iCloud メールの postmaster 情報 iCloud メールにメールを配信するメールサーバを管理するシステム管理者を対象に、メールの一括配信、メール認証、配信に関する問題などについてご説明します。 メールを一括配信する場合のベストプラクティスは? iCloud メールをご利用のお客様にメールを一括配信する場合は、以下のベストプラクティスを実践してください。 メール配信に明確に同意している登録者にだけ配信する (購入したリスト、レンタルリスト、または email appending で入手したアドレスは使わない)。 配信停止用のリンクを記載し、受信者がただちに登録を解除できるようにしておく。 メールが RFC 5322 に準拠するよう徹底する。 IP アドレスの逆引き DNS レコードを公開し、IP アドレスの身元が確認できるようにしておく。 一括配信メールの送信元 IP アドレ
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? DMARC対応が(ほぼ)終わりました🏄♂️ 2024年1月から始めた社のDMARC対応がほぼおわりました。2024年8月1日からp=quarantineに変更をしました。念のため、1か月間の様子見期間を経て、2024年9月からp=rejectにする予定です。なかなか学びの多い取組だったため、感想をポストしてみようと思います。 そもそもDMARCとは そもそもDMARCとはって話はいろいろな人がいろいろな記事をあげてくれているので割愛します。このへんの記事や、Youtubeがわかりやすいです。 DMARCに対する取組のきっかけ 202
メール配信の継続的信頼性を維持する為に必要な要素をまとめたSMTP D4Cという概念があります。 日本語では「いとも容易く得られる(わけではない)えげつない信頼性」となります。 SMTP D4Cを構成するのはつ次の五要素です。 Domain Authentication (ドメイン認証の徹底) Double Opt-in (確実なダブルオプトイン) Delivery (継続的な配信) Don't Change (配信の安定後は変更しない) Check & Change (定期的な確認と状況に合わせた変更) そもそもの背景 京都開催なSREのイベント Road to SRE NEXT@京都でメール系のLTがあると知り、 近所*1でもあるので、自分はSREではありませんが参加してみることにしました。 直前に「懇親会で飛び入りLTもOK」という案内を聞き、背中を押してもらったこともあり、 自分が
はじめに この記事について 皆さんは自社メールのSPF、DKIM、DMARCの設定状況を急に確認したくなったことがあるでしょうか。私はあります。対応状況だけならメーラーで受信メールの詳細情報を見ればすぐ確認できますが、できれば実際にどう設定されているかDNSの登録内容を確認してみたいですよね。(ですよね?) この記事では、私と同じようにDNSのエントリを確認したい皆さんが、ちゃちゃっとdig, nslookupで確認するための手順を記載します。 確認手順 1. 会社メールからGmail宛にメールを送る SPF, DKIM, DMARC の対応有無だけを確認したいのであれば、当該ドメインからのメールの詳細情報を確認するのが一番早く確実です。(DNSに登録されているからと言って、これらが使用されているとは限りません) DNSの登録情報を調べるために必要な情報を取得する必要もあるため、まずはメー
個人のGメールアカウントにメールを送る際の要件を定めたグーグルのセキュリティーガイドラインが6月1日、全面適用される。なりすまし対策技術「DMARC(ディーマーク)」の実装や、ワンクリックでの配信停止などのスパムメール対策を大量送信者に求める。未対応の場合はメールが届かないなどの影響が出る可能性があるが、中小企業の多くは対応できていないとみられる。DMARC(Domain-based Message Authentication, Reporting and Conformance) なりすましメールを判別する仕組みのひとつで、「送信ドメイン認証」と呼ばれる。同認証には「SPF(Sender Policy Framework)」、「DKIM(DomainKeys Identified Mail)」と呼ばれるものもある。SPFはあらかじめ登録した送信サーバーのIPアドレスを受信サーバー側で照
最終的なタイムリミットは2024年6月――。23年10月に公表されたGoogleのアップデート版「メール送信者のガイドライン」の段階的な適用が開始されている。企業のメルマガによるマーケティングに大きな影響を及ぼす可能性があるが、果たして企業の対応は進んでいるのか。WACULの最高マーケティング責任者(CMO)で、メールマーケティング・エバンジェリストの安藤健作氏が調査データを基に現状を解説する。 Googleが「メール送信者のガイドライン」をアップデート。2024年2月1日から段階的な適用がスタートしたが、企業の対応はどこまで進んでいるのか、そして影響は……。現状と影響について専門家に聞いた(画像:Vanz Studio/stock.adobe.com) 2023年10月に更新されたGoogleのGmailにまつわる「メール送信者のガイドライン」によれば、メールマガジンを配信する事業者は2
当サイトでは、広告掲載ポリシーに沿って広告を掲載しています。 ※広告でなく、単に商品やサービスを自主的に紹介しているだけという場合もあります。 "オススメ" として紹介している商品やサービスは、個人的にそう思えたものだけです。 共感、興味をもっていただけるものがあればご利用ください。 SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものであるケースは多く、それらの IPアドレスが第三者によって利用できる可能性があることを悪用し、SPF 認証を pass、結果的に DMARC 認証まで pass して詐称メールを送信できてしまうことを指摘した論文が公開されています。 この論文では、上記のような SPF の脆弱な展開に対する攻撃手法を BreakSPF と呼び、関連するプロトコルや基盤の実装に対する分析と共に、その内容が体系的にまとめられています。 本
セキュリティチームでリーダーを務めている藤田です。普段はプロダクトセキュリティの施策を中心に担当しています。 この投稿は、現在進行中の案件に関するものですが、世間で DMARC への対応が話題になっているにも関わらず、業務分担が進んでいる組織や複数のサービスで会社共通のドメインを用いてメールを送信しているような場合になぜ対応が進まないのか、それに対し私たちがどのようにアプローチしているかを示すものです。まだ完璧とはいえる状況ではありませんが、ある程度目処が見えてきたため、ノウハウを共有します。 タイトルの通り技術的なトピックも取り扱いますが、社内での調整や進め方を中心に解説しています。 ステークホルダーが多く、調整に苦労している方や、DMARC 対応を始めたもののレポートの分析に着手できていない方が一歩を踏み出すための助力となれば幸いです。 結論 外部の分析サービスに頼ることなく、AWS
しばたです。 昨年10月にGoogle(Gmail)および米国Yahoo!においてスパム対策の強化がアナウンスされました。 この件に関してつい先日まで他人事でいたのですが、実は全然他人事では済まないことが発覚し突貫で知識を仕入れています。 アナウンスに対する具体的な対応策についてはこちらのZennの記事を見れば全部わかる感じです。 最高ですね。 また、メール送信にAmazon SESを使っている場合はAWSのブログを確認すると良いでしょう。 「これらの記事を読み解けば万事解決!」という感じではあるのですが、私自身が学んだなかで予め知っておくと良さそうに思えた点がいくつかありました。 本記事ではその辺を共有するのと、実際にAmazon SESの環境を作って動作確認をしたのでその結果も合わせて共有します。 はじめに覚えておくと良い基礎知識 Zennの記事でも詳細な解説がありますが、個人的に「最
Gmailが「メール送信者のガイドライン」を改訂し、なりすましメールへの対策を強化する旨を発表しています。今までは原則、なりすましメール対策の有無にかかわらず、メールはいちおうは届いていました。しかし今後は、なりすましとみなされたメールは届かなくなる方向に向かいつつあります。 なりすましメールとみなされないようにするために、メール送信者には、「メール送信ドメイン認証」への対応が求められます。メール送信ドメイン認証の技術には、主に以下の3つがあります。 SPF: Sender Policy Framework (RFC 7208) DKIM: DomainKeys Identified Mail (RFC 6376) DMARC: Domain-based Message Authentication, Reporting, and Conformance (RFC 7489) SPFは従来
2023年10月にGoogleとYahoo!がメール送信者向けのガイドラインを更新してから早3か月。いよいよ適用開始の2024年2月が近づいてきました(ドキドキ)。 私は昨年から本件の対応を進めていて、地味に大変だな、と感じています。多くの企業では自社ドメインから様々なメールを送信していると思います。利用しているツール・サービスも様々で、たとえば、Sendmail/Postfix/Eximのサーバを立てている、Google WorkspaceやMicrosoft 365を使っている、といった他に、CRMであるSalesforce、マーケティングツールのHubspotやAccount Engagement(旧Pardot)、メール送信用のAmazon SESやSendGridを使っているなど、多くのツール・サービスを併用している企業が多いのではないでしょうか。 そういった状況では自社のどこか
Gmailに届くようになった、障害解消後の神奈川県立高校入試のインターネット出願システムのメールを調べてみた 2024年1月19日 神奈川県立高校のネット出願システムの不具合が解消。これまで利用出来なかったGmail(@gmail.com) のメールアドレスでも利用可能になりました。 2024年1月10日から Gmail (@gmail.com) のメールアドレスでは利用できない障害が発生していた神奈川県公立高等学校入学者選抜インターネット出願システム。 本日、Gmailの利用が可能となった旨のアナウンスがありました。 令和6年1月19日14時掲載(第13報) メール受信(主にGmail)の障害について、すべての志願者が出願システムを利用できるようになりました。 神奈川県公立高等学校入学者選抜インターネット出願システムの稼動状況について Yahooのメールアドレスで登録完了しているIDを利
IIJ ネットワーク本部アプリケーションサービス部所属。 メールサービスの運用業務に従事し、日々世界の悪と戦う一児の父親。社内 Power Automate エバンジェリスト(自称)。M3AAWG member / openSUSE Users / WIDE Project メンバー。趣味は大喜利。はがき職人。 企業の情報システム部門でメールを担当されているみなさん、この問いに答えられる方は、どれくらいいらっしゃるでしょうか。 「そんなこと、気にしたこともない」という方も少なくないかもしれません。それもそのはず、これまで送信ドメイン認証を代表する SPF、DKIM は、送信者側が受信者側でどのように評価されたか知る術がありませんでした。ましてや、第三者の何者かが自社ドメインを勝手に使って誰かにメールを送っている、なんて知ることは不可能でした。 しかし、DMARC(RFC 7489;「ディー
先日、Gmail、米国Yahoo!から相次いでメール送信者ガイドライン変更のアナウンスがありました。詳しい内容についてはこちらの記事に詳細がまとまっているのでご参照ください。 DMARCのレポート アナウンスを受けてSPF/DKIMの確認やDMARCの設定を始めた方も多いのではないでしょうか。そしてDMARCのレポートをいざ受け取ってみて、XML形式で読み取りにくいと思う方も多いのではないでしょうか。以下のXMLは実際に私のドメインで受け取ったDMARCレポートです。レコードは1つですが、これだけ長くなります。 <?xml version="1.0" encoding="UTF-8" ?> <feedback> <report_metadata> <org_name>google.com</org_name> <email>noreply-dmarc-support@google.com<
こんにちは。エムスリーでSREやセキュリティに従事している山本です。 以前に、「Gmailのメール認証規制強化への対応って終わってますか?」という記事を書かせていただいておりますが、そこでちょい出しだけしたDMARCについて書かせていただきたいと思います。 www.m3tech.blog Gmailへの対応を実施するだけならば、「とりあえずよくわかんないけど入れておけばOK」なのですが、そもそもDMARCは何のために存在していてどのように活用にするのかというところに触れていきたいと思います。 DMARCとは SPF/DKIM DMARC登場 DMARCで実施できるポリシー三種 ポリシーの強化 強化できるか DMARCレポート RUA/RUFの二種のレポート DMARCレポートの確認ツール どう判断するか メール転送 今後 まとめ We are hiring! DMARCとは DMARCの日
こんにちは。エムスリー・QLife(エムスリーのグループ会社)・エムスリーヘルスデザイン(エムスリーのグループ会社)でエンジニアとして各種作業に関わっている山本です! 以前もメール送信の話を書かせていただいたことがありますが、今回もまたメールネタとなります。今回のお題はメールセキュリティです。 大量メール送信のための予備知識 - エムスリーテックブログ すでにご覧になった方もいるかと思いますが、次のようなニュースが流れています。 www.proofpoint.com この「GoogleとYahooの新Eメール認証要件」ってつまりどういうことよ? というところを具体的にどのように進めているかについて書かせていただきたいと思います。 2023/12/18追記 : Googleからメール送信にTLSを使うことが追加要件として示されました。 TL;DR とりあえず何から始める? 何はともあれ実際に
米グーグルが2024年2月以降、迷惑メール(なりすましメール)対策を大幅に強化した「メール送信者のガイドライン」を適用すると発表し、メールに携わるIT業界関係者に衝撃が走った。 メールの送信者がこのガイドラインの要件を満たしていない場合、世界最大規模のメールサービス「Gmail」にメールを送れなくなる恐れがあるためだ。具体的には送信したメールが拒否されたり、受信者の迷惑メールフォルダーに配信されたりする可能性がある。 メール配信事業者や企業のメールサーバー管理者などは、2024年2月の適用開始までに対策が必要だ。通信事業者やISP(インターネットサービス事業者)の大半は対応済みで、それらが割り当てたメールアドレスのユーザーは影響を受けない。 「1日5000通以上」は特に注意 同社が2023年10月3日(米国時間、以下同)に発表したガイドラインによると、対象になるのは個人向けのGmailアカ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く