私のプロジェクトでは、独自ドメイン(Google Apps)でGmailを使用しています。次に、ユーザーに通知を送信するための外部メールサーバーを追加します。 GmailはDKIMの秘密キーを提供しません。キーが外部メールサーバーで生成される場合、厳しいルールの場合、Gmailからのすべてのメールが拒否されます。この状況でSPF + DKIM + DMARCを使用してメールのなりすましを防ぐにはどうすればよいですか?
ip4:<server ip address>
のようなものを使用して、サーバーを既存のSPFレコードに追加します。
メッセージのDKIM署名が必要な場合は、一般的なMilterである OpenDKIM を使用し、セレクターを使用してDNSを更新できます。
おそらくDMARCレコードの内容を編集する必要はありませんが、よくわからない場合は、 DMARC Deployment Tools ページでこれらのリソースの一部が役立つ場合があります。
Gmailからのメール送信を希望するサーバーを使用していない場合、From:ヘッダーにGmailのメールアドレスが含まれるメールを送信することはできません。これが、dkim、spfなどが実行している電子メールアドレスの信頼を復元する基本的なメカニズムです。
私の理解する限りでは。独自のサーバーからメールを送信する必要がある場合は、独自のドメインを取得し、独自のdkim秘密鍵を作成して、正当なメールアドレス@yourdomainから送信します。そのアドレスに送信されたメールを再びGmailに転送できます。 smtpを使用してサーバー経由でメールを送信するようにgmailを設定することもできます。
見逃していないといいのですが...
2010年からこのような構成を使用していますが、実際にはDMARCが後で登場しました。 Google Appsサーバーを使用して、ウェブクライアント経由でメールを送受信しています。私のサーバーはメールを送信するだけで受信しないので、DNS MXレコードを変更する必要はなく、サーバーポート25はインターネットに開かれていません。
ドメインをGoogle Appsに接続するための標準のGoogleガイドを過ぎていると思います。したがって、サーバーを含めるには、DNSゾーンのSPF/TXTレコードを調整するだけです。
<yourdomain>. TXT "v=spf1 ip4:<yourserver-ip> include:_spf.google.com ~all"
Googleが生成したキーを使用してドメインDNSゾーンのDKIMを設定した場合は、カスタムDKIMキーをいくつでも追加できます。詳しくは、こちらをご覧ください https://support.google.com/a/answer/174124 。したがって、ドメインの別のDKIMレコードは次のようになります。
<yoursercer-key-id>._domainkey.<yourdomain>. TXT "v=DKIM1; g=*; k=rsa; <dkim key data here>"
Googleはそのキーで送信メールに署名するため、受信者は署名されたキーIDに対してそれを検証します。サーバーのメールは、独自のキーIDを使用してカスタムDKIMによって送信および署名される必要があります。受信者のメールサーバー/クライアントは、そのカスタムキーIDを検索して、Googleではなくソースを確認します。
最後に、DMARCを構成しました。監視されているのと同じドメインとGoogle Appsで実際にホストされている「admin @」アカウントのDMARCレポートを受け取ります。さらに、私は Google; s email alias trick "+ dmarc"を使用して、これらのレポートを簡単にフィルタリングしてラベルを付けます。
_dmarc.<yourdomain>. TXT ""v=DMARC1; p=none; rua=mailto:admin+dmarc@<yourdomain>"