自鯖のSPFレコードをhardfailに変更した
筆者が古くから運用している自鯖システムの中でも歴史の長い物がDNSとメールとなる。
サーバを作り直すタイミングでシステム全体をリビルドする事はあったものの、
ゲートウェイは2台以上でフルアクティブ化して、MDAはアクティブ・スタンバイを基本としている。
また、ns-lab BBのメールはこれらのメールゲートウェイを経由して送受信する様に構成しており、
基本的に限られたIPアドレスからのみ他ドメインへ送付する様に構成している。
筆者の様な極小自鯖でもメールアドレス詐称をする輩はいるもので、
ちょくちょくとDMARCレポートに引っ掛かっているが、
連日となると相手にするのも大変なのでSPFをsoftfailからhardfailに変更してみた。
softfailにしていた理由を書くと自鯖を運用しだした頃はサーバ構成もバラバラで、
メール配送経路も統一出来ておらずsoftfailにしないとGmailに弾かれる問題があった。
時は流れーーー
今はセキュリティ強化も叫ばれる時代で対策をしないとGmailに弾かれる時代になったうえ、
前述の通り自鯖のメール配送経路も統一する事が出来たので今回を機に思い切って変更した。
現在のns-lab BBメールゲートウェイは、受信サーバが4台・送信サーバも4台で構成している。
メール関連の機能を色々と実装しているので、
管理都合でどうしても4台が限界になって来る事もあり4台を1セットに作る様にしている。
SPFレコードは、includeを使って外部参照する構成は維持しつつ判定をhardfailに変更した。
以前はSPFレコードにIPアドレスを直接書いていたのだが、
管理が面倒になったため数年前にDNSレコードを整理した時にまとめて見直した。
………
変更して数日しか経過していないので効果の程は未知数だが、
必要なメールは正常に送受信出来ているのでひとまずは大丈夫そうだった。
DMARCレポートの構成変更もしており、コッチは海外のサービスも併用予定で調整中だったりする。
此方はスケジュール的にギリギリだが、間に合えば調整内容をコミケで小冊子頒布するかもしれない。
メールはオールドメディアになってきているが、今でもビジネスシーンでは現役なのは事実。
SaaSを使えば細かい所を知らなくてもシステム維持は出来るが、
基礎知識は重要なのと日頃から弄れば自ずと場数を踏めるので引き続き運用していく事になりそう。