Gmailにメール送信するならDKIMの設定を

最近気が付きました。spfは設定していて DKIM はいらないかな？と思ってましたが設定しましょう

ソースはGoogleから
https://support.google.com/mail/answer/81126#authentication
重要: 2022 年 11 月より、個人用 Gmail アカウントにメールを送信する新規の送信者は、SPF または DKIM を設定する必要があります。Google では、新規の送信者から個人用 Gmail アカウント宛てのメールをランダムにチェックして、認証されたメールであることを確認します。認証方法が一つも設定されていないメールは拒否されるか、迷惑メールに分類されます。この要件は、すでに送信者である場合は適用されません。ただし、組織のメールを保護し、今後の認証要件をサポートするために、必ず SPF と DKIM を設定することをおすすめします。

エラーになった元のメッセージ

relay=gmail-smtp-in.l.google.com[xxx.xxx.xx.xx]:25, delay=1.5, delays=0/0.02/0.81/0.64, dsn=5.7.26, status=bounced (host gmail-smtp-in.l.google.com[xxx.xxx.xx.xx] said: 550-5.7.26 This message does not pass authentication checks (SPF and DKIM both 550-5.7.26 do not pass). SPF check for [gmail.com] does not pass with ip: 550-5.7.26 [xx.xx.xx.xx].To best protect our users from spam, the message has 550-5.7.26 been blocked. Please visit 550-5.7.26 https://support.google.com/mail/answer/81126#authentication for more 550 5.7.26 information. xxxx.xx - gsmtp (in reply to end of DATA command))

opendkim のインストールと設定

DKIMの仕組み

DNSに公開鍵を登録

メール送信時に秘密鍵で電子署名

受信先でDNSの公開鍵を参照して電子署名が本物かどうか確認

設定するドメイン名は exsample.jp

・CentOS 7 の場合

# yum install opendkim --enablerepo=epel

・Rocky/Alma/Oracle Linux 9 の場合

# yum install opendkim opendkim-tools --enablerepo=epel

・exsample.jp のディレクトリ作成と gen-key を利用して秘密鍵と公開鍵の作成

# cd /etc/opendkim/keys
# mkdir exsample.jp
# opendkim-genkey -D ./exsample.jp -d exsample.jp
 (省略すると -b 1024 -s default となる。1024bit selector名はdefaultという意味)
# chown -R opendkim:opendkim *
# cat exsample.jp/default.txt
 v=DKIM1; k=rsa; p=yyyyyyyyyy

・DNSに公開鍵(default.txt)の内容登録(selectorがdefaultの場合)
いずれもTXTレコードに値を入力

default._domainkey
TXT
v=DKIM1; k=rsa; p=yyyyyyyyyy

・DNSにADSPレコードの登録

_adsp._domainkey
TXT
dkim=unknown

意味は
all このドメインから送信されるメールは、すべてメール作成者署名が与えられる
unknown このドメインから送信されるメールのいくつか、またはすべてに、メール作成者署名が得られる
discardable このドメインから送信されるメールは、すべてメール作成者署名が与えられる。そして、もしメール作成者署名が得られない場合は、受信者はそのメールを破棄することが望まれる

この3つの中から選んで無難な選択が unknown に

・opendkim.conf の編集

# vi /etc/opendkim.conf

Mode    sv
# Sign と Verify 両方行うので sv

SoftwareHeader  no
# DKIM-Filter: OpenDKIM Filter v2.xx.0 exsample.jp とメールヘッダーに表示されるので no に変更
Domain  exsample.jp
# 該当ドメイン名

KeyFile /etc/opendkim/keys/exsample.jp/default.private
KeyTable        refile:/etc/opendkim/KeyTable
SigningTable    refile:/etc/opendkim/SigningTable
ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts

・KeyTable の編集

# vi /etc/opendkim/KeyTable 

default._domainkey.exsample.jp exsample.jp:default:/etc/opendkim/keys/exsample.jp/default.private

書式:
[セレクタ名]._domainkey.[ドメイン名] [ドメイン名]:[セレクタ名]:[秘密鍵へのパス]

・SigingTable の編集

# vi /etc/opendkim/SigningTable

*@exsample.jp default._domainkey.exsample.jp

書式:
*@[ドメイン名] [セレクタ名]._domainkey.[ドメイン名]

・TrustedHosts の編集・確認

# vi /etc/opendkim/TrustedHosts

127.0.0.1
::1

・postfix/main.cf 一番下に追加

# vi /etc/postfix/main.cf

# OpenDKIM
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters
milter_default_action = accept

・起動、自動起動の登録、postfix restart

# systemctl start opendkim
# systemctl enable opendkim

# postfix check
main.cf の設定間違いなど確認可能
# systemctl restart postfix

・opendkim-testkey による確認

# opendkim-testkey -d exsample.jp -k /etc/opendkim/keys/exsample.jp/default.private -vvv
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: key loaded from /etc/opendkim/keys/exsample.jp/default.private
opendkim-testkey: checking key 'default._domainkey.exsample.jp'
opendkim-testkey: key OK

となっていたら、問題ありません

あとはGmailにメール送信してみて、縦...マークから
メッセージのソースを表示
SPF:
DKIM:
のところを確認してみてください