アグリレジの売上メールがGmail宛に届かない問題への対応について

弊社提供のアグリレジでは、産直店舗等に商品を出品している出品者様に向けて、1日に数回その時点の売上を記載した売上メールを配信しています。

この売上メールに関して、2023年末に複数の運営者様から同じようなお問い合わせをいただいておりました。
内容はGmailのメールアドレスを宛先として登録している出品者様に売上メールが届かないというもので、こちらについて調査・対応を行いました。
今回はその対応についての内容になります。

Gmail宛の送信に対してのリターンメールを確認してみると、下記のようなSPFまたはDKIM認証されていないためブロックされたという内容が記載されていました。

—– The following addresses had permanent fatal errors —–
<xxxxxxxxxx@gmail.com>
(reason: 550-5.7.26 This mail has been blocked because the sender is unauthenticated.)

—– Transcript of session follows —–
… while talking to gmail-smtp-in.l.google.com.:
>>> DATA
<<< 550-5.7.26 This mail has been blocked because the sender is unauthenticated.
<<< 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM.

550-5.7.26というエラーコードは下記のような内容になります。
Gmail の SMTP に関するエラーとコード – 5.7.26 エラー

550, “5.7.26”, このメールには認証情報がないか、認証チェック(SPF または DKIM)に合格していません。迷惑メールからユーザーを保護するため、メールはブロックされています。詳しくは、Gmail ユーザーへのメールがブロックされたり迷惑メール扱いされたりしないようにするをご覧ください。

送信元メールにSPFやDKIMの設定が行われていないためGmailからブロックされてしまっていました。

Gmailなどのメールサービスでは、近年増加傾向にあるなりすましメール対策として、セキュリティ強化が積極的に進められています。

特に2024年2月1日以降は、Gmailにメールを送信する全てのメール送信者は、下記のリンク先に記載の要件を満たしている必要があります。

Gmailヘルプ – メール送信者のガイドライン

要件は1日あたり5000件以上のメールを送信するか否かで変わります。
売上メールは5000件未満のため、SPFまたはDKIMの設定が必要ということになりますが、5000件以上の場合は他にDMARCなどの設定が必要となります。

※もしSPF、DKIM、DMARCの設定をしてもメールが届かない場合は、MXレコードなど他の設定を見直す必要があります。

SPF (Sender Policy Framework)

インターネット電子メールの送受信において送受信者のドメインの偽称を防ぎ、正当性を検証する仕組みの一つ。

※参考サイト
Gmailへのメール送信がエラーになって返ってくる現象でお困りのお客様へ – SPFレコード(Sender Policy Framework)とは

DKIM (DomainKeys Identified Mail)

送信する電子メールに電子署名し、受信者がDNSを経由して署名を検証することで、間違いなく送信されたドメインから送られてきていることを確認し、送信ドメインのなりすましをしていないことが証明できる機能。

※参考サイト
【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応予定に関するお知らせ

DMARC (Domain-based Message Authenntication, Reporting and Conformance)

DMARC は、ドメインからのメールが SPF または DKIM による認証に合格しなかった場合に、そうしたメールの処理方法を受信サーバーに指示します。ドメインの DMARC レコードを公開して、DMARC を設定します。

※参考サイト
Gmailヘルプ – メール送信者のガイドライン

アグリレジの売上メールは、さくらインターネット様のさくらのメールボックスを利用して送信しています。

DKIMに関しては、さくらインターネット様が対応を1月末日までに提供開始するとのことなのでそちらを待つこととしました。
(その後1月31日から対応が順次提供されることが確定となりました。)
【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応予定に関するお知らせ

SPFについては、ネームサーバーに対してSPFレコードを設定する対応を行いました。
売上メールは、メールサーバーはさくらのメールボックスですが、ネームサーバーはGMOインターネットグループ様のお名前.comのためそちらで設定を行いました。

Gmailへのメール送信がエラーになって返ってくる現象でお困りのお客様へ | さくらのサポート情報 – 他社ネームサーバー利用の場合

お名前.comの管理画面内に、ドメイン関連機能としてDNSレコードを設定する機能があるので、こちらで設定を行いました。

設定画面の下記のような入力欄に、さくらインターネット様のページに記載されている設定例を参考に必要なデータを追加しました。

ホスト名 空白
TYPE TEXT
TTL 3600
VALUE v=spf1 a:www***.sakura.ne.jp mx ~all

※「***」部分は利用サーバーのホスト名

状態 有効

 

SPF レコードを定義する: 詳細設定 – Google Workspace 管理者 ヘルプ – SPF レコードの機構

しばらく経つとdigコマンドや受信したメールのヘッダー、MxToolBoxというDNSの設定などを確認できるサイトでもSPFレコードが適用されていることが確認できました。
下はMxToolBoxでの確認結果です。

SPFレコードの設定後は、SPFやDKIMのエラーが記載されたリターンメールは1件も届かなくなったことが確認できており、登録しているアドレスにもメールが届いていることが確認できております。

 

以上のような対応で今回は問題を解消することはできましたが、セキュリティ強化の状況について把握していて、以前からSPFレコードの設定を行っていれば、そもそも問題は発生することは無く、お問い合わせをさせてしまうこともありませんでした。

今後はもっと積極的にセキュリティや周辺の技術に関する情報を得るようにし、必要な対応は早めに行うことを心がけて、より良いサービスの提供が行えるように努めてまいります。

引き続き変わらぬご愛顧のほどよろしくお願いいたします。


※2024/2/1追記
1月31日にさくらインターネット様のDKIM・DMARCが対応完了したことを受けて、アグリレジの売上メールもDKIMとDMARC設定を行いました。

【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応完了のお知らせ

簡単ではありますが対応内容は以下のようになります。
設定後もエラーが発生することなくメール送信が行われていることを確認できている状態です。

 

DKIMに関しては、さくらインターネット様のサポート情報を参考に行いました。
DKIM署名、DMARCを設定したい – DKIM署名、DMARCを設定する(外部ネームサーバー利用の方)

まず、さくらのメールボックスでDKIM署名を行い、DKIMレコードに必要な秘密鍵とセレクタを作成します。
次に、さくらのメールボックスで作成した秘密鍵とセレクタを元にDKIMレコードをお名前.comで設定。
そして、さくらのメールボックスでDKIMレコードの利用を設定するという流れです。

お名前.comのDNSレコード設定画面で追加したDKIMレコードは下記のような内容です。

ホスト名 XXXXXXX._domainkey.***.

※「XXXXXXX」の部分は、さくらのメールボックスでDKIM署名を行い作成したセレクタ名。
※「***」部分は利用しているドメイン名。

TYPE TEXT
TTL 3600
VALUE v=DKIM1; k=rsa; p=XXXXXXXXXXXXXXXXXXXXX

※「p=」以降の部分は、さくらのメールボックスでDKIM署名を行い作成した公開鍵。

状態 有効

 

またDMARCに関しては、さくらのメールボックスでの操作は無く、お名前.comのDNSレコード設定画面でDMARCレコードを追加するのみになります。

追加したDMARCレコードは下記のような内容です。

ホスト名 _dmarc.***.

※「***」部分は利用しているドメイン名。

TYPE TEXT
TTL 3600
VALUE v=DMARC1; p=quarantine; aspf=r; adkim=r; rua=mailto:***

※ p、aspf、adkim、rua等の値については下記のリンクを参照ください。

DMARC レコードの追加 – Google Workspace 管理者 ヘルプ

DKIM署名、DMARCを設定したい – DKIM署名、DMARCを設定する(外部ネームサーバー利用の方)

※「***」部分はDMARCの集計レポートを受け取るメールアドレス。

状態 有効