とある過去に利用者のいたドメインを所有しているのだが、相当に雑な運用だったようで、いまだにSPAM以外の電子メールが来るし、 そのドメインの存在しないアカウントを装った電子メールが多く送信されているようだった。 しばらく、キャッチオール設定をして受信してみて気付いたのである。
と言うことで、少なくともSPF、DKIM、DMARCを設定して、SPFで-all、DMARCでpct=100;p=reject;にすれば、ちゃんと運用しているメールサーバーでは このドメインを装った電子メールは受信しないでくれるはずである。
最初、あまり利用されている実績がないようだったので、折角だから使おうと言うことで、pkgsrc/mail/dkimproxyを利用してみた。 私はpkgsrc/mail/postfixを利用しているので、今回問題を解消できなかった受信時の検証については、基本的には、 公式ドキュメントであるSetting up the inbound proxy with Postfix のように設定し、私のように1台のサーバーで複数のドメインの電子メールを扱っている場合には、 DKIM/Domainkeys signing via DKIMproxyにあるように sender_mapを利用すれば良い。設定は分かりやすい。
しかし、dkimproxyの方法である、電子メールの受信前にdkimproxyの稼働するlocalhost:10025へ送って、Postfixのlocalhost:10026に送り返してもらうという運用は、 pkgsrc/mail/opendmarcでは、localhostから来た電子メールであると認識されてしまうのを止めることはできないようだった。
SPFの検証はpkgsrc/mail/py-policyd-spfで、DKIMの署名と検証はpkgsrc/mail/opendkimで、DMARCの検証はpkgsrc/mail/opendmarcで、という運用に落ち付いた。