最近、私は古いドメインexample.life(実際のドメインは伏せています)を管理している際に、小さな出来事がありました:Google からのメールを受け取り、その内容はexample.lifeドメインのDMARC レポートについてでした。
これらのレポートは通常、次のようなことを示しています:いくつかのメールがあなたのドメインから送信されたと主張していますが、実際の送信サーバーの IP、設定、SPF/DKIM などの証明が通過していないか、または未設定です。
DMARC とは?#
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、メール認証の標準の一つで、主な機能は 3 つあります:
- 認証:SPF/DKIM の認証結果を追跡し、メールが本当に指定されたドメインから送信されたかどうかを確認します;
- 報告:毎日、検出結果を証明するメールを指定されたメールアドレスに送信します;
- 処理ポリシー:メールが認証に失敗した場合、受信者にどのように処理するかを指示します(無視、隔離、または拒否)。
DMARC が未設定だとどんなリスクがあるのか?#
- 他の人があなたのドメインを偽ってメールを送信することができ、詐欺やスパムに利用される可能性があります。
- 一部の深層詐欺メールは、認証なしでは識別が難しく、ビジネスや信用に損失をもたらす可能性があります。
問題分析#
DMARC レポートを受け取った後、私はexample.lifeの既存の設定を確認し、以下のことがわかりました:
- DNS は Cloudflare にホスティングされており、Namecheap ではありません。
- MX レコードは Namecheap のメール転送サービスを指していますが、私はメール機能を必要としません;
- SPF レコードは「すべての送信を禁止」となっていますが、以前の転送 SPF 設定も存在しています;
- DMARC レコードが重複しており、p=none と p=reject の 2 つがあり、統一が必要です;
- DKIM TXT レコードは空であり、公開鍵がなく、意味がありません。
空の*_domainkey TXT レコードについて:
Cloudflare の Email Record Creator を使用して DMARC 設定を生成すると、デフォルトで空の*_domainkey TXT レコードも生成されますが、このレコードは実際には公開鍵がなく、DKIM 認証を担当せず、存在する意味がありません。
もし私がメール送信サービスを提供しないのであれば、このレコードは直接削除するのが最善です:
- メール検査ツールのエラー(ソフト警告)を防ぐ;
- ドメインの DNS 設定をよりクリーンに保つ。
もし独自のメールサービスがある場合は、メールサービスプロバイダーから正しい DKIM 公開鍵を生成し、レコードを補完する必要があります。
まとめ:現在、example.life はメール機能を必要としないため、空の DKIM TXT レコードを直接削除するのが最良の選択です。
解決策#
- DNS を Cloudflare に保持し、Namecheap BasicDNS に戻さないことを確認します。
- すべての MX レコードを削除し、メール機能をサポートしないようにします。
- SPF TXT を保持します:
これは私のドメインがメールを送信することを許可しないことを示します。
v=spf1 -all - DMARC TXT を保持します:
認証に失敗したメールを厳格にブロックすることを確認します。
v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; - 空の DKIM TXT レコードを削除し、DNS をクリーンに保ちます。
- もはや必要のない
_acme-challengeレコードを削除します(証明書を自動的に管理しない場合)。 - Cloudflare の DNS 管理コントロールパネルを使用して、簡単かつ効率的に操作します。
まとめ#
今回の整理を通じて、example.lifeドメインは極めてシンプルで、最大限の安全性を達成しました:
- いかなるメールサービスも提供しない;
- 偽装を完全に禁止し、ドメインの信頼性を最大化;
- Cloudflare の保護、加速、簡単な管理機能を十分に活用。
この実際の操作を記録し、同様の問題がある場合、これらの経験があなたに役立つことを期待しています。