アドオンツール EPSTDMARC のインストールおよび E-Postでの設定に関する質疑応答集 new!
1.送信ドメイン認証(DMARC)アドオンツール EPSTDMARC インストールにあたって下記の手順でよいでしょうか?
(1) EPSTRS のバージョンを確認。v4.78以降または最新差分アップデートプログラムを適用し最新バージョンにする。
(2) アドオンツール EPSTDMARC をダウンロードしインストール。
epstdmarc.zipを "C:\Program Files\EPOST\MS\epstdmarc" フォルダへ解凍
(3) readme.html の説明に従い、DNSへの登録作業を実施。
基本的にはこの手順の通りです。DNSへの登録の手段や方法は各自で確保してください。
手始めに特別な署名データ作成の必要のない、SPFレコードを先に登録しておくのもよいかもしれません。
(※他社サイト)SPFレコードの書き方
https://baremail.jp/blog/2020/02/28/579/
2.readme.html の説明「DNSへの設定−2.DKIM署名データの作成」の通りに秘密鍵と公開鍵を "C:\Program Files\EPOST\MS\epstdmarc" 内に作成した後、この鍵を有効にするために関連サービスの再起動は必要でしょうか?不要でしょうか?
readme.html の記述にある、既にレジストリ項目での設定、EPSTRSでのレジストリ値 "OnDKIM=1" 及び epstdmarc.exe の実行パスを設定済みの場合、通常はその直後にサービスを再起動していると思います。ですので、その後のDNSへのDKIM署名定義したり追加するごとにサービスの再起動を行う必要はありません。DNSは、EPSTDSサービスが配送プロセスを行うたびに参照します。
3.DKIMおよびDMARCを利用するにあたり、DNSにDKIMレコードを登録する際は、事前にアドオンツール付属の "sign.bat" により秘密鍵と公開鍵のペアを生成できるという認識をしました。その通りでしょうか?
上記の認識で合っています。以下はそのほかの注意点です。
(1) SPFとDMARCについては、E-Postと直接関連する設定はなく、DNSへのTXTレコードの作成・登録のみで完了します。
(2) DKIMについては、ツール付属の "sign.bat" により電子署名データを作成し、作成された公開鍵のデータをDNSにTXTレコード登録します。ほとんどの TXT レコードの最大文字数は255文字です。255文字を超える長い鍵データは途中で分割して登録する必要がありますが、BIND と Windows DNS とではその方法に違いがありますので注意してください。くわしくは関連サイトをご覧ください。
(3) 作成された秘密鍵の方は、EPSTRSのレジストリが設定されていることにより、EPSTRSから呼び出される epstdmarc.exe が仕事をします。秘密鍵はローカルの "C:\Program Files\EPOST\MS\epstdmarc" 内にて管理されています。内部のメーラーからメールサーバに送る際に、SMTP受領時、秘密鍵でメールデータに署名、つまりシグネチャヘッダの記載を有効に設定、さらに外部からのSMTP受信(受領)時において、DMARC(SPF、DKIMも含む)判定結果のヘッダへの記載を有効に設定します。これには、readme.html の説明にあるように、レジストリで "OnDKIM"(DWORD)項目に"1"を設定、"DomainAUTHDKIM"(文字列)項目にショートパス名での実行パス "C:\PROGRA~1\EPOST\MS\epstdmarc\epstdmarc.exe" を設定する必要があります。
4.メールサーバーは内部ネットワークにあります。DKIM,DMARCを利用するうえで、受信するメールサーバー側は、送信されてきたメールに含まれるDKIMの署名と、DNSレコードの登録内容を確認するのみであるため、影響はない認識ですが、その通りでしょうか?またDMARCのレポート受信については、受信可能な別ドメインのメールアドレスを指定すればよい認識ですが、これはその通りでしょうか?
その通りの認識で合っています。
5.DKIM,DMARCは任意の機能を有効にできるでしょうか。E-Postシリーズとしての設定内容は、DKIMの署名についてのみであり、DMARCについてはDNSレコードに登録するか否かであるため、可能な認識ですが、これはその通りでしょうか?
その通りの認識で合っています。
6.Outlookのメール本文中にある ".MsoChpDefault" というドット(=ピリオド)が含まれるメールのサインを行うと、正しいサインが行えません。
Outlookのメール本文中にある ".MsoChpDefault" というドット(=ピリオド)が含まれるメールのサインを行うと、正しいサインが行えず、E-Postが付けたDKIMサインヘッダに対してサインヘッダを受け取ったgmail側で "dkim=neutral (body hash did not verify)" と判定した原因が判明済みです。既に同対策を取ったモジュール epstdmarc v1.06 以降がリリースされています。
原因は Outlookのメール本文中にある ".MsoChpDefault" という行の部分です。最初のカラムにある、ドット(=ピリオド)が含まれるメールのサインを行うと、正しいサインが行われません。".MsoChpDefault" はMicrosoft特有のHTMLメール用に定義したスタイルシートの書式です。
これに対して、メール本文の行の1カラム目にドット'.'が出現するとき、SMTPの送信では'..'とドットを2つ出力して、終了の'.CRLF'との区別をするのがRFCの仕様ですが、サインをする際は、'..'→'.'に戻したデータでハッシュ計算してサインする必要がありました。旧版のDKIM/DMARC/ARCのサインは、'..'のままで処理していたのが原因です。
同対策を取ったモジュール epstdmarc v1.06 以降をダウンロード、解凍して変更されているモジュール epstarc.exe、libdkim.dll、epstdmarc.exe、readme.html タイムスタンプを確認の上、上記モジュールを上書き更新してください。
7.DKIM署名データ作成時は "sign.bat [セレクタ名]" の書式ですが、ドメイン名入力不要で、DKIMの秘密鍵・公開鍵では特にドメイン名は見ていないということになりますか?
epstdkim.ini ファイルという設定ファイル上で、セレクタ名に対応したドメインの引当て指定をおこなう仕様になっています。epstdkim.ini ファイルにはドメインを記述します。
くわしくは、EPSTDMARC v1.06c 付属のepstdkim.iniファイルをメモ帳で参照するか、readme.html にある [epstdkim.ini ファイル定義例]を参照してください。