Gmail、SPFレコード不備で巨大バナー警告
- (2022-04-22 10:48:12)
gmail、巨大なアラート
SPFレコードの設定が正しくないと、受信者側のgmailではオレンジ色の大型バナーで
「このメールが本当に ○○.jp から送信されたものであることを確認できませんでした」
という警告がでることを発見した。事情がよくわからないユーザーだと、不審なメールが送られてきたと感じ、引いてしまうと思う。
いつからこんな激しい警告をするようになったのか不明だが、当社のメールがこれにやられていることをお客さんからの連絡で知った。
SPFレコードの不備
原因はSPFレコードの不備。
カートサーバーから送信されるメールは当社の通常メールで利用しているドメインとは違うドメイン名である。本当は同じドメイン内でサーバー立てたいが、長い歴史の中でこうなっている。
当社のwebやメールサーバーはおおむねロリポップさんを利用している。
その場合のSPFは下記の通り:
v=spf1 include:_spf.lolipop.jp ~all
「include」はspf.lolipop.jp 内のSPFレコードを見に行けという意味で、実際どんな記述なのか不明だが、これで問題ない。
問題はロリポップとは別に独立したサーバーを持っているとき。当社にはこれである。
ロリポップ外のメールサーバーが問題
この個別の独立したサーバー分の記述を入れてこなかった。
以前はこれで問題なかったが、近頃、gmailではエラー表示するようポリシー変更されたのだろう、これも世の中のセキュリティ強化の流れか。
v=spf1 include:_spf.lolipop.jp ip4:123.123.123.123 ~all
こんな感じで、別サーバーのIPアドレスを追加した。
(こういうことがあるので、DNSの編集が可能なレジストラで契約しておかないといけない)
エラー表示のメカニズム
gmailのメールサーバはメールを受信する際、そのドメイン名の公開SPFレコードを参照する。
そして、(ロリポップさん、及びIPアドレス「123.123.123.123」は正統なサーバーである)と判断する。
それ以外のメールサーバーからのメールはエラー表示となる。
SPFレコード修正後、反映まで時間がかかる
nslookupで確認(set type=txt)すると、1時間くらいで、上記レコードはネット内で反映されていたが、gmailテストでは数時間してもエラーが続いた。
そこで一昼夜放置して、翌日に試すとエラーは消えた。
SPF変更の確認方法
DOS窓から
nslookup
>set type=txt
>fragrance.co.jp
※この問題はこれで終わりではなかった・・3ヶ月後、Gmail、なりすまし警告バナー問題 へと続く。
<< NTT「@ビリング」の怪< | >LAN上ファイルサーバのファイル復元は可能か? >>