GoogleがDMARCをサポートしているにもかかわらず、一部のGoogleアプリケーションはSPFを使用してDMARCに準拠したメールを送信することができません。
Google Suiteのユーザーで独自ドメインを使用している場合、Docs、Sheets、Slides、Gmail API、CalendarといったGoogleのアプリケーションから送信されるメールは、独自ドメインではなくGoogleを指すドメインを使用します。つまり、SPFのためのドメインアライメントができないのです。このズレは、DMARCポリシーがp=quarantineまたはp=rejectで、DKIMが適切に設定されていない場合に問題となります。メールはDMARCに失敗し、Googleカレンダーの招待はブロックされます。
Googleカレンダーへの招待を確実に送信するには、以下の手順でDKIM署名を設定してください。
- GoogleのGmail管理パネルにアクセス
- メールの認証をクリック
- 新しいDKIMレコードを生成する
- DKIMキーを作成する際、DKIMキーのビット強度を選択するよう求められます。長いキーの方がより安全なので、2048のビット強度を選択することをお勧めします。ただし、すべてのドメインDNSプロバイダがこのキーサイズをサポートしているわけではありません。ドメインDNSプロバイダまたは管理者がこのDKIMビットサイズをサポートしているかどうかを確認してください。
- また、DKIMプレフィックスセレクタを選択するプロンプトが表示されます。デフォルト値はgoogleで、このままにしておくことをお勧めします。
- DKIMレコードの値をコピーし、ドメインのDNSプロバイダーに公開する。
注:Gmailを使用しているため、Google WorkspaceアカウントのDKIM署名をすでに設定している場合は、GoogleカレンダーのDKIMを別途設定する必要はありません。
DKIMの設定と検証の詳細については、Googleの記事を参照してください。
上のスクリーンショットは、Google Suiteの管理者によって設定されたDKIM署名とDMARC管理プラットフォームを示しています。これらのDKIM署名は、メールがDMARCに準拠するように適切に添付され、整列されています。
お客様がSPFとDKIMの両方を使用して100%DMARCに準拠させたいとお考えであることは承知しておりますが、Googleが他のGoogleアプリからカレンダーの招待やメールを送信する方法に基づいて、現時点では不可能です。DKIMが唯一の答えです。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
