Domain Authentication(SPF/DKIM設定)の設定方法

参考動画:[Vimeo] Getting Started with Domain Authentication

Domain Authenticationとは

Domain Authenticationは、SendGridがユーザの許可を得てメール送信していることを証明する機能です。SendGridに許可を与えるために、ご利用のDNSレジストラ(お名前.comなど)にレコードを作成してSendGridを参照するようにします。Domain Authenticationを設定すると、受信者のメールクライアントで「sendgrid.net経由」といったメッセージが表示されなくなることがあります。

これは受信者から見ると小さな変化ですが、差出人のレピュテーションや到達率にとてもよい影響をもたらします。Domain Authenticationが設定されていない場合、メールプロバイダはメールの差出人を特定できず、なりすましの可能性があると疑います。メールの差出人を明示的に示すことでレピュテーションやメールの到達率を高めることができ、メールがフィルタされずに受信ボックスに届くようになります。 受信者に迷惑メール報告されることも減るでしょう。

用語

DNS

DNS(Domain Name System)は、インターネット上でドメイン名を管理するシステムです。SendGridで「DNS」という用語を使うときは、メールの送信元または画像リンクの参照元となる、ユーザのドメイン名を指します。また同様に「DNSプロバイダ」は、ユーザのドメインを管理するレジストラ(お名前.comなど)を指します。詳しくは用語集のDNSのページを参照してください。

DKIM

DKIM(DomainKeys Identified Mail)は、悪意のある差出人を排除するための送信ドメイン認証の1つです。

DKIMでは、認証に使用するデジタル署名をメールヘッダに追加します。また、送信側はDKIM用の公開鍵(ユニークな文字列)を公開します。

受信側がメールを受け取ると、送信側のDNSサーバから公開鍵を取得して、受信したメールのDKIM署名を検証します。詳しくは用語集のDKIMのページを参照してください。

SPF

SPFはAOLが開発した送信ドメイン認証の標準仕様で、送信者が公開する送信元IPアドレスのリストと実際の送信元サーバのIPアドレスを比較します。IPアドレスのリストはDNSレコードとして公開されます。詳しくは用語集のSPFのページを参照してください。

CNAME

CNAMEレコードはドメイン名に別名を付けるためのDNSレコードです。SendGridでは、Sender Authenticationで設定した「サブドメイン.ドメイン」をsendgrid.netの別名として使用するためにCNAMEレコードを利用します。登録したCNAMEレコードは、クリックトラッキングや開封トラッキングの情報をSendGridのアカウントに紐付けたり、送信ドメイン認証したりする際に、宛先サーバやメールの受信者から参照されます。設定に必要なCNAMEレコードの内容はSendGridが生成するので、それらをユーザ自身がDNSサーバに登録する必要があります。詳しくは 用語集のCNAMEのページをご確認ください。

Domain Authenticationの設定方法

前提

Domain Authenticationを設定するには、設定を行うドメインのレジストラ(お名前.comなど)にSendGridが指定する内容でDNSレコードを登録する必要があります。まずはご利用のレジストラを特定し、そこにアクセスできるかどうかを確認してください。アクセスできない場合は、御社のDNSサーバへのアクセス権限を持つ担当者にご確認ください。

Domain Authentication設定は最大3000まで作成可能です。

Domain Authenticationの設定手順

  1. SendGridのダッシュボードでSettings > Sender Authenticationを開きます。
  2. Domain AuthenticationのセクションでGet Started(初めて設定する場合)またはAuthenticate Your Domain(設定を追加する場合)をクリックします。
  3. 遷移先の画面で、「レジストラの種類」と「Link Brandingを同時に設定するかどうか」を選択し、Nextをクリックします。Link Brandingについて詳しくはLink Brandingとはを参照してください。
  4. 「Domain You Send From」の入力欄にFromアドレスのドメインを入力し、必要に応じてAdvanced Settingsを設定します。ここではwwwhttp://wwwを含めず、ドメインだけを入力するようにしてください。例えば、example@sendgrid.comからのメールを送る場合は、sendgrid.comと入力します。入力したらNextをクリックします。 Advanced Settingsについて、詳しくはこちらを確認してください。
  5. 画面に表示されるCNAMEレコードをすべてDNSサーバに登録します。登録手順はDNSホストにより異なります。主要なレジストラでのCNAMEレコードの登録手順はvideosで公開しています。自社のDNSレコードを登録する権限がない場合は、Send To a Coworkerタブから担当者に登録依頼メールを送ることができます。このメールには登録すべきCNAMEレコードの内容を閲覧するためのURL(有効期限付き)が記載されています。このとき、登録依頼メールの受信者はSendGridのアカウントにログインする必要はありません。

Automated SecurityをOFFにした場合は、CNAMEレコードの代わりにTXTレコードとMXレコードを追加します。

DNSレコードが反映されるまでには最大48時間かかる場合があります。反映されるのを待ってDomain Authentication設定を有効化(Validate)してください。

Domain Authenticationの有効化(Validate)

DNSレコードの登録内容が反映されたら、Sender AuthenticationのページでVerifyをクリックします。

Validateをクリックしても一部のCNAMEレコードしか”Verified”の表示にならない場合は、もう少し時間を置いてから再度お試しください。また、登録したレコードに誤りがないかを確認してください。詳しくはトラブルシューティングを参照してください。

SendGridは、Fromアドレスのドメインと一致する有効なDomain Authentication設定を適用します。Fromアドレスのドメインを変更する場合は、Domain Authenticationの設定を新たに作成して有効化(Validate)してください。

Advanced settings

参考動画:[Vimeo] Advanced Domain Authentication Settings

Use automated security(Automated Securityの利用)

Automated SecurityがONの場合、送信ドメイン認証(SPF/DKIM)に必要なDNSレコードをSendGridが自動的に生成し、そのレコードをCNAMEを利用して参照します。この仕組みによって、固定IPアドレスを追加したりアカウントを更新したりしても、SPFレコードを更新する必要がなくなります。

Automated Securityは初期状態でONになっています。ご利用のレジストラがCNAMEレコードにアンダースコアを使うことを禁止している場合は、Automated SecurityをOFFにしてください。これにより、CNAMEレコードの代わりにMXレコードとTXTレコードでAutomated Securityを設定できるようになります。

Automated SecurityがONの場合、SendGridは3つの異なるCNAMEレコードを生成します。

一方、Automated SecurityがOFFの場合はMXレコード1つとTXTレコード2つを生成します。Domain Authenticationの設定では、これらのレコードをレジストラに登録後、SendGridのダッシュボードで「Verify」します。

Automated SecurityをOFFに設定し、SPF認証用のTXTレコードに固定IPアドレスを直接指定した場合には注意が必要です。固定IPアドレスの追加や削除、プラン変更などの際に、TXTレコードをユーザの責任のもと手動で更新する必要があります。

Use custom return path(Custom Return Pathの利用)

Return-Pathヘッダのサブドメインをカスタマイズするためには、Custom Return Pathを設定します。

Custom Return Pathを設定する方法

Authenticate Your DomainのページでAdvanced Settingsのメニューを展開し、Use custom return pathのチェックをONにします。Return Pathの入力欄が表示されるので、数値または文字列を入力します。Custom Return Pathを利用しない場合、SendGridが自動的にサブドメインを設定します。ここでは、SendGridが割り当てる初期値とは異なる値を入力するようにしてください。

Use a custom DKIM selector(Custom DKIM Selectorの利用)

同一ドメインに対して複数の認証設定を作成する場合は、Custom DKIM Selectorを利用します。この機能を使うと任意のセレクタ名を設定することができます。

Custom DKIM Selectorを設定する方法

Authenticate Your DomainのページでAdvanced Settingsのメニューを展開し、Use a custom DKIM selectorのチェックをONにします。DKIM Selectorの入力欄が表示されるので、サブドメインとして使用する3文字の文字列または数値を入力します。DKIM Selectorを入力しなかった場合は、SendGridが自動的に値を設定します。ここでは初期値と異なる値を入力してください。例えば、org001といった値を利用できます。

Assign to a subuser(サブユーザへの割り当て)

サブユーザは親アカウントとは異なる送信者レピュテーション(SendGridのダッシュボードで確認可能)を持ちますが、サブユーザにDomain Authentication設定を割り当てることでサブユーザの送信ドメイン認証を設定してさらにセキュリティを強化できます。親アカウントから割り当てたDomain Authentication設定を、サブユーザ側で編集したり削除したりすることはできません。

サブユーザにDomain Authentication設定を割り当てる方法

Authenticate Your DomainのページでAdvanced Settingsのメニューを展開し、Assign to a subuserのチェックをONにします。Choose a subuserの欄で対象のサブユーザを選択します。

2015年7月以前のWhitelabel設定の移行

2015年7月以前の旧ポータルで設定したDomain Whitelabelは従来通りに動作しますが、設定内容を更新する場合は、古い設定を削除してDomain Authenticationを新たに設定する必要があります。

それ以降に設定したものは、自動的にDomain Authenticationへ移行されています。

参考