Google Workspace管理者向け DNS設定ガイド（後編）

2024年3月27日掲載

Duet AI for Google Workspace とは？特長や導入方法を分かりやすく解説

Google Workspaceとは、Googleが提供するクラウド型のビジネス向けサービスです。メール、カレンダー、ドキュメント、ストレージなど、様々な機能を使って、効率的に仕事を進めることができます。

Google Workspaceを使うには、まず自分のドメイン（例：example.com）をGoogle Workspaceに登録して、DNS（Domain Name System）という仕組みを利用して、ドメインの所有権確認や、メールの送受信を可能にしたりします。

とはいえ、DNSに関しては普段触ることもなく慣れてない方が多く、サポートが不十分であったり、扱い上もドメイン名取得会社とドメインを利用するサービスとのやり取りを自力でやる必要があり、意外と最初の難関となることが多いのがDNSです。

本記事では、Google Workspaceを導入するために必要なDNS設定について、初心者でも分かりやすく解説します。

Google Workspaceの導入を検討されている皆様、導入を進めているが設定の進め方がわからず困った！という皆様の不安やお困りごとを解決する一助になれば幸いです。

本記事は後編となり、主に迷惑メール対策に関するDNS設定について解説いたします。

前編は以下よりご参照ください。

Google Workspace管理者様向け DNS設定ガイド（前編）

1.SPF

SPF（Sender Policy Framework）は、業界標準のメール認証方式です。この認証方式はドメインをなりすましから保護し、そのメールが迷惑メールに分類されにくくするための手段の一つです。

SPFが最低限設定されていないと、個人向けGmail宛のメールは受信すらしてもらえなくなってしまうため、現在ではほぼ必須とも言える設定です。この設定を誤ると受信側で迷惑メールとして分類されることがあるため非常に重要です。

基本的な書き方は　v=spf1 <送信サーバーのリスト> ~all　となります。レコードの形式はTXTになります。

本レコードの値を決める上で検討すべき事項は

どのメールサーバーから送信するのか？
記載しなかったメールサーバーから送信されたメールの取り扱い

この2点を考える必要があります。以下設定例です。

自社のメール構成	レコードの設定例
Google Workspaceだけの場合	v=spf1 include:_spf.google.com ~all
Google Workspace以外からも送信する場合	v=spf1 include:_spf.google.com +ipv4:192.168.0.1 ~all

※環境によって異なります

SPFレコードの追加が完了すると、SPFの範囲内から送信されたメールは正規のメール、範囲外から送られたものはスパム疑いのあるメールと区別されるようになります。

・”~all” と ”-all” 　どちらにするか？

ここは議論が分かれるところです。違いはたった一文字ですが意味合いが大きく違います。

Googleは~allですがMicrosoft365は-allを例示しています。

Microsoft 365 のカスタムドメインの SPF TXT レコード

どちらが正しいというのは難しいのですが、判断の指針としては以下の通りです。

設定値	意味合い	自社発のメールを受信側でどう扱って欲しいか？
-all	記載したホストからしか送らない	怪しいメールは受け取ってほしくない
~all	記載したホスト以外からも送る可能性がある	基本的に受け取って欲しい

-allはを自ドメインから送信するメールは指定した範囲からしか送らない、外れたところから送ったものは全部スパム扱いで良いというYes / Noをはっきりさせる厳しいレベルの設定になります。全てのメール送信元をきちんと管理してDNSとの整合性を維持できる運用ができていれば問題ございませんし、セキュリティという観点でいうと “-”の方がより好ましいのは間違いございません。ただ、SPF登録漏れに起因して正規のメールをスパムと誤判定される方がリスクかと思いますので現場実務で考えると少なくとも最初は ~all の方が無難かと考えています。

2.DKIM

こちらから難易度が一気に上がってきます。

DKIM（DomainKeys Identified Mail）とは送信メールに電子署名を付与し、なりすましや改ざんを検知するための仕組みです。

すべての送信メールにデジタル署名を追加することで配送の途中でメールが改ざんされていないことを保証します。おさらいになりますがSPFは、送信者ドメインのなりすましを防ぐための技術です。送信ドメインから送信されるメールのIPアドレスを制限することで、なりすましメールを排除します。そのためDKIMと比べて、設定が簡単で普及率が高いというメリットがある一方で内容の改ざんがされていたとしてもIPが正しければ、正しいメールとして認識されてしまうという弱点があります。

現時点で導入事例は多くはありませんがGmailの送信者ガイドラインで大量送信者は必須化されたことに伴い今後はSPFと同様必須化していくのではないかと考えています。

DKIM署名は、秘密鍵と公開鍵のペアによって暗号化/復号化されます。DKIM署名を暗号化する秘密鍵は、送信サーバーによって提供されます。DKIM 署名を復号する公開鍵は、公開 DNS サーバーに格納する必要があります。DNSの観点では送信者が追加したデジタル署名を復号するための公開鍵をDNSに登録します。

DKIMの設定手順詳細は以下公式ヘルプをご参照ください。

3.SPFとDKIMどちらを選ぶべきか？

こちらも時々いただく質問です。

DKIMとSPFは、それぞれ異なる認証方法を提供しますのでどちらを選ぶべきかということではないと考えています。ただし、導入の順序はあると思っています。

まず、SPFは最低限設定し正しい送信元から送られていることを担保した上で、次に、DKIMを設定することで本文の改ざんがされていないことも保証すると段階を踏んで強化していくことが望ましいと考えています。SPFとDKIMを組み合わせて使用することでより効果的ななりすましメール対策を実現できます。後述するDMARCは、SPFとDKIM両方設定されていることが前提となります。

4.DMARC

最後にDMARC (Domain-based Message Authentication Reporting and Conformance）を紹介ます。

DMARCは、SPF (Sender Policy Framework) およびDKIM (DomainKeys Identified Mail) をベースにしており、メールの送信元アドレスのドメインがなりすまされていないか、信頼できるものかどうかを判断することができる技術です。

Gmailの送信者ガイドライン対応で一気に広がった印象ですが、普及率は決して高いとは言えない状況になっています。現時点で利用できる対策としては最も優れたものではあるのですが、導入のハードルが非常に高く複雑です。ここまでに紹介したSPFとDKIMをベースとしています。従って前提としてSPFとDKIM両方の設定が行われている必要があります。

おおまかな特徴は以下の通りです。

SPFやDKIMで送信元のドメインを認証し、偽装メールを防ぎます。
認証結果に基づいて、受信側がメールをどのように扱うかを指示します。
認証結果や処理状況をレポートとして送信者に送信し、なりすましの現状を把握できます。

DMARCの設定手順詳細は以下公式ヘルプをご参照ください。

DMARC レコードを定義する

DNSの観点では認証に失敗したメールをどうするかなど、受信者に伝えるためのポリシーを指定します。

やむなく設定せざるを得ない場合は、暫定として p=none（何もしない）で様子を見る　というのが無難と考えています。

5. まとめ

Google Workspaceをご利用するにあたって必要となるDNS周りの内容について説明しました。

若干高度な内容まで踏み込んでいますが、迷惑メール対策のところについてはSPFレコードまでは最低限実施いただきたいと思っております。

主にメール周りが中心となりますがDNSの設定に不安を感じていらっしゃる方、DNSの設定がよくわからないのでDKIMやSPFの導入に躊躇されていた方々のご参考になれば幸いです。

最後まで読んでいただきありがとうございました。