNaviでのDKIMの設定例

  • 入力が完了したら、[確認画面へ進む]を選択し、[設定する]を選択し反映させます
    ※余計な情報が入っていないことを確認して下さい
    ドメインNaviでのDKIMの設定の確認画面例

  • しばらくして、ドメインの反映が確認できた場合はGoogleApps上で[認証を開始]を選択します
    以下のようになれば正常に設定が完了したことになります
    GoogleAppsのDKIM設定の正常完了

なお、正常に設定ができていない・またはDNSの反映が取得できない場合はGoogleApps上で以下のように表示されます
DKIMレコードの設定が正しくない場合
この状態になった場合は、DNSの反映を待つ(24時間-48時間)か既に48時間以上待っていてもこのままの場合であれば以下の方法でDKIMレコードを確認し、設定が正しいか確認して下さい


DKIMレコードの確認方法


Windowsであれば以下のコマンドを実行することでDKIMレコードを確認できます


  • Windowsキー(キーボードの左下の旗のようなマーク) + Rキーを入力
  • [ファイル名を指定して実行]のダイアログが表示されるので[名前]欄に[cmd]と入力してEnterを押下
  • 黒い画面(コマンドプロンプト)が表示されるので以下のコマンドを実行する
    nslookup -type=txt namakesugi._domainkey.namakesugi.net
  • 実行結果として以下のように自分が設定した内容が返ってくればOK
    namakesugi._domainkey.namakesugi.net    text =

    "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA...略

なりすましメール防止技術について


送信ドメインのSPFレコードの追加


以前ご紹介しましたが、送信ドメイン(@namakesugi.netの@以前のことでこの場合はnamakesugi.net)のTXTレコード中にSPFレコードを追加することで受信側が正しいメールサーバからメールを送信していることを確認する方法です
最も手軽ななりすましメール防止技術です
設定されていなければ設定しましょう
取引先から設定してないメールが来るようならばその会社はIT担当者のレベルが低いと判断して良いです
(※もろもろの事業で設定できない場合もありますが)


SPFレコードが設定されているかの確認


どのOSでも標準の状態で確認ができます
今回はWindowsでの確認方法です
自社のドメインが設定されているか確認してみてください


  • コマンドプロンプトを開きます
    開きかたはここを参照
  • 以下のコマンドを実行します
    ※[domain]部分は調べたい@以降を入力します
    nslookup -type=txt [domain]

    調べるのがnamakesugi.netであればnslookup -type=txt namakesugi.netとします

SPF認証の例


例えばnamakesugi.netのTXTレコードには以下のレコードが設定されています


"v=spf1 +ip4:210.172.137.135 include:_spf.google.com ~all"

これは簡単にいってしまえば、「@namakesugi.netのメールは210.172.137.135のIPをもつサーバまたは_spf.google.comで定義されているメールサーバから送信されます」と受信側に伝えている設定になっています


これにより受信側が送られてきたメールの送信元を判断し、正しい送信元から送信されていない場合は迷惑メールマークを付与したり、メール自体の受け取りを拒否するようになります


その他にもドメインの所有者側におけるメリットもありますが、そこは割愛します


DKIMの設定


今回の本題であるDKIMの設定についてです
DKIM(DomainKeys Identified Mail)はメール中に正しい送信元から送信されたことを示す認証情報を埋め込む技術です


SPF認証より高度な認証が可能です
メール受信者・メール送信者共にメリットがある内容としては
メール本文の改ざんが検知できることです


メールの認証情報を見たい場合はWindowsでthunderbirdを利用している場合は受け取ったメールを[名前を付けて保存] => xxx.emlというファイルで保存されるのでそれをメモ帳等で開くと確認できます


参考リンク


DKIMについてはatmarkitの下記を参考すると詳しく紹介されていますので、興味が有る方は参照するとよいでしょう


スポンサーサイト

[Google Apps]Gmailの設定[お名前.com]

[Google Apps]Gmailの設定をする





お名前.comのレンタルDNSサーバを利用時におけるGmailの設定方法を紹介しています。
Google Appsへの登録の仕方とドメインの取得についても参照してみてください


Google AppsをやるからにはGmailも使わないとねーということで、Gmailの設定から


なお、ドメインの所有権の確認等が終わっていることが前提です。
同時にやってもいいけどねー


Google Appsの管理画面が以下のようになれば設定完了です。
77_01.png


メールサーバの挙動について


メールサーバがhogehoge@geho.hogeなどのドメインに対してメールを送る際には、以下のような動きをします。


  • メールサーバはDNSサーバに対して@以降のgeho.hogeのMXレコードの問い合わせします

  • 次にMXレコードに指定されているホストのAレコードの問い合わせをします

  • 問い合わせた結果のAレコードのIPアドレスに対してメールを送信します


  • お名前.comのレンタルDNSサーバの設定をする


    上記でキーワードとしてMXレコードとAレコードという2つのキーワードが出てきました。
    基本的にはこのMXレコードとAレコードの設定をすればメールサーバに対して正常にメールが送受信できるようになります。


    しかし、今回は他社(Google)が提供しているメールサーバを利用するので、メールサーバを示すAレコードは不要です。
    それでは、何を設定すればいいのかというとGoogleのヘルプに書いてあるとおりの設定をすればいいのです。


    Gmailのメールサーバの設定値



    • 10 aspmx.l.google.com.

    • 20 alt1.aspmx.l.google.com.

    • 20 alt2.aspmx.l.google.com.

    • 30 aspmx2.l.google.com.

    • 30 aspmx3.l.google.com.

    • 30 aspmx4.l.google.com.

    • 30 aspmx5.l.google.com.


    ※予告なしで変わる可能性があります。


    MXレコードの設定


    さて、どんな値を設定すればよいのかわかりましたので、お名前.comのレンタルサーバの設定をしましょう。



    • お名前.comが運営しているドメイン管理ツール「ドメインNavi」へアクセスします

    • ログイン後の画面上部のメニューから[ドメイン設定]を選択します

    • 画面の左メニューから[レンタルDNSレコード設定]を選択します(画面中央からもいけます)

    • 設定したいドメインを選択後、[入力画面へ進む]というボタンを選択します

    • 以下のように入力し、追加ボタンを押します
      77_02.png

    • 同様にして計7レコード追加していきます

    • 追加が出来たら[確認画面へ進む]ボタンで画面遷移し、[設定する]ボタンで設定完了です


    TXTレコード(SPFレコード)を設定しておこう


    Googleの管理するメールサーバからメールが送信されます。
    送信元メールアドレスの詐称は非常に簡単ですので、TXTレコードを設定し、
    詐称かどうかの判断が受け取り側のメールサーバでできるようにしておきましょう。


    SPFレコードとは


    geho.hogee. IN TXT "v=spf1 +ip4:192.168.1.0/24 +mx ~all"でDNSサーバに設定される値のことです。
    TXTレコード内に記載されます。
    上記の設定で、@geho.hogeeのメールは[192.168.1.0/24]またはmxレコードに指定されているIPアドレスから飛んできますよーという宣言になります。それ以外はsoft fail判定をしてね(受け取るか受け取らないかは任せるよー的な支持)になります。
    この設定により、メールを受け取るほうはメールアドレスのTXTレコードの値を調べることにより、受け取るか受け取らないか判断することが出来るようになります。
    なお、最近はsoft failだと受け取らないという挙動をするメールサーバが増えてきた気がします。


    GmailのTXTレコードの値


    当然のことながらGoogle Appsのヘルプに書いてあります
    以下の値をTXTレコードに記述すればOKです。


    v=spf1 include:_spf.google.com ~all

    なお、BIND等に設定する場合は、以下のようになるかと思います


    [your domain fqdn] IN TXT "v=spf1 include:_spf.google.com ~all"

    また、サーバ等のメールソフトからメールを送ることがある場合は、そのサーバのIPアドレスをip4:x.x.x.xといった形で付与していきましょう。
    +aなどといった指定でも問題ありません


    お名前.comのレンタルDNSサーバでは、以下のように設定します
    GmailのTXTレコード設定
    入力後先ほどの設定と同様に設定の確定まで行いましょう


    お名前.comのレンタルサーバを使ったGmailの設定の完了


    以下のように設定値が確認できればOKです
    77_04.png


    少し時間を置いてから、Google Apps側でGmailの確認中といった表記が表示されなければ
    Gmailの設定が完了していますので、メールの送受信等のテストを行ってみましょう


    以下はやっておくと便利な設定など


    既にGmail以外のメールサーバを利用していて、Gmailを試用してみたい場合


    Gmailのドメインエイリアスの設定をすると楽に移行や試用ができますので、
    試してみてください。
    ※現在利用しているメールサーバがメールの転送をサポートしている場合のみ可能です


    ドメインエイリアスの設定の仕方



    • Google Appsの管理画面から[ドメイン設定] => [ドメイン名] => [ドメインエイリアスの追加]と選択します

    • ドメインエイリアスとして登録するドメインを入力して、[続いてドメインの所有権の確認]を選択します※今回はweb.namakesugi.netというドメインエイリアスを登録したとします。

    • Google Appsのドメインの所有権確認をしたのと同様にCNAMEレコード等を追加してドメインの確認およびweb.namakesugi.netのMXレコード,TXTレコードを追加します

    • お名前.comのレンタルDNSサーバに以下を設定します
      77_05.png

    • 上図のように設定が完了したら、しばらく待ち、CNAME確認・MXの確認がGoogle Apps側で完了すれば、infoあっとまーくweb.namakesugi.netなどのメールアドレスにメールが送信できるようになります。


    キャッチオールアドレスの設定


    ビジネスなどで利用する場合は、メールアドレスの伝達ミスなどで、存在しないアカウントに対してメールを送られてしまい、届かないなどありえますよね。
    その場合に便利なのがキャッチオールアドレスです
    namakesugggi@namakesugi.netに対してメールを送ったのだが、タイプミスで届かない。
    といった事例を防ぐ効果があります。
    この設定をするとnamakesugggi@namakesugi.netへのメールは、error-mail@namakesugi.netへすべて転送されるようになります。
    ※メールアドレスは例です。スパムとかもいっぱいきますが、Googleのスパムエンジンは中々いいので、設定しておくとなにかと便利です。
    ※上記の例の場合error-mailというアカウントが必要です。
    設定はGoogleのヘルプを参照したほうがわかりやすいでしょう。




    [Google Apps]利用するドメインの取得[お名前.com]

    Google Appsに登録してみた


    何を思ったのか唐突にドメインとってGoogleAppsに登録したくなった。
    ドメイン持ってないなーと思ったのでまずはドメインの取得から!


    ドメインの取得


    きっかけはこんなバナーでした。



    ドメインとってみよう => Google Appsも登録しちゃうか?みたいなのりです。


    順序よくいきましょうか


    とりたいドメインを下のように入力します


    onamae01.png


    そのドメインが取れるかどうか画面上に表示されます


    onamae02.png


    ×マークやMマークとかいろいろありますが、該当のページで確認してみてください。
    ドメインの有効期限切れ後の再申請待ち状態などもあるようです。
    その場合は取れる見込みはありますが、取れないこともあるという微妙な状態です。
    パブリックな企業であれば、一通りとっておくことをお勧めします。
    結構かかりますけどね。維持費


    会員登録をして、お金の支払い方法を設定しておしまい


    お名前.comの会員登録をした後に、お金の支払い方法を設定します。
    今回はクレジットカードにしました。また一応個人なのでwhois情報での表示をお名前.comに代行してもらう
    サービスもつけました(このときは無料)


    ドメインの登録完了!


    そんなこんなで支払い方法等が決定し、ドメインの登録が完了しました。
    以下のように表示されました。
    onamae03.png


    Google Appsに登録してみよう


    さてここからが本題になります。ドメインの取得が出来ましたので、Google Appsのgmailアカウントでも
    作ってみましょうか。


    Google Appsへのドメインの登録をします。
    https://www.google.com/a/cpanel/domain/new
    先ほど取得したドメインを入力して、進んでいきます。
    個人情報を適当に入力し、アカウントを作成します。
    これで完成です。
    Google Appsの管理画面に作成した代表アドレスでログインします。


    ドメインの所有者の確認をする


    ログインすると以下のような文字が表示されます。
    gappa01.png


    リンク部分をクリックし、ドメインの所有権の確認をしていきます
    今回はCNAMEレコードを追加して確認をしてみたいと思います。
    リンクをクリックした先の画面のプルダウンでCNAMEレコードを選択します。
    以下のように追加するドメイン情報が表示されます(2.の部分です)ので、この値をメモするなりしておきます。
    gappa02.png
    次からはお名前.comでの作業になります


    お名前.comの管理画面でDNSを設定する


    以下のURLへアクセスします
    https://www.onamae.com/navi/domain.html
    一番最初に会員登録をしていると思いますので、お名前ID(8桁の数値)とパスワードをいれてログインします。


    ドメインNaviというサイトに移動します。
    画面上部のドメイン設定を選択します。
    onamae05.png


    この時にネームサーバの変更をする必要があります。


    左のメニューから「レンタルDNS設定」を選択します。(メイン領域にもありますが)
    onamae06.png


    設定したいドメインを選択して進むと以下のような画面が表示されます。
    onamae07.png


    CNAMEレコードを追加する


    1. ホスト名にGoogle Appsで指定されたサブドメインの値をいれます。(googleXXXXではじまるやつです)
    2. TYPEとしてCNAMEを選択します
    3. 値として[google.com.](最後の.を忘れないでください=>お名前.comの場合は不要のようです)を入力します。
    4. 追加ボタンを押します。
    onamae08.png
    「確認画面へ進む」のボタンを押し、「設定」ボタンを押せば完了です。
    DNSが反映されるまである程度時間を要しますので注意してください。
    これで、Google Apps側でドメインの確認が完了すれば登録完了です。


    Google Appsでドメインの所有権の確認ができない場合


    ドメインの所有者の確認のところに表示されている[googleXXXXX](Xの部分は固有の数値)とDNSサーバに登録した値が同一であることを確認してください


    1. WindowsであればWindowsキー(キーボードの左下あたりにあるWindowsのマーク)を押しながらRキーを押します。
    2. ファイル名を指定して実行というのが表示されますので、[cmd]と入力し、Enterを押します。
    3. 黒い画面が出てきますので、[nslookup googleXXXXX.取得したドメイン]と入力しEnterを押します。
    4. IPアドレスが表示されれば正常にDNSサーバに反映されていることになります。
    ※Google側でそのドメインが引けなければだめですので設定があっているならば少し待ってみてください。
    一応最大で48時間程度かかるようです。


    次回はGmailをxxxx@取得したドメインで使えるようにします


    また、GMO(お名前.com運営しているとこね)のVPSも気になっていますので、レンタルしてみようと思います
    ↓これね



    追記 : ネームサーバの設定が抜けていた


    お名前.comでドメインの取得後にお名前.comのレンタルDNSを利用する前に
    ネームサーバの設定が必要でしたが抜けていました。
    このドメインはこのネームサーバが知っていますよー的な登録です。


    [ドメインNavi]内の[ドメイン設定](画面上部のメニューバー)を選択します。
    少しスクロールすると左側のメニューに[ネームサーバ変更]というのがありますので選択します。
    次にネームサーバ設定をしたいドメインを選択します。
    [転送Plus・DNS設定]を選択します。
    特に入力する必要がなく、画面にいろいろと表示されますので、[設定する]を選択します。
    これでネームサーバ設定は完了です。
    お名前.comでのネームサーバ設定

    上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。