スキップしてメイン コンテンツに移動

ドメイン管理者としてDMARC対応したぜ!!

メールシステムのセキュリティーについて考えることがあり、そういえば私自身ドメイン管理者だったことを思い出し、メールシステムのドメイン認証設定してみました。
とはいえ、メールシステムはG Suiteを使っているので、ヘルプに従い作業するだけですね。

以前より、SPFは設定していたので、今回はDKIMとDMARCの設定です。

まず、DKIMですが、メール送信時に署名を行うため、電子証明書が必要です。個人で電子証明書を持つのはなぁ~と思っていたのですが、Googleさんが署名してくれるようなので、ドメインキーを生成してDNSレコードに追加するだけの簡単作業です。

ドメインキーはDNSのTXTレコードに登録するので、DNSサーバーの仕様によってちょっと注意が必要です。私はムームードメインを使っているので、キー長を1024に変更する必要があります。そのほかはそのままで生成します。
あとはコピペでTXTレコードを登録して、「署名を開始」が成功すれば次回送信時からメールに署名が付与されます。

意外とあっけなかったですね。

で、次はDMARCの設定。
こっちはDNSサーバーの設定だけなのでDKIMより簡単ですね。
注意することは、SPFとDKIMで認証失敗したときにそのメールをどう処理してほしいかという指示なので、自分のドメインからのメールの送信元をちゃんと把握しておく必要がありますね。私の場合はG suite以外から送信されることがないので強気の設定ができます。
そう、破棄しろ!!

_dmarc.hrst.jp   TXT   "v=DMARC1; p=reject"

ほんとは、noneから初めて様子を見ながらrejectにするのが正しい進め方ですが、メールを送ることもないので、破棄してもらったほうが世のためです。

こんな感じで、ヘルプを見ながらそのまま設定してしまいました。

DKIMとDMARCは国内ではあまり普及していないようなので、ちょっとでも普及率に貢献できればなぁ~と設定しました。

そうそう、ついでにこのブログもHTTPSに対応しました!!

コメント

このブログの人気の投稿

SharePoint アイテム保管ライブラリをのぞいてみよう(2023年1月改訂)

※アカウント移行に失敗し画像を失ったので再度取得し改訂しました。 Office 365 Advent Calendar 2021  の12月16日投稿です。 警告: 個人的な理解に基づく内容、表現です。疑いを持って取り扱ってください。 SharePoint と OneDrive の保持の詳細 - Microsoft 365 Compliance | Microsoft Docs SharePoint Onlineをご利用の方にとっては普通?の機能ですが、SharePoint Server 2010以前から利用している方にとっては2013からの新機能「インプレース保持」で使われる「アイテム保管ライブラリ」をちょっとのぞいてみようという内容です。 Exchangeのインプレース保持とSharePointの保持は違うよ~ Exchange のインプレース保持はごみ箱から消えたメッセージを含むすべてを保持することができるのですが、SharePointでは対象外アイテムが存在しますし、編集についてはバージョン履歴に依存しています。また、情報管理ポリシーの「ごみ箱に移動する」が動作しなくなるなど利用者への影響もありますので注意が必要です。また、保持してることを内緒にしたくてもサイト管理者にはバレバレな点は認識しておかないとね。あとE3相当以上の方はExchangeは容量無制限ですけど、SharePointはしっかりと契約容量に含まれているので上司の方から説明のたびに叱られる可能性がありますね。 SharePointの保持は、Exchangeが連携して利用する大容量添付ファイル送信やTeamsメッセージの添付ファイルを保持する目的のために存在する機能なのかな~という感じがします。SharePointの情報調査や監査という意味では、バックアップ製品などでこまめに世代管理する必要があると感じます。 SharePointで削除されたアイテムは各サイトの「アイテム保管ライブラリ」にコピーされ設定期間保持されます。 各サイトというのがミソですね。しかも、サイト管理者から参照可能な場所に保持されるため、保持について理解のないサイト管理者はこのライブラリのアイテムURLを見ることができないユーザーに渡すなど困った行動を起こす可能性があります。 それでは保持を確認するために保持されるアイテムを準

あけまして

コロナから始まり、コロナに終わる。 今年は別の話題で終わると良いですね。 モーそろそろアフターコロナになりたいな〜と思います。  今日は何人でした。とかね、なんか昭和最後の年末年始をちょっと思い出す。 なんだかな〜って感じですね。

ADMXがあればIntuneでもグループポリシー配布できるもん

一番信頼できる情報源としては docs を読むのが正解なんだけど,不安を感じたことを書き留めておくね。 1.ADMXファイルをインストールする必要がある  オンプレだと "\\{Domain Server}\SYSVOL\{Domain name}\Policies\PolicyDefinitions" にADMXとADMLを保存したら展開が始まるけどIntuneの場合はデバイスの構成プロファイルを使って配布する。  OMA-URIにADMXの内容を設定するんだけど,OMA-URIってなに?って感じだけど細かいことはDocsを読んでね。  OMA-URIは次の値を設定するよ。 ./Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/ {AppName} /{SettingType}/{FileUid or AdmxFileName} ここで重要なのは {AppName} だけといってもよさそう。 {SettingType}は「Policy」で決定しているし,{FileUid or AdmxFileName}は同じ{AppName}内で競合しなければなんでもよさそうだったのでファイル名が無難ですね。 構成プロファイルを配布をするとレジストリに次のようなキーが2か所に作成される。「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxInstalled\{UID}\ {AppName} \Policy\{FileUid or AdmxFileName}」 「\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxDefault\{UID}\ {AppName} ~Policy~{CategoryName}~{SubCategoryName}」 必要なのは二つ目のキー。実際のADMXファイルを例にすると・・・    < categories >      < category   displayName = "$(string.googlechrome)"   name = "googlechrome" >        <