今更ながらDMARCのレポート送信先をDNSに追記

 Microsoft 365 Business Basicに使っているドメインにDMARCを追記したのは数年前になるが、ruaのレコードを記述していなかったので今更ながら追記した

Googleドメインを利用しているので、Googleのknowledgeを参考に以下赤字部分を追記

【 DMARC レコードの追加　】

"v=DMARC1; p=none; rua=mailto:<レポート送信先アドレス>; adkim=r; aspf=r"

失敗レポート用のrufはGoogleドメインだとサポート外なので未記載

adkimやaspfは念のため r-緩和 として緩めに設定したが、ここは省略してもデフォルト値で同じ値が入るので気分の問題か

pctとspに関しては調整が面倒なので一旦は省略することにした

問題なければレポートメールがnoreply-dmarc-support@google.comから以下の件名で届くようになる

件名：Report domain:<DMARCを設定したドメイン> Submitter;google.com Report-ID<レポートID>

先日IPAのサイトで公開された 情報セキュリティ10大脅威2022 でも個人、組織問わずメール起因の危険が多く取り上げられているのが現状

マルウェアやランサムウェアへの感染経路もWebサイト等よりもメール経由が非常に多いと感じることは業務中でも良くある

個人はもちろん、DMARCまでの対応は難しい組織もそれなりにあるとは思うが、せめてSPFとDKIMは設定して欲しい

というかSPFが空欄でメール使ってる企業はさすがにどうにかして欲しい

第三者中継で平気で送信元偽装用に使われてる例を何件も見ているので辛い

情報セキュリティ10大脅威 2022

Google Domainで作成したサブドメインの委任方法

さくらのメールボックスで利用するメールアドレス用にサブドメインを作成して、そのサブドメインのネームサーバをさくらインターネット側に向けたい

さくらインターネット側に委任してしまえば、サブドメインのDNS情報は全てそちらでの管理になるので設定ミスもなくなってしまっていいかなと思う



事前にさくらインターネット側の管理画面からサブドメインを含んだ独自ドメインを登録して、さくらインターネット側のネームサーバが設定されるようにしておく

サーバコントロールパネルの【ドメイン設定】－【ドメイン／ＳＳＬ設定】から【新しいドメインの追加】ページに移動

【5.他社で取得したドメインを移管せず使う】－【>>ドメインの追加へ進む】

【他社で取得した独自ドメインの追加】の【ドメイン名：】欄に利用するサブドメインのホスト名を含んだFQDNを入力

今回はサブドメインのネームサーバを委任するので下の【他社で取得された独自ドメインのサブドメインを追加】は利用しない

ドメインが追加されたら【ドメイン設定】－【ドメイン／ＳＳＬ設定】に戻って、作成したドメインの【変更】ボタンからSPFの設定を追加する

【SPFレコードを利用する】と【IPv6アドレスを利用する】にチェックを入れて【送信】
これでサクラ側のネームサーバにSPFレコード情報とAAAAレコード情報が追加される

さくらインターネット側のネームサーバ設定は数時間程度で反映されると思うが、とりあえず一晩置いて翌日からGoogle Domainの設定を行う

Google Domain の【 DNS 】ページ内の一番下にある【カスタムリソースレコード】にてサブドメインのホスト名を入れてNSレコードに委任先のアドレスを入れるだけ

【@】が入力されている欄を利用したいサブドメインのホスト名に打ち換え

レコード種別はプルダウンメニューから【NS】を選択

TTL は初期値のまま

IPv4 アドレスにさくらインターネットのネームサーバアドレスを入力
複数記入する場合は入力欄右側の【 + 】を押して追加する

ネームサーバ情報は上記でドメインを追加する際に画面上に表示されていた値を利用
ネームサーバ１：【 ns1.dns.ne.jp 】
ネームサーバ２：【 ns2.dns.ne.jp 】



これで今回作成したサブドメインのネームサーバの委任設定は完了

委任先のさくらインターネットのネームサーバと委任元のGoogle Domain のネームサーバには特に関連がないのでグルーレコードの記載も不要

Cent OS 7でdigコマンドを使えるようにする

仕事中にMXレコードの正常性調べて欲しいと依頼されたものの、
会社のPCではnslookup含めコマンド打てない様にロックされていた

仕方なくGCE上のCent OS 7にてdigを使う
スマートフォンからSSHでアクセスできるし、
Bluetoothキーボード持ち歩いてるからどこでもコマンド打てるのは便利だ

標準ではインストールされていないので下記コマンドで
$ sudo yum -y install bind-utils


インストール完了したので下記コマンドで調査
$ dig （調べるドメイン名）mx

結局NOERRORが返ってきたのでサーバ側の問題っぽいということで
ホスティング先の会社に問い合わせてもらうことに

セキュリティは重要だけどある程度の機能は使えるようにしてほしいなとも思う。

さくらインターネットのメールホスティング契約

PCのOSインストールなども無事終了

GCPでのメールサーバ構築はやはりポートの問題もあり、
外部サービス連携しか無理なのでホスティングに切り替えることに。


今回は　さくらインターネット　の　さくらのメールボックス　を選択。
セキュリティ機能は一通りついて年間1,029円は安い


とりあえずのままに新規申し込みで初期ドメインを適当に決定


独自ドメインはGoogleドメインで取得したものを利用するので、
DNS設定画面で【MXレコード】と【SPFレコード】を設定

MXレコード：　www***.sakura.ne.jp　（初期ドメイン）
SPFレコード：　"v=spf1 a:www***.sakura.ne.jp mx ~all"

DNSレコードの情報が伝播されるまで1日ほど待ってから
さくらのコンパネに独自ドメインを登録する

左のメニューから「ドメイン設定」-「ドメイン/SSL設定」のページを開いて
「新しいドメインの追加」をクリック

ページ下部の「５．他社で取得したドメインを移管せず使う」の
「>>ドメインの追加へ進む」をクリック

ページ上部の「他社で取得したドメインの追加」の枠内にある
ドメイン名：のテキストボックスに自分の独自ドメインを入力して
「*送信する*」をクリック
NSレコードの注釈があるが、
MXレコードのみGoogleドメインのDNSに向けているのでこの部分は無視する

DNSが伝播されてない場合や設定ミスがあった場合はここでエラーが返ってくる


問題なく登録されたら初期ドメインの下部に独自ドメインが追加される。
ここの「変更」からSPFの設定などできるようだけど、
DNSはGoogleドメイン上で管理しているので触ることはない

左のメニューから「メールに関する設定」-「メールアドレスの管理」へ移動
ページ下部の「メールアドレスの追加」のテキストボックスに
登録したいメールアドレスとパスワードを設定すれば新しいメールアドレスの作成完了

メーラーは今と同様Gmailを利用するので　オンラインマニュアル　を参照
これでPCでもandroidでも同様にメールをチェックできるようになった

MicrosoftのPowerAppsなどが独自ドメインのメール必須のようなのでそちら用にでも使おうか

GCPのVMはLAMP構築テストとか何か用にまた再構築しよう

GoogleドメインのDNSへメールサーバ用にMXレコード等を登録する

GCEで作ったVMインスタンスをメールサーバとして利用する前準備として、ドメインを取得しているGoogleドメインのDNSへ設定を行う。

Googleドメインのマイページから「DNS」の設定を開く。

画面下の方に「カスタムリソースレコード」の項目があるので、こちらへ必要な情報を追加する。


■Aレコード
まずはGCEのグローバルIPアドレスをAレコードに追加する。
「名前」の部分はメールサーバに付与するサブドメインを入れるので「mail」を記入する。
「タイプ」はIPv4アドレスなので「A」を指定。
「TTL」はデフォルトの「1H（1時間）」のままに
「データ」にはIPv4アドレスが入るので、GCPのダッシュボードからGCEにあるVMインスタンスのグローバルIPアドレスを確認して記入する。


■MXレコード
「名前」の部分は取得しているドメインの「silver-cat.info」だがデフォルト値のため「@」に変換される。
「タイプ」は「MX」を指定。
「TTL」はデフォルトの「1H（1時間）」のままに
「データ」には上のAレコードで指定したサブドメインを入れるので「mail.silver-cat.info」を記入する。
保存すると「データ」のサブドメインの頭に自動的に優先値の「10」が追加される。


■SPFレコード
通常TXTレコードに記載するが、Googleドメインはわかりやすくプルダウンメニューに「SPF」の項目を作ってくれている。
「名前」はMXレコード同様「@」のままで。
「タイプ」は「SPF」を指定。
「TTL」はデフォルトの「1H（1時間）」のままに
「データ」には「v=spf1 +mx -all」を記入する。

「v=spf1」は決まり文句。
「+」がPASS（認証する）、「-」がFail（認証しない）
「+mx」でドメイン名に対応するMXレコードに指定された不ストのAレコードを参照して該当すれば認証する。
「-all」で上記以外なら認証しない。



今回はサーバ1台のみのためこれでいいはず。
あとはメールサーバの中身の構築を時間を見ながら進めていこう。

Bloggerに独自ドメインを設定する方法

ブログを始めるにあたり、URLはデフォルトの***.blogspot.comでもよかったんだけど、せっかくだから独自ドメインを取得して設定したい。

ドメインを取得するサービスは色々とあるものの、今回はBloggerを利用する事が前提だったので、今回は同じGoogleのIDで利用できるGoogleドメインを利用することに。

Googleドメイン

このブログ用に【silver-cat】のドメインで検索。

雑記と言えども一応個人的に何かやった情報を残したいので【.info】で登録。

利用規約への同意や、自動更新の有無、whois情報の登録をして申込み完了。
初期設定時はwhois情報は非公開になっている模様。


入力方法などはヘルプを見ながらポチポチと。
サービス自体が日本語化対応してくれているおかげでわかりやすい。

支払いが完了したら確認メールが届くのでメール本文のメール確認URLをクリックして申込み完了。




取得した独自ドメインをBloggerへ設定するのはブログ設定画面の左メニューから

「設定」 - 「基本」の中にある「公開」 - 「ブログのアドレス」の項目

「+ブログのGoogle Domains URLを設定」をクリックして、先程登録した独自ドメインがプルダウンメニューにて選ばれていることを確認。

入力欄には初期値として「www」が入力されているので、変更する必要がなければそのまま保存をクリックして設定完了。

取得した独自ドメインに紐づくGoogleドメインのDNS設定を設定することなく反映されるのは非常に楽ちん。

他社サービスにて独自ドメインを取得した場合にはこの際にDNSサーバの設定も必要となる。

ひとまずブログの外側ができたので、時間を見て中身を増やしていこう。