独自ドメインの会社メールをレンタルサーバーで運用していて、GmailやOutlook.comメールの相手に送ったときだけMAILER-DAEMONのエラーメールが返ってくるというトラブル対応のご依頼をちょくちょくいただきます。
GmailやOutlook.comはスパム対策のセキュリティレベルを上げ、SPF/DKIM/DMARC などのなりすまし対策がされていないメールを受け入れてくれなくなっています。SPF/DKIM/DMARCのうちSPF設定はたいていのサーバーで設定できますが、個別の設定方法となるとレンタルサーバーのサポート対象外といわれ突き放されます。
どこのレンタルサーバーを利用して、DNSサービスはどこを利用しているか、DNSレコードにSPFの記述があるのか、記述はあるのにエラーが出るのかなど、個別に対応していかないといけないので、サーバー運用は当方の本来のサポート範囲ではありませんが、どこにも頼るところがないという小規模事業者様からのご依頼を無下に断るわけにもいかず、毎度頭を悩ましながらできるだけ対応しています。
私がチェックするときよく使うサイトやサービス、よくある注意点などを備忘録もかねて列挙しておきます。
どこのDNSを利用しているかチェック
たいていは契約しているレンタルサーバーに付属のDNSサーバーを利用していると思われますが、たまにDNSサーバーは別のところを利用していたりします。
DNSサーバーの管理画面でSPFレコードを追加したり編集したりがメインの作業となるので、ドメイン名から検索するとNameserversからどこのDNSなのかわかります。
JPRS WHOIS(.jp/.co.jp/.or.jp等)
http://whois.jprs.jp/
INTERNIC WHOIS(.com/.net/.org/.biz/.info等)
https://www.internic.net/whois.html
SPFチェックサービス
SPFレコードの記述だけチェックするならこちら。たとえば_spf.google.comに含まれるサブドメインやIPアドレスなどもチェックできます。
https://dmarcian.com/spf-survey/
SPFレコードのほか、AレコードやMXレコードなどもチェックするならこちら。
SPFチェックメール
こちらのアドレス宛にメールを送信すると、SPFの認証結果(DKIM/DMARCも)を返してきてくれます。 PassならOK、SoftFailはPassを目指したいところ、NoneはSPFレコード追加、Failは修正しないといけません。
check-auth@verifier.port25.com
None | SPFレコードが公開されていない |
Neutral | SPFレコードが“?”として公開されている条件にマッチした |
Pass | 認証処理に成功した |
Fail | SPFレコードが公開されているが、認証に失敗した |
SoftFail | SPFレコードが“~”として公開されている条件にマッチした |
エラーメールのソースコードをチェック
上記メールでSPF設定がPassの結果でも、それですべて解決となるとは限りません。たとえば、お問い合わせフォームや、顧客に一斉にメール送信するサービスなど、外部サービスを利用したメールだけエラーになる場合などがあります。
その場合は、MAILER-DAEMONから返ってきたエラーメッセージのソース表示やヘッダー情報を見ると、どのサーバーもしくはIPアドレスが原因でSPF認証結果がPassしていないか確認できます。
メールソフトやWEBメールごとにソース表示やヘッダー情報を出す方法、ソース表示の中からSPFの表示部分を探す方法は、ここでは割愛します。
SPFのTXTレコードは一行にまとめる
契約しているレンタルサーバーによりますが、自社の基本SPFレコードは自動設定されている場合もありますが、すでにSPFレコードがあればそれを編集、そうでなければレンタルサーバーのSPFレコード、外部サービスの記述方法を参考に一行にまとめて、DNSにTXTレコードとしてSPFレコードを設定します。
トライ&エラーを繰り返さないといけない場合も多いと思います。
SPFレコードの記述例は下記の例が参考になります。
https://support.google.com/a/answer/10685031?sjid=955711750937727903-AP
実際にあった注意点
最後に実例として、つまづいた実際の例を挙げておきます。
メールウイルスチェックサービス
さくらのインターネットで、さくらのメールボックスの無料オプションサービスのメールウイルスチェックを有効にしているとウイルスチェック用のサーバー経由のメールになり、SPF認証結果がSoftFailになりGmailで受信すると黄色い帯の警告が出ることがありました。
そのときはメールウイルスチェックのオプションをOFFにしました。
メール転送サービス
お問い合わせフォームが古いドメイン宛ての設定のまま(そのお問い合わせフォームはもう編集できない)旧ドメイン(メール転送設定)⇒新ドメイン(MXレコード)⇒GoogleWorkspaceで送受信する設定になっていた。すべての経路のメール送信元のSPF記述方法を調べて一行にまとめた。
Aレコードが飛んだ
Google Domeinsでドメイン取得、Google Workspace利用の場合、ワンボタンでSPFとDKIMが自動設定されますが、そのSPFレコードは編集できず。編集したい場合はWorkspaceが自動設定したDNSレコードをすべて削除したうえで、すべてカスタムレコードで追加し直さないといけないとのこと。一時的にホームページが表示されない状態が発生した。SPFレコードだけ編集させてほしかった。