メール(Postfix、DKIM、ARC)サーバ

前提条件
 ・ ホスト名は、FQDNで設定済みである。
 ・ メールは、サービスや監視などからの送信のみを想定している。
 ・ メールのリレーが行える想定である。

管理コマンド

「~/.forward」を必要なユーザに追加し動作確認(/var/log/maillog)

 rootへのメールは、運用上重要なメールが送信されるので、必ず「~/.forward」を設定し通常利用しているメールサーバ(@gmail.comなど)へ転送すること。

接続許可ホストのDB管理

 接続許可ホストを設定ファイルに定義するのではなくDBで管理するとサービスの再起動が不要や管理が簡単になるのでお勧めです。

 DBの更新

 

Gmail「メール送信者のガイドライン」改定(2024年2月)対策

 ガイドラインの改定および技術的な解説を行っているサイトは、沢山あるのでそちらを参照。
「すべての送信者の要件」の前提条件で設定します。

前提条件

  1. ドメインに SPF または DKIM メール認証を設定します。
  2. 送信元のドメインまたは IP に、有効な正引きおよび逆引き DNS レコード(PTR レコードとも呼ばれます)を設定します。
  3. メールの送信に TLS 接続を使用します。
  4. メーリング リストや受信ゲートウェイを使用するなどして、メールを定期的に転送する場合は、送信メールに ARC ヘッダーを追加します。ARC ヘッダーによって、メールが転送されたことが示され、送信者が転送者と見なされます。メーリング リストの送信者は、メーリング リストを指定する List-id: ヘッダーも送信メールに追加する必要があります。
  • 1.は、SPFまたはDKIMメール認証のどちらか(SPFはDNSの設定のみ)で可能との意味合いです。
  • 2.は、IPアドレスに対して逆引き(逆引きしたFQDNが正引きできること)の設定を行っていることの意味で、SPFが設定されていても逆引きがエラーとなる場合は、メールの受信を拒否されます。なお、送信元のドメインのFQDNの正引きと逆引きが一致する必要はありません。(クラウド事業者で1固定IPを割り当てた場合、正引きと逆引きを一致することは不可能です。)
  • 3.は、PostfixのTLS標準設定を利用します。
  • 4.はARCヘッダーの追加とMailman(From を書き換え)などの設定を行います。
  • サブドメイン含めてトップドメイン全体で1日に5,000件の前提なので、自分の管理するサーバが1 日に5,000件送信しなくても、他のサブドメインのサーバも含めてすべてのサーバの合計で、1 日に5,000件のメールを送信する場合は、ガイドラインの「1 日あたり 5,000 件以上のメールを送信する場合の要件」で対応する必要があります。

SPFおよびIPアドレスの逆引き・正引き

各自の管理しているDNSサーバの設定方法で行います。受信も行うのであれば、MXレコードも設定します。
詳細は、技術的な解説を行っているサイトは、沢山あるのでそちらを参照すること。
 ※複数の固定IPを割り当てているISPで、申し出を行わないと逆引きの設定が行われていない場合があるので、確認して逆引き設定を行うこと。

DKIM認証(Header Fromの認証)

パッケージのインストール

証明書の作成
セレクタ名は、任意の文字列のため「YYMMDD」を使用

DNSの追加
DKIMの公開鍵を設定します。
240118._domainkey.sec-portal.jp」形式のレコードを設定(DNSの設定方法は各システムの操作を参照すること)します。

DNSの確認

OpenDKIMの設定

KeyTableの設定

SigningTableの設定

TrustedHostsの設定
 opendkim にキーを使用するホストを指定します。リストのホストは内部のマシンだと認識され、opendkim はメールに署名を行います。

opendkimサービスの起動

Postfixの設定

Postfixサービスの再起動

ARC署名

パッケージの追加

秘密鍵の作成
OpenDKIMと同じ秘密鍵を使うのでコピーする。

OpenARCの設定

OpenARCの起動

Postfixの設定

Postfixサービスの再起動

動作確認

  • Gmailに送信して「メッセージのソース」を表示するとSPF・DKIM等の判定が表示される。
  • メールのリレー元のPostfixは、「relayhost」で本サーバを指定する。
  • Mailmanの場合は、以下の設定を追加する。

全体的オプション
 From: ヘッダーのメールアドレスをリストの投稿アドレスに置き換え、 元の From: ドメインの DMARC あるいは類似のポリシーにより 生じる問題を緩和します。
   → 「From を書き換え」を選択する。

 

 

 

 

 

タイトルとURLをコピーしました