Avatar
ウフル サポート担当
フォローする

2024.1.31 「改めてのリマインドです、SPF / DKIM /DMARC の設定はお済みでしょうか & 最近問合せの多い "証明書の有効期限が近づいています" について」

お世話になっております。

ウフル カスタマーサポートでございます。

 

今回は、まずは以前ご案内した記事のリマインドになります。 

 

SPF / DKIM / DMARC の設定、お済みでしょうか?

 

元記事はこちらになります。

 

2023.11.16 「Salesforce からメールを送信する際、SPF と DKIM の設定は実施済みでしょうか?」
https://csminfo.uhuru.jp/hc/ja/articles/25241204309017

 

発端となったのは「Google がメール送信者のガイドラインを変更し、2024年2月以降、ドメインに SPF / DKIM / DMARC の設定を行わないと、Gmail ユーザが受信した際にスパムとしてブロックされる可能性がある」という件になります。

 

メール送信者のガイドライン
https://support.google.com/a/answer/81126

 

先日、ある県の公立高校入試センターで、受験生のメールアドレスが Gmail だった場合に出願システムから送信されたメールが受信できなかったという障害が発生しました。

 

メールが見られなくなる可能性も? Gmailユーザーが知っておきたい「3つのリスク」と対処法https://allabout.co.jp/gm/gc/501427/

 

今後、お客様の Salesforce システムから取引先責任者やリードへのメール送信、またはフローのアクションでユーザへのメールアラート通知を行った際に、「Gmail ユーザだけ届かない」ことが充分に起こりえること、その設定変更は2月以降、つまり早ければ来週にも適用される(さすがに明日いきなりということは無いと思いますが。。。)ということをしっかりと認識しておく必要があります。

 

SPF も DKIM も DMARC も、いずれも「お客様がドメイン(DNS)管理会社(もしくは御社内のドメイン管理者)にお問合せいただく」ものになります。
Salesforce が絡むのは、SPF の場合は「DNS に追加する SPF レコードをヘルプで公開する」、DKIM の場合は「画面上から DKIM 鍵を生成し、DNS に追加する CNAME レコードを画面上から発行する」ところまでになり、DMARC の場合は(サービスを問わずドメイン全体のポリシーを定義するものなので)Salesforce はノータッチになります。

 

なので、先ずは以下の方法で「設定が必要かどうか」のチェックからお願いいたします。

 

 

<Salesforce から送信されたメールが SPF / DKIM / DMARC に準拠しているか確認する>

 

  • 個人設定の「私のメールアドレス」を、組織のドメインに関連するアドレスに設定します。
  • 送信テスト用の取引先責任者を作成します。(アドレスは Gmail でもその他でも構いません)
  • 取引先責任者の「メール送信」から、送信元を上記の「私のアドレス」にして送信します。
  • 受信したメールを開き、メッセージのソース(メッセージ全体)を開き、ヘッダーを参照します。
  • SPF / DKIM / DMARCが「PASS」になっているか確認します。

 

001.png

 

PASS になっていれば、さしあたって今回の対処は十分だと言えます。
PASS になっていない場合は、今すぐ以下のヘルプ内容を DNS 業者様(もしくは御社のネットワーク管理者様)に共有の上、対処を行ってください。

 

SPF と DKIM に関する FAQ
https://help.salesforce.com/s/articleView?id=000389240&type=1&language=ja

 

なお、弊社のサンプル例には「DMARC」の値がありませんが、DMARC については、Google のガイドラインには「一日5000件以上送信する場合は必須、それ以下の場合も推奨」となっており、適用するかどうかはお客様の判断に委ねられている部分があります。

 

DMARC とは?
https://help.salesforce.com/s/articleView?id=sf.emailadmin_dmarc.htm&type=5

 

=========================================
Salesforce は DMARC をサポートし、DMARC を推奨します。ドメインでこれを実装するかどうかを決定するのはユーザです。
=========================================

 

改めて DMARC について簡単に説明すると

  • 先ず SPF と DKIM の設定ありきである
  • SPF と DKIM の認証ができなかったメールをどう扱うかを定義するものである
  • 扱い方には「何もしない(none)」「検疫(quarantine)」「ブロック(reject)」がある

となります。
詳しくは Google にヘルプがありますのでこちらをご参照ください。

 

DMARC レコードを定義する
https://support.google.com/a/answer/10032169?hl=ja

 

DMARC の設定が必要かどうかは、先述の通り「お客様判断」となりますが、Google のガイドラインには、「none でも構わない」と記載があります。

 

=========================================
送信ドメインに DMARC メール認証を設定します。DMARC 適用ポリシーは none に設定できます。
=========================================

 

Service Cloud でコールセンターを運営している場合、一日5000件以上メールを送ることも普通にあり得ると思います。
その場合、DMARC ポリシーが決まっていない場合も、まずは none で設定するのが、今のところは得策であると言えます。

 

Salesforce での設定についてお話をいたしましたが、Account Engagement (Pardot)からの配信、もしくは Autobahn for AppExchange(トライコーン社)などの外部メール配信サービスをお使いの場合、それぞれのサービスに関連しての設定が必要になりますので、その点もご留意いただければと存じます。

 

 

DKIM 証明書と鍵の話をいたしましたので、直接は関連無いのですが決して遠くない、最近よくいただくお問合せに関連してお話ををもうひとつ。

 

 

時々 Salesforce からメールで送られてくる「Salesforce 組織の 1 つ以上の証明書の有効期限が近づいています」って、具体的に何をすればいいのでしょうか?

 

弊社経由で Salesforce のライセンスをご購入のお客様、保守サービスをお申し込みのお客様より、定期的にこのお問合せを頂きます。

 

Salesforce での証明書は、「外部サービスとの連携で」使われるもので、だいたい以下のものが挙げられます。

  • シングルサインオン(SAML)
  • 外部アプリケーション接続
  • ID プロバイダとしての Salesforce の利用

シングルサインオンと外部アプリケーション接続については、もし設定をしていれば管理者の方が把握をしているはずですが、このお問合せは専ら「設定した覚えないのに通知が来る」というものです。

 

その理由が2つあります。

  • ID プロバイダの設定は、「私のドメイン」を設定すると自動で有効になる
  • このメールは、単一の管理者だけではなく、組織の「すべてのデータの変更」権限を持つユーザ全員に送られる

 

なので、送られてくるタイミングは、「私のドメイン」を新たに設定、もしくは変更をした「約1年後」となるわけです。
現在「私のドメイン」設定は必須となり、かつて未設定だったお客様も自動で有効化(ドメイン名未指定の場合は組織 ID がドメイン名になる)されており、そのタイミングで「意図せずとも証明書が発行されている」ことになります。

 

エラー「Salesforce 組織の 1 つ以上の証明書の有効期限が近づいています」
https://help.salesforce.com/s/articleView?id=000385781&type=1

 

=========================================
ID プロバイダ - 多くの組織でこの機能はデフォルトで有効化されているため、自己署名証明書が自動で作成されています。これは、ID プロバイダの機能が有効になっていると、証明書の設定が必須になるためです。この機能を使用しない場合は、機能を無効化すれば、設定されている証明書を最新に保つ必要がなくなります。
=========================================

 

Salesforce が ID プロバイダとして使用されているのは、お客様が意図的に外部サービスと連携している場合以外には、Account Engagement (Pardot)や、最近では Slack のエンタープライズプラン(有償)などがあります。
そういったサービスを使用していない(全くのスタンドアロン)のでしたら、ID プロバイダ機能を無効化するのも一つの選択だと言えます(念のために影響調査は入念に行うことをお勧めします)。

 

ちなみに、「証明書の有効期限通知が多くのユーザに送られるのを制御できるようにしてほしい」要望は、既に Idea Exchange に起票済みですので、ご要望はこちらの Upvote をお願いいたします。

 

Restrict SFDC Expiring Certificate notification mails to Specific users
https://ideas.salesforce.com/s/idea/a0B8W00000Gdp8HUAR/restrict-sfdc-expiring-certificate-notification-mails-to-specific-users

 

 

===========================================================

弊社サポートチームには、日々お客様より多種多様なお問い合わせを頂きますが、同様のお問い合わせを複数のお客様から頂くことも少なくなく、今回の「証明書の期限切れ」についても、お問い合わせを頂かないまでも同様の事象でお悩みの方もいらっしゃるかと思われ、そういったテーマについては今後も引き続き積極的に取り上げさせていただければと存じます。

 

今後ともウフル カスタマーサポートを引き続きご愛顧いただきますよう、 何卒よろしくお願い申し上げます。

 

 


Salesforce・Googleの運用・サポートでお困りなら

 カスタマーサポートへお問合せください。


コメント

 
 
この記事は役に立ちましたか?
1人中1人がこの記事が役に立ったと言っています