ZOHOでセキュアな独自ドメインメールを無料で運営する

[su_note note_color=”#ffeeb5″ radius=”4″][su_label type=”warning”]更新済み[/su_label]記事の一部を最新の情報（２０１７年）に更新しました[/su_note]
独自ドメインを使ったメールアドレスは何かと便利ですよね。個人でもお気に入りのアドレスを使えますし、事業者であればブランドイメージの向上にもつながります。ドメイン取得サイトがメールサービスも提供しているケースも少なくありませんが、インターフェイスが使いにくかったり、最新のセキュア技術に対応していなかったりします。

もっと言うと、受信は良くても、送信でつまづくケースがあります。独自アドレスで送信されたメールが、素性の分からない「不審なメール」とみなされ、きちんと到達しなければ元も子もありません。

独自ドメインのメールの運用先としては、10億人のユーザーを抱える天下のGmailのシステムがそのまま利用できるG Suite (旧 Google Apps for work)が最もお勧めできます。受信も送信も非常に高度なセキュリティが施され、安定した運営ができます。

ただ、残念なことに、2012年に月額500円に有料化してしまいました。メインのアドレスとしてはこの金額に見合う充実したサービスですが、サブドメインやブログ専用のドメインメールまでGmailで運用するには敷居が高いですよね。

そこで、この記事では独自ドメインメールを「無料」で運営できて、送信時にSPFやDKIMなどのセキュア設定ができる（→ほかのメールにもきちんと届く）ZOHOを紹介します。

ZOHOの特徴

• 無料で独自ドメインのメールが運営できる
• 日本語に対応しているモダンなメール画面で、Gmail並に洗練されている
• 受信も送信もセキュリティー対策が非常に充実している。2段階認証もでき、不正アクセスされにくい
• SPF(なりすまし防止)やDKIM(デジタル署名)を設定でき、メールを送信した時にスパム扱いされにくい(これ重要！)
• もちろんPOPやIMAPにも対応し、Gmailやスマホなど普段利用しているメーラーを介しても利用できる
• 容量は５GB
• １２０日間アクセスが無いとアカウント削除（ただしPOPやIMAPでメールチェックするのもアクセスに算入される）

ZOHOのアカウントを作る

まずは、https://www.zoho.com/mail/　にアクセスしてアカウントを作ります。
有料で保存容量が大きいプランもありますが、今回は無料の「LITEプラン」を選択します。

ZOHOのプラン選択画面　LITEプランが無料プランのこと

メールホスティングが、独自ドメインの運用のことです。ドメイン名を入力します。

ZOHOの独自ドメイン申し込み画面

ライトプランでは、メールの保存容量は５GBまで。メールアドレスは２５件作成できるそうです。[email protected]とか[email protected]など必要に応じてアドレスを増やせますね。

ZOHOのライトプラン申し込み画面

ドメインを認証する

次は、これから登録する独自ドメインが本当にあなたのものか確認するためのステップです（所有権確認）。ドメインを取得したサイトに行って、DNSを編集します。会社によってまちまちですが、カスタムDNSとかDNSレコードの設定といった呼び方がよく使われます。私は、ムームードメインでドメインを取っていたので、ムームーのDNS編集画面に行きます。

ZOHOで所有権を認証するには、

• CNAME　（DNSを編集）
• TXT　（DNSを編集）
• HTML　（サーバーにファイルをアップロード）

以上の３つの方法があります。
CNAMEとTXTはDNSレコードを編集して、それをZOHOに読みに行ってもらうやり方。HTMLは、指定されたHTMLファイルを作って自分のサイトにアップロードする方法です。すでにホームページを運用している人はHTMLが手っ取り早いかもしれませんが、どれでも好きな方法で良いです。私は、TXTを使う方法を選択しました。

ムームードメインの場合、サブドメインの欄は空欄にして、種別をTXT、そして内容欄にZOHOから指定された文字列を貼り付けます。５分から１０分程度すればDNSの設定変更が反映されますので、ZOHOのサイトに戻ってドメインの認証を行います。

ムームードメインのDNS編集画面。TXTの行を追加し、認証用の文字列をセットした。

ドメインの認証が終わると、次はあなたのドメイン宛てのメールが、ZOHOのメールサーバーに流れるように設定します。赤く囲んだ部分が、ZOHOが指定するメールサーバーのアドレスです。再び、DNSの編集画面に戻ってこの内容を貼り付けます。

ムームードメインでは、サブドメインを空欄、種別をMX、内容にmx.zoho.comとmx2.zoho.comを入力。優先度もZOHOの指示通りにしました。

ムームードメインでZOHOのメールサーバを指定する。図のNo.5とNo.6の行にMXレコード２つを追加した。

ここまで来れば、ほぼ完成です。独自ドメインを使ったメールの送受信ができるようになっているはずです。次のステップでは、ZOHOをさらに便利にそしてセキュアに設定する方法を紹介しますので、できれば最後まで一気に設定を終えることをおすすめします。

ZOHOから送信するメールをセキュアにする

SPFの設定

SPFは、送信者のドメインの偽称を防ぎ、正当性を検証する仕組みのひとつ
財団法人インターネット協会 技術解説

要するに、なりすまし防止の技術で、独自ドメインに設定すると「確かに私のドメインから送信したメールです！」と正統性を主張することになります。送信側でSPFが正しく設定されていると、メールを受けとる側のGmailなどのシステムは、「お！このメールは差し出し元のドメインは偽装されてないぞ。ただちにスパムというわけではなさそうだ・・」と判断します。

DNSの設定画面からtxtレコードを追加。内容は、v=spf1 mx include:zoho.com ~all　を入力します。ユーザーの立場ではこれだけでSPFの利用の準備ができました。簡単ですね:D

DKIM（デジタル署名）の設定

DKIMでは送信側で電子メールに電子署名を付加し、受信側でその電子署名を照合するという方法で送信者のドメインの認証を行う
財団法人インターネット協会技術解説

DKIMもSPFと同じ「なりすまし防止」の技術のひとつです。SPFとあわせて設定するとよりセキュアになります。送信するメールにデジタル署名を埋め込むことで「間違いなくこのドメインから送信していますよ！」と主張します。

受け取った側のメールシステムは、送信元のDNSに記録されている「鍵」を読み出してデジタル署名を解読し「お！確かにこのメールは差し出し元のドメインが偽装されてない。ただちにスパムではなさそうだ！」と判断します。

ZOHOのDKIM設定画面

ZOHOの「コントロールパネル」→「メールの管理」→「メール認証」→「DKIM」を開きます。対象となるドメインが表示されているので、右側の鉛筆のマーク（編集）をクリックします。

ZOHOのDKIM設定。セレクター”bao”を設定すると公開鍵が作成された

次に、DKIMの仕様で必要なセレクターを追加すると、「TXTレコード値：」の欄に「v=DKIM1;～」で始まる長い文字列が現れます。これが、デジタル署名を解読するために使われる鍵です。この「TXTレコード名」と「TXTレコード値」で示されたデータを、あなたが使っているドメインのDNSレコードに書き込みます。

ムームードメインのDNS設定。10行目がDKIMに関するレコード

ムームードメインの場合は、「サブドメイン」の欄には、ドメイン名を省略して記入します（記入してしまうと反映されない）。具体的には、ZOHOの管理パネルでは、「bao._domainkey.baookun.net」をDNSに書き込むように指示されていますが、後ろのドメイン名の部分を取って「bao._domainkey」をセットします。種別は「TXT」。内容欄には、ZOHOが指定した「TXTレコード値」をそっくりそのまま貼り付けます。

DNSの変更が反映されるまで５分ほど待ちます。そして、ZOHOの画面に戻って「認証」をクリックすると、セレクター「bao」のstatusが「認証済み」に変わります。右側にある★印を押して「デフォルトセレクター」にしておくとよいでしょう。

これで、あなたの独自ドメインメールから送信されるメールには、自動的に送信元を証明するためのデジタル署名が付くようになります。

DMARCレコードの設定

SPFとDKIMの設定を終えたら、最後の仕上げがDMARCです。これは、SPFとDKIMの検査に不合格だったメール（なりすましの疑いあり）をどのように処理するかを決めるレシピのことです。「何が何やら・・」と思っても大丈夫！このレコードを宣言しておくだけでも、「なりすまし対策をしている」と見なされ、スパム判定において有利になります。

またまた、ムームーのDNS編集画面です。

• サブドメイン欄に「_dmarc」
• 種別は「TXT」
• 内容は「v=DMARC1; p=none」

上記のレコードを入力すれば、DMARCレコードの設定は終わりです。

どれぐらいセキュアになったか検証する

さて、これでSPFとDKIMとDMARCの設定を終えたので、設定がうまくいっているか第3者の目で確認してもらいます。
mail-tester の診断サービスは、送信側のセキュア設定が正しくなされているか判定し、さらに、実際のスパム判定プログラムを動かしてあなたのメールがスパム扱いされるポイントを教えてくれます。

使い方は簡単で、トップページにランダムで表示されているメールアドレス宛に、件名や本文は何でもよいのでメールを送ります。１分ぐらい待って「CHECK YOUR SCORE」ボタンを押すと診断結果が現れます。

実際に、ZOHOで運営している独自ドメインのメールを診断したところ最高スコアの１０点でした。

mail-testerの診断結果

まずは、「You’re properly authenticated. (あなたは適切に認証されています)」のプルダウンメニューを覗いてみてください。SPFやDKIMの認証が合格しているかや、DMARCレコードが存在するかなどメールの送信に関係する様々なセキュリティチェックをしてくれます。問題が見つかれば、赤い文字で警告が出ます。

ブログを運用する上で多数の人にメールマガジンを配信している人は、特に注意してください。ここでの総合スコアが悪いということは、あなたのメールが「迷惑メールフォルダ」に自動的に放り込まれるリスクを示唆しています。改善を指摘されたところを見直してください。

ZOHOメールで迷惑メールの受信対策をする

ZOHOはメールを受信する際のルールを細かく設定でき、強力に迷惑メールを排除することができます。
まずは、コントロールパネルからメールの管理>迷惑メールの管理とたどり、SPFとDKIM、それにDNSBL（DNSブラックリスト）の３項目を設定しておきましょう。

迷惑メール>SPF認証

すでに書きましたがSPFは、送信元のドメインが正しいか偽証されていないか検証するための技術です。この画面では、SPFの認証結果が「失敗」＝送信元の偽装の可能性が高いものや「弱い失敗(Soft fail)」と判断された場合にどのように対処するかを指示します。

特に「失敗」の場合は、明らかなスパムメールやウイルスを含んだメールの疑いが高いため、「常時拒否」か「検査に移動」をおすすめします。

迷惑メール>DKIM認証

DKIMはデジタル署名を使い送信元のドメインに偽りがないか検証するための技術です。この画面の日本語訳「失敗」は、何のことかわかりにくいですね。要するに、DKIM認証の結果が「fail」だったということですが、そもそもDKIMのデジタル署名を使っていないメールは「fail」になりません。

ここでいう「失敗」とは、DKIMを使いながら認証に失敗しているわけですから、ドメインを詐称した悪いメール（！）の可能性がかなり高いと判断できます。そのため、「常時拒否」か「検査に移動」をおすすめします。

迷惑メール>DNSBL認証

DNSBL（DNSブラックリスト）とは、送信元のメールサーバーのIPアドレスがいわゆる「ブラックリスト」に登録されていないかチェックするものです。頻繁にスパムメールを送りつけているサーバーは、たいていブラックリストに入っています。

ただ、利用者が膨大なＧメールなどのフリーメールも一部のＩＰアドレスがブラックリストに入っていることもあり、必ずしもリストに入っているアドレスが本当にスパム業者かどうかは分からないのが現実です。

私は「検査に移動」に設定しています。

Gmailで読み書きできるようにPOP/IMAPを設定する

ZOHOメールを他のメーラーで利用するにはこの情報が必要

ZOHOのメール画面は、日本語対応で洗練されているので、そのままWEBメールとして利用しても良いと思います。ただ、メインがGmailだったり、ほかのメーラーで使いたい時は、POPとSMTPの情報が公開されていますので、それを使ってください。

ZOHOのメール画面。そのままでも使いやすいし高機能。

ZOHOの新しいメール設定画面

ZOHOでPOP/IMAPを使うには、事前にPOP/IMAPを許可しておく必要があります。

管理画面のリニューアルが行われたようで、設定画面がわかりにくいです。設定>Access old version for(なぜか英語）>Email forwarding and POP/IMAP (メール転送とPOP/IMAP)に進みます。そこから先は日本語画面です。

まとめ

日本語対応のメールサービスで、独自ドメインが使えるものは、事実上ZOHOだけとなっています。幸いにも、そこらのプロバイダーやレンタルサーバーのメールよりもセキュリティー設定は充実しているので無料のうちに登録しておきたいですね。