BIND : DMARC レコードの設定2024/07/17 |
自身のメールサーバーが SPF/DKIM で保護されていることを示すための DMARC (Domain-based Message Authentication, Reporting, and Conformance) レコードの設定をします。 |
|
[1] |
DMARC は、自身の DNS レコードに SPF や DKIM 認証の失敗時の動作を登録し、メールの受信者側に指示する設定です。 |
[2] | 対象のドメイン名を設定しているゾーンファイルに DMARC レコードを設定します。 |
[root@dlp ~]#
vi /var/named/srv.world.wan $TTL 86400 @ IN SOA dlp.srv.world. root.srv.world. ( ;; シリアル番号更新 2024071501 ;Serial 3600 ;Refresh 1800 ;Retry 604800 ;Expire 86400 ;Minimum TTL ) IN NS dlp.srv.world. IN A 172.16.0.82 IN MX 10 dlp.srv.world. IN TXT "v=spf1 +ip4:172.16.0.82 -all" dlp IN A 172.16.0.82 www IN A 172.16.0.83 20240712._domainkey IN TXT "v=DKIM1; h=sha256; k=rsa; ""p=MIIBIjANBgkqh....." ;; 最終行に追記 _dmarc IN TXT "v=DMARC1; p=none;"[root@dlp ~]# rndc reload |
[3] | DMARC レコードのその他のオプションです。 |
;; [v=DMARC1] ⇒ DMARC のバージョン ;; [p=***] : 認証失敗時の動作ポリシー ;; - [none] ⇒ 何もしない ;; - [quarantine] ⇒ 迷惑メールフォルダーに隔離 ;; - [reject] ⇒ メール受信拒否 ;; [rua=mailto:***] : 集約レポートの送信先アドレスを指定 ;; * 未指定の場合は集約レポート送信なし ;; * 複数アドレスを指定する場合はカンマ (,) 区切り _dmarc IN TXT "v=DMARC1; p=none; rua=mailto:admin@srv.world,webmaster@srv.world" ;; [ruf=mailto:***] : 失敗レポートの送信先アドレスを指定 ;; * 未指定の場合は失敗レポート送信なし ;; * 複数アドレスを指定する場合はカンマ (,) 区切り _dmarc IN TXT "v=DMARC1; p=none; ruf=mailto:admin@srv.world,webmaster@srv.world" ;; [sp=***] : サブドメインの認証失敗時の動作ポリシー ;; * 未指定の場合は [p=***] の設定が継承される ;; - [none] ⇒ 何もしない ;; - [quarantine] ⇒ 迷惑メールフォルダーに隔離 ;; - [reject] ⇒ メール受信拒否 _dmarc IN TXT "v=DMARC1; p=none; sp=reject; rua=mailto:admin@srv.world" ;; [pct=***] : ポリシーの対象とするメールの割合 (パーセンテージ) ;; * [1-100] で指定 ;; * 未指定の場合は [pct=100] _dmarc IN TXT "v=DMARC1; p=none; pct=50; rua=mailto:admin@srv.world" ;; [fo=***] : 失敗レポート送信時の動作オプション (ruf=*** を有効にしている場合) ;; - [0] ⇒ DKIM, SPF の両方の認証が失敗 (未指定の場合のデフォルト) ;; - [1] ⇒ DKIM, SPF のどちらかの認証が失敗 ;; - [d] ⇒ DKIM の認証が失敗 ;; - [s] ⇒ SPF の認証が失敗 ;; [aspf=***] : SPF 認証のアライメントモード ;; - [s] ⇒ strict モード : ドメイン完全一致 (未指定の場合のデフォルト) ;; - [r] ⇒ relaxed モード : ドメイン部分一致 ;; [adkim=***] : DKIM 認証のアライメントモード ;; - [s] ⇒ strict モード : ドメイン完全一致 (未指定の場合のデフォルト) ;; - [r] ⇒ relaxed モード : ドメイン部分一致 ;; [rf=afrf] : DMARC 認証失敗レポートの形式 ;; * 現時点では [rf=afrf] のみ (未指定の場合のデフォルト) ;; [ri=***] : 集約レポートの送信間隔 (単位は秒) ;; * 未指定の場合のデフォルト値は [ri=86400] (24 時間) |
[4] |
下記サイトでは、設定した DMARC レコードの記述のチェックができるので、確認しておくとよいでしょう。 DMARC レコードの設定に問題なければ、設定したドメインのメールサーバーから Gmail 等にメール送信すると、ヘッダーに [DMARC: 'PASS'] と表示されます。 |
Sponsored Link |