突貫でおぼえるSPF、DKIM、DMARC | DevelopersIO
しばたです。 昨年10月にGoogle(Gmail)および米国Yahoo!においてスパム対策の強化がアナウンスされました。 この件に関してつい先日まで他人事でいたのですが、実は全然他人事では済まないことが発覚し突貫で知識を仕入れています。 アナウンスに対する具体的な対応策についてはこちらのZennの記事を見れば全部わかる感じです。 最高ですね。 また、メール送信にAmazon SESを使っている場合はAWSのブログを確認すると良いでしょう。 「これらの記事を読み解けば万事解決!」という感じではあるのですが、私自身が学んだなかで予め知っておくと良さそうに思えた点がいくつかありました。 本記事ではその辺を共有するのと、実際にAmazon SESの環境を作って動作確認をしたのでその結果も合わせて共有します。 はじめに覚えておくと良い基礎知識 Zennの記事でも詳細な解説がありますが、個人的に「最
Gmailの新スパム規制対応全部書く
[2024年1月10日、19日追記] GmailとYahoo!側のアップデートに合わせていくつか細かい説明を追加しています(大筋は変わっていません)。変更点だけ知りたい方は「追記」でページ内検索してください。 2023年10月3日、Googleはスパム対策強化のため、Gmailへ送るメールが満たすべき条件を2024年2月から厳しくすると発表しました。また米国Yahoo!も、2024年2月 第一四半期[1] から同様の対策を行うと発表しています。端的に言えば、この条件を満たさないと宛先にメールが届かなくなるという影響の大きな変更です。 この記事では、Gmailや米国Yahoo!の規制強化への対応方法を解説します。ただし米国Yahoo!にメールを送る人は多くないと思うので、フォーカスはGmail寄りです。また、メール配信サービス(海外だとSendGridやAmazon SES、国産だとblas
DMARC をなめるな - 弁護士ドットコム株式会社 Creators’ blog
Gmailが「メール送信者のガイドライン」を改訂し、なりすましメールへの対策を強化する旨を発表しています。今までは原則、なりすましメール対策の有無にかかわらず、メールはいちおうは届いていました。しかし今後は、なりすましとみなされたメールは届かなくなる方向に向かいつつあります。 なりすましメールとみなされないようにするために、メール送信者には、「メール送信ドメイン認証」への対応が求められます。メール送信ドメイン認証の技術には、主に以下の3つがあります。 SPF: Sender Policy Framework (RFC 7208) DKIM: DomainKeys Identified Mail (RFC 6376) DMARC: Domain-based Message Authentication, Reporting, and Conformance (RFC 7489) SPFは従来
Googleの新しい送信者ガイドラインに備えてDMARCレポートに基づいて具体的にやったこと
2023年10月にGoogleとYahoo!がメール送信者向けのガイドラインを更新してから早3か月。いよいよ適用開始の2024年2月が近づいてきました(ドキドキ)。 私は昨年から本件の対応を進めていて、地味に大変だな、と感じています。多くの企業では自社ドメインから様々なメールを送信していると思います。利用しているツール・サービスも様々で、たとえば、Sendmail/Postfix/Eximのサーバを立てている、Google WorkspaceやMicrosoft 365を使っている、といった他に、CRMであるSalesforce、マーケティングツールのHubspotやAccount Engagement(旧Pardot)、メール送信用のAmazon SESやSendGridを使っているなど、多くのツール・サービスを併用している企業が多いのではないでしょうか。 そういった状況では自社のどこか
メールを正しく送信するために必要な「SPF」「DKIM」「DMARC」とは一体どんなものなのか?
2024年度神奈川県公立高校入試の出願システムにおいて、1月9日よりメール受信障害が発生しています。神奈川県は「主に@gmail.comにおいて出願システムからのメールが受信できないという事象が発生」と説明していますが、送信元のアドレスにおいて適切な設定が行われていないとさまざまなサイトで指摘されています。 県入試 2024 出願システムからのメール、なぜ届かない? | カナガク https://kanagaku.com/archives/69286 ちょっと調べたが超酷い。汎用JPはどうよとか、ドメイン認証ちゃんとできてないとか以前の問題で、基本的なメール設定が間違っている。MXにIPアドレスいきなり書くなよ。しかもIPアドレスとしても正しくないという。 / “高校入試の出願システム、Gmailにメール届かず……神…” https://t.co/4sxyz2wAiw— 上原 哲太郎/Te
高校入試の出願システム、Gmailにメール届かず……神奈川県、受験生に「@gmail.com以外のアドレス使って」
神奈川県教育委員会が2024年1月4日にリリースした、公立高校入試のインターネット出願システムで、「@gmail.com」ドメインのアドレスにシステムからのメールが届かず、受験生が出願用アカウントを作成できない問題が起きている。 15日夜時点でも解消しておらず、県教委は受験生に対して、「@gmail.com以外のメールアドレスで登録してほしい」と呼び掛けている。 このシステムは、公立高校の2月入試に出願する受験生などが利用する。中学校で受け取った書類に書かれたURLから出願サイトにアクセスし、メールアドレスなどを登録して「志願者アカウント」を作成すると、出願サイトへのログインに必要な「登録番号」がメールで届く、という流れだ。 だが、登録したメールアドレスが「@gmail.com」の場合、登録番号入りのメールが届かない不具合が起きているという。 新システムによる出願は1月4日に受付スタート。
Gmailが2024年2月から(大量)送信者に求めてることが分からない闇への防衛術(前編) - Qiita
メールの世界にGmailさんが新たな闇を投入 (インターネットの)メール受信・送信は闇あふれる世界だと思うのですが(*1)、そこに 2023年10月7日、新たな闇要素をGmailさんが投げ込んでくれました。(正しくは2023/12月頭現在、闇がモリモリ増えてる。補足①②参照) (*2 最下部キャプチャあり) えーと、「1日あたり 5,000 件を超えるメールを送信する送信者」はこの事項を守ってね……とあります。要件と書いてあり、2024/2/1から実施と急なうえに、項目が SPFとDKIMの設定 逆引き 迷惑メール率 メール形式 Gmail の From: ヘッダーのなりすまし ARC DMARC ダイレクトメールの場合(……なんとかかんとか) 登録解除 と9個もある。 何これ……?と様々な人を戸惑わせています。 インターネットにつながっているそこそこの規模の組織は、1日あたり 5,000
Gmailのメール認証規制強化への対応って終わってますか? - エムスリーテックブログ
こんにちは。エムスリー・QLife(エムスリーのグループ会社)・エムスリーヘルスデザイン(エムスリーのグループ会社)でエンジニアとして各種作業に関わっている山本です! 以前もメール送信の話を書かせていただいたことがありますが、今回もまたメールネタとなります。今回のお題はメールセキュリティです。 大量メール送信のための予備知識 - エムスリーテックブログ すでにご覧になった方もいるかと思いますが、次のようなニュースが流れています。 www.proofpoint.com この「GoogleとYahooの新Eメール認証要件」ってつまりどういうことよ? というところを具体的にどのように進めているかについて書かせていただきたいと思います。 2023/12/18追記 : Googleからメール送信にTLSを使うことが追加要件として示されました。 TL;DR とりあえず何から始める? 何はともあれ実際に
Gmailの容量がいっぱいになったのである方法で不要なメールを全削除した
Kazuho Oku @kazuho lead developer of H2O HTTP server / works at @fastly / contributes to @IETF / HTTP, TLS, QUICといった通信プロトコルの開発者、実装メイン、標準化がサブタスク。ダジャレの合間にインターネットを速くするのが仕事です kazuhooku.com Kazuho Oku @kazuho gmail の容量が15GBいっぱいになった件、一年以上前の未読の広告扱いされたメールとか不要やろってことで is:unread category:promotions older_than:1y で検索して全消した。使用量9.38GBまで下がった! 2023-10-18 12:03:41
大量メール送信のための予備知識 - エムスリーテックブログ
【SREチーム ブログリレー1回目】 お疲れ様です。エンジニアリンググループ、コアSREの山本です。 他の情報伝達手段が現れた今は「メール」は以前よりも比重は落ちたかもしれませんが、まだまだ多くの人に情報を一気に伝えるための重要なツールです。 エムスリーでは自社サーバを利用してメールの大量送信を実施していますが、メール送信を実施するにあたって気にすべき基本的な事項についてシェアさせてください。 大量メール送信に関連する基本的な設定 基本的な設定(SPFと逆引き) DKIM IPの追加削除 バウンスメール処理 金で解決 まとめ We are Hiring! 大量メール送信に関連する基本的な設定 メール送信自体はそれほど難しいものではありません。 エムスリーではpostfixを利用していますが、設定はほとんどオリジナルでもメール送信自体は可能です。せいぜいドメイン名を登録するくらいでもいけます
文末が「よろしくお願いいたします」ではもったいない…メール達人が多用する"キラーフレーズ3選" 最後の1文が相手にもっとも印象を残す
軽くあしらわれるのを防ぐ「平素は格別のお引き立て」 メールの書き出しの「お世話になっております」という名乗りフレーズは定番中の定番です。これらは最初に必ず入れるようにしましょう。基本的にはこれでほぼ間違いはありませんが、相手との関係性に応じて使い分けられるようになると、一目置かれるメールとなります。 たとえば、初対面や目上の人が相手なら、「お世話になっております」という名乗りに続けて、次のような文面を入れるとよいでしょう。 「突然のメールで失礼いたします。御社のHPを拝見し、はじめてメールを差し上げました」「~様からのご紹介でメールを送らせていただきました」 「日頃から~をご利用いただき、誠にありがとうございます」 相手が役職者などの場合には、「平素は格別のお引き立てをいただき、ありがとうございます」といったように、もう少し堅めの文面でもよいでしょう。こうした文面が書けると、軽くあしらわれ
Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
電子メール送信に関する技術
ふと気になって調べたことの備忘メモです ✍ (2022/4/2追記)Twitterやはてブで色々とご指摘やコメントを頂いたので、それに基づいて加筆と修正をおこないました 特に、幾つかの技術については完全に誤った説明をしてしまっており、大変助かりました…ありがとうございました🙏 なぜ調べたか メール送信機能のあるWebアプリケーションを開発・運用していると、 特定のアドレスに対してメールが届かないんだが とか MAILER-DAEMONなるアドレスからメールが来たんだけど といった問い合わせを受けて原因を探ることになります 実務においては、Amazon SES や SendGrid といったメール送信処理を抽象的に扱えるサービスを使うことが多いと思いますが、 ことトラブルシューティングにおいては、その裏にある各種技術についての概要を知っていると、状況把握や原因特定をしやすくなります ありが
Gmailを捨ててProtonMailを選ぶ5つの理由
Gmailを捨ててProtonMailを選ぶ5つの理由2021.03.16 20:00208,060 David Nield - Gizmodo US [原文] ( たもり ) 動作が早くて無料なメールを使うならGoogle(グーグル)、Apple(アップル)もしくはMicrosoft(マイクロソフト)に頼らざるを得ないと思うかもしれませんが、そうとは限りません。大手テック企業から脱却したいと思っているなら、他の選択肢もあるんです。そのひとつがProtonMailです。 米Gizmodo編集部の多くはGmail派ですがProtonMailを使っている人もいて、あまり知られていないこのサービスに注目してみる価値はありそうだと考えました。ProtonMailは競合サービスのような完成度が欠けているかもしれませんが、メリットもいくつか存在します。 1. 高速で無料 Screenshot: Pro
RFCに則ったメールアドレスでダブルドットを使う方法 - 泥府湾日誌
そういえば前に書いたとき*1「RFCに従えばピリオドが二連続するアドレスは作れない」みたいな書き方をしてしまったので、補足しておかないと。 RFC2822、3.4.1. Addr-spec specificationを参照してもらえば分かるとおり、メールアドレスのlocal-part(@の前の部分)を規定する方法は二つある。*2 このうち、dot-atomという記述ではダブルドットは記述できない。しかし、quoted-string形式では恐るべき自由度*3でメールアドレスを記述することが出来る。従って携帯電話の「あり得ないメールアドレス」でもこの形式だと考えれば許されるかもしれないのだが・・・この場合、local-partは"mailaddress"の形で記述されている必要があります。*4 あと、MTAがちゃんと対応しているのか不安があったりします。RFC3696 3. Restricti
Jリーグチケットは正当なメールアドレスを受け付けない - ただのにっき(2019-09-06)
■ Jリーグチケットは正当なメールアドレスを受け付けない (この日記を書いているのはなんと10月1日という……日記ビハインドが一ヶ月近いなんてひさびさだ) わが川崎フロンターレも後期からついにシーズンチケットがデジタル化されて、ICカード1枚が郵送されてくるだけになった。めでたい。いっそアプリ化してくれてもいいんだけど。 で、その余波として行けない試合のチケットを譲渡ないし転売できるようになった。リーグ2連覇していまや毎試合チケット完売しているありさまなので、無駄な空席が出ないのは助かりますな。チケット譲渡・転売の手続きをするにはJリーグチケットのアカウントが必要なので、さっそく登録……しようとしたらエラーになった: おれは訓練されたインターネットユーザなので、この時点でピンときてはいるんだけど、いちおう念の為サポートに連絡してみる。翌日届いた返信がこう: Jリーグチケットでは、@前の1文
「GoogleがGmailの内容を外部企業に読ませている」という記事について - @stomita daily (or monthly, yearly)
Forbes Japanに以下のような記事が掲載された。 forbesjapan.com これについて記事を読んだ人たちのTwitter等での反応を見ていたのだけれど、その反応にちょっと違和感を感じたので、今回少し書いている。 まず最初の反応として、NewsPicksでのコメントを見てみる。 newspicks.com 「メール内容を読ませていいと同意した覚えはない」というコメントが多く、そこから転じて「Gmailは守秘が必要な用途で使うべきでない」「無料のサービスを使うということはこういうことなんだ」のような意見も見られる。 一方、はてブでの反応は、流石に技術者が多いコミュニティということもあり、ちょっと調子は異なっている b.hatena.ne.jp 何事かと思ったらOAuthのことだったw - gogatsu26のコメント / はてなブックマーク OAuth2で同意とってるなら普通じ
「Gmail」大幅アップデートの新機能まとめ
「Gmail」に「Inbox」のAIフィルタなどの便利な機能が複数取り込まれ、Googleカレンダーをその場で表示できるなどの新機能が追加された。「G Suite」なら「コンフィデンシャルモード」も使える。 米Googleは4月25日(現地時間)、メールサービス「Gmail」の大幅アップデートを発表した。送信相手が転送できないようにするなどのセキュリティ関連機能や、同社のもう1つのメールサービス「Inbox」で提供してきたAIによるフィルタリング機能、Googleの他のアプリと連携するパネルなどが追加された。 企業向け「G Suite」ユーザーは管理者がEarly Adopter Program(EAP)に参加してオプトインすれば同日から新版を利用できる。 一般ユーザーは、Webアプリの設定アイコン(画面右上の歯車のアイコン)→「新しいGmailをお試しください」をクリックすればすぐに新し
メールアドレスの確認フィールドをなくすべき理由
UX Movementの著者、編集長。明快で効果的なデザインを愛し、ユーザのために日々奮闘しています。 メールアドレスは、もっとも間違いやすいフォームフィールドの1つです。 入力データにはさまざまな種類の文字による長い文字列が含まれているため、間違って入力してしまいがちです。これにより、ユーザーが間違ったメールアドレスを送信する可能性があるのです。 メールアドレス確認の問題 デザイナーは、メールアドレスの確認フィールドを追加することで、間違ったメールアドレスの送信を防ぐことができると考えています。メールアドレスの確認フィールドの追加で誤送信を何件か防ぐことはできるかもしれませんが、必ずしもすべてを防ぐことができるというわけではありません。 多くのユーザーは、メールアドレスの入力内容をコピーして、確認フィールドに貼り付ける傾向があります。これでは、ユーザーが間違ったメールアドレスを貼り付ける
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Gmail以外を使って」。神奈川県の高校入試出願システムで障害、6日経っても未解消
