自前のメールサーバーから Gmail などの外部メールサービスへ送信する場合、SPF、DKIM、DMARC はほぼ必須の前提になっています。以前は送れることもありましたが、現在は送信ドメイン認証が弱いメールは拒否、隔離、迷惑メール判定されやすくなっています。
私の環境でも、Kubernetes 上でシステムを再構築している途中で、自前メールサーバーから Gmail 宛にメールが送れない状態になりました。エラー内容を見ると、SPF や DKIM が求められており、今後は SPF / DKIM / DMARC を前提にした構成にする必要があると判断しました。
書籍
Postfix 実用ガイド
Postfix の配送経路、リレー、ログ確認、メールサーバー運用を深く確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
SPF / DKIM / DMARC の役割
| SPF | そのドメインのメールを送信してよいサーバーを DNS で示す |
|---|---|
| DKIM | メールに署名し、本文や主要ヘッダーの改ざんを検証できるようにする |
| DMARC | SPF / DKIM の結果をもとに、ドメインとしての扱い方を受信側へ伝える |
自前メールサーバーでは DNS まで含めて設計する
メールサーバーの設定だけでは、送信ドメイン認証は完結しません。SPF、DKIM、DMARC は DNS レコードと強く結びついています。Postfix 側の配送設定、DKIM 署名、DNS レコード、外部からの検証結果をまとめて確認する必要があります。
特に自前メールサーバーでは、固定 IP、逆引き DNS、HELO/EHLO 名、SPF レコード、DKIM セレクタ、DMARC ポリシーがばらばらになりやすいため、メール配送をアプリケーションの通知機能だけの問題として扱わない方がよいです。
まずは確認しやすい状態にする
最初から強い DMARC ポリシーを設定するより、まず SPF と DKIM を整え、外部確認サイトや実際の受信ヘッダーで結果を確認する方が安全です。DMARC は p=none で観測し、問題がなければ段階的に強める方が現実的です。
