~メールの仕組みとセキュリティ~
こんにちは。KeSです。
最近このブログを書くためにドメインを購入したんですが、
GoogleWorkspaceでまとめて購入したんですよね。
その時に会社向けのカスタムメールアドレスも一緒に作ることにしたのですが、
諸事情あってサーバーを移管することにしたんです。
すると、メールが受信はできるのに送信するとブロックされてしまう。。。
「もしかしたら、カスタムメールを持っているドメインをサーバー移管して送信できなくなって困っている同じような境遇の人がいるかも!!!(早口)」
ということで、メールの復旧ついでにその手順をこのブログに記します。(こんなピンポイントに困っている人はいるのだろうか?)
はい。今回も自分のミスの修正手順の供養です。笑
そのついでにメールについても少し調べてきたのでインターネットの基礎勉強なり復習なりで読んでもらえると私が喜びます。
そもそもなんで送信できないのか
前提としてこのメールアドレスは、
・受信はできて、メールを閲覧することはできる。
・送信しようとすると、ブロックされてしまいメールが送信できない。
・契約しているサーバー自体は問題なく動いている。
という状態です。
結論、このメールアドレスは未認証のためメールを送れません。
何が?って感じですよね。笑
安心してください。僕もそう思ったので。
なのでまずはメールが届く仕組みを簡潔にまとめました。
メールの送受信の仕組み(簡易版)
メールは主に以下のステップで送信・受信されます。
- 送信:あなたのメールクライアント(Gmail)→ 送信サーバー(SMTPサーバー)。
- 配送:送信サーバー → 受信サーバーの住所を調べる(DNSを参照)。
- 受信:受信サーバーはMXレコードを見て、どのサーバーにメールを届けるべきか判断し、メールを受け取る。
MXレコードとはそのドメインのメールの「郵便受け」がどこにあるかを指定するDNSレコードのことです。
そして、僕のメールアドレスは受信はできて送信はできていないので、
「MXレコードには問題がない」ということになります。
じゃあ未認証ってどういうことなんや?というお話に参りましょう。
なぜ「なりすまし対策(認証)」が必要なのか?
メールの仕組みは、はがきのように「差出人」を簡単に偽装できます。悪意のある第三者が僕のドメインを使って詐欺メールを送る(なりすまし)のを防ぐために、受信サーバーは以下の3つの認証情報を使って、「このメールは、ドメインの所有者が認めたサーバーから送られたものか?」をチェックします。
| 認証技術 | 役割 | 失敗すると? |
| SPF (Sender Policy Framework) | IPアドレス認証:どのサーバーからの送信を許可するかを宣言する。 | 送信元IPアドレスが許可リストにない場合、なりすましと判断される。 |
| DKIM (DomainKeys Identified Mail) | 電子署名:メールの内容に秘密鍵で署名し、DNSの公開鍵で照合する。 | 送信途中で内容が改ざんされていないこと、正規の送信元からのものであることを証明する。 |
| DMARC (Domain-based Message Authentication, Reporting, and Conformance) | ポリシー宣言:SPF/DKIMが失敗したメールを「どう扱うか(拒否するか、隔離するか)」を受信サーバーに指示する。 | 認証が失敗した際の明確な指示がないため、判断が受信サーバー任せになる。 |
引用元:GoogleGemini
「送信元が信用できないから、君のメールは送れないよ!」
っていわれているわけですね。僕から僕へ送信してもちゃんとブロックされます。
それでは、この状態を解決するためのにはどうすればいいのでしょうか?
解決手順:DNSレコードの設定方法
ドメインを管理しているDNSサーバー(レンタルサーバー会社、ドメインレジストラ、またはGoogle Domainsなど)の、以下のレコードを追加・修正していきます。
ステップ1:SPFレコードの修正・追加
SPFレコードは、そのドメインのメール送信を許可するサーバーのIPアドレスまたはドメインを記載します。Gmailから送信する場合、Gmail(Google Workspace)のサーバーを許可する必要があります。
- タイプ:
TXT - ホスト名:
@またはyour-domain.com - 値 (テキスト):
v=spf1 include:_spf.google.com ~all
⚠️ 注意点: 既存のSPFレコードがある場合は、v=spf1と~allの間にinclude:_spf.google.comを追記してください。SPFレコードは一つのドメインにつき一つしか設定できません。例: v=spf1 include:oldserver.com include:_spf.google.com ~all
ステップ2:DKIMレコードの追加
DKIMは、メールの内容が改ざんされていないことを証明する電子署名です。Google Workspaceの場合、管理コンソールで生成した公開鍵をDNSに追加します。
- Google Workspaceの管理コンソール(
admin.google.com)にログインします。 - アプリ → Google Workspace → Gmail → メールの認証へ進みます。
- 「新しいレコードを生成」をクリックし、表示された「ホスト名(DNSレコード名)」と「TXTレコードの値」をメモします。
- その情報をDNSサーバーに追加します。
- タイプ:
TXT - ホスト名: (Googleから提供された長い文字列。例:
google._domainkey) - 値 (テキスト): (Googleから提供された長い公開鍵。例:
v=DKIM1; k=rsa; p=MIIBI...)
- タイプ:
- DNSへの追加後、管理コンソールに戻り「認証を開始」をクリックします。
※注意:サーバーで設定できるDKIMとGoogleWorkspaceで入手できるDKIMは別物です。
必ずGoogleWorkspaceでDKIMを入手してDNSサーバーに設定してください。
ステップ3:DMARCレコードの追加(推奨)
DMARCは、SPFとDKIMのチェックに失敗したメールをどう扱うかを指示します。迷惑メール対策の強化のため、設定を強く推奨します。
- タイプ:
TXT - ホスト名:
_dmarc - 値 (テキスト):
v=DMARC1; p=none; rua=mailto:your-admin-email@kes-kai.com
💡 解説:p=none: 失敗しても何もせず、レポートを送る(最初はこれで様子を見るのが安全です)。rua=mailto:...: SPF/DKIMに失敗したメールのレポートを、指定したメールアドレス(管理者アドレスなど)に送ってもらう設定です。
ステップ4:メール送信テスト
これらの設定を適用し、DNSの浸透時間(数時間〜最大48時間)が経過すれば、Gmailから送信したメールがブロックされる問題は解決するはずです。
- 設定の確認:
- オンラインのSPF/DKIM/DMARCチェッカー(例: MXToolBoxなど)を利用して、設定したレコードが正しく公開されているかを確認する。
- テスト送信:
- Gmailから、普段使わない別のメールアドレス(Yahoo!メールやOutlookなど)にテスト送信し、迷惑メールフォルダに入らず、正しく受信トレイに届くことを確認する。
僕の場合は初めにブロックされた時と同じ条件で送信テストを行いました。
上が送信済みフォルダ、下が受け取り側の受信フォルダの画像です。
無事にメール送信が行えるようになりました!!
今日のナレッジ
- カスタムメールはサーバー移管をすると送受信に不具合が出ることがある。
- メールがブロックされた原因は未認証だったから。
- 認証のキーワードは”SPF””DKIM””DMARC”。
- DNSの浸透時間があるので、テストしても反映されていない可能性がある
「カスタムGmail使えなくなって自分で設定できないからあきらめてました!」
という人が一人でも減ればいいなって思います。
以上、「メールが送れなくなった?!ナレッジAI流カスタムGmailのサーバー設定」という話題でした。
読んでいただきまして、ありがとうございます!
次回もお楽しみに~
コメント