「From」ドメイン以外のDKIM署名者の指定
数か月前、私は3人の会社にSPF/DKIM/DMARCを実装しました。試用期間の後、DMARCを「p = reject」に切り替えて、SPF/DKIMに失敗した場合にメールが拒否されるようにしました。一般的には機能します。私たちの電子メールは通過し、DMARCレポートからのデータに基づいて、私たちのドメインから送信されたスパマーの電子メールは拒否されます。サーバーはUbuntu/Postfixです。
うまくいかないことの1つは、カレンダーの場合、仕事用のメールアドレス(Gmailアドレスではなく会社のドメイン)でGoogleアカウントを使用してGoogleカレンダーを使用していることです。 Google Appsがホストするメールアドレスを持つ参加者と受信者を使用して(GoogleウェブサイトまたはThunderbird/Lightning with Provider for Googleカレンダーを介して)Googleカレンダーの招待状を作成すると、Googleは招待状のメールを拒否します。 Google-Appsがホストするドメインを代表するGoogleからのバウンスバックメッセージは、拒否が私のドメインのDMARCポリシーに基づいていることを示しています。
Googleはメッセージの配信を試みましたが、aspmx.l.google.comによって受信者ドメイン[Google Apps Hosted DomainRemoved]のサーバーによって拒否されました。他のサーバーが返したエラーは次のとおりです。[私の会社のドメインが削除されました]からの認証されていない電子メールは、ドメインのDMARCポリシーのために受け入れられません。正当なメールの場合は、[マイカンパニーのドメイン削除]ドメインの管理者にご連絡ください。
そのすぐ下には、google.comの(おそらく)有効なDKIM署名があります。つまり、Googleは、DKIMで署名された独自の電子メールをスパムとして拒否しました。これは、私のDMARCポリシーが述べていることではないためです。しかし、DMARCポリシーに別の言い方をさせる方法がわかりません。 SPFの場合、有効な送信者としてGoogleを指定できます。しかし、DKIMでそれを行う方法を見つけることができません。「有効なGoogle DKIM署名があれば、それはスパムではありません」というDKIMレコードに入れることができます。そのようなものは存在しますか? 「From」ドメイン以外の別のDKIM署名者を承認する方法は?
DNSで複数のDKIMセレクターを公開できることに注意してください。オンプレミスサーバーにすでに使用しているものと、Google Appsから発信されたメールに使用しているもの(たとえば、ubuntu._domainkey.yourdomain.comとgoogle._domainkey.yourdomain.com)。 DKIMを有効にする Google Apps設定にサインインすると、カレンダーの招待状はgoogle.comとyourdomain.comの両方の署名によって署名されます(後者はgoogle._domainkey.yourdomain.comセレクターに対応します)。これにより、SPF定義にGoogle IPスペースがすでに追加されている場合、DMARCの問題が解決するはずです。お役に立てれば。
mail fromであるSPFやメッセージヘッダー/コンテンツであるDKIMとは異なり、dmarcはfromヘッダーに基づいています。したがって、SPF(googleカレンダーを使用する必要がある場合はgoogleを追加することをお勧めします)。
グーグルのspfを追加することから始めて、dmarkがリラックスするように設定されていることを確認します。彼らは、dmarcフォレンジックレポートからの情報を使用して、より明確な調整を行います。
Dmarcグループにメールを送信し、他に推奨事項があるかどうかを確認します。Googleアプリでメールアカウントを1つでも登録している場合は、すべてのメールを社内のサーバー(メールサーバーなど)から中継できます。