はじめに
こんにちわ、セキュリティチームのむろです。
今回はmxHEROに管理コンソールからドメイン及びエイリアスドメインを追加する「Manual Domains」機能が実装されていたので、手順をまとめてみました。
なお、従来(旧ダッシュボード)はドメインの追加はmxHEROへ個別で連絡して依頼が必要でしたが、新ダッシュボードでは管理コンソールから実施できるようになりました。
どんな時にこの機能を利用するのか
Google Workspace(Gmail)やMicrosoft 365(Exchange Online)は1つのテナントに複数のドメインを管理して、メールのドメインとして利用することができます。
上記のようなマルチドメイン構成のテナントでmxHEROテナントへサインアップ時に登録したドメインとは別に追加でmxHEROの管理対象ドメインにしたい場合に利用します。
追加手順の前提
- 追加するドメインのDNSレコードが操作できること
- すでにメールシステム側へセカンダリドメインまたはエイリアスドメインとして対象ドメインが追加されていること
本ブログの内容は、2023年9月26日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。
ドメインの追加手順
手順1)mxHEROへ手動でドメインを登録する
- mxHEROの管理コンソールへログインし、「設定」>「組織とドメイン」を開く
- 「組織とドメイン」画面内の「Manual Domains」タブを選択し「Start Connecting」を選択する
- なお、2つ目以降にドメイン追加する場合は「Add Domain」を選択する
- 追加対象のドメインを入力して、「Add…」を選択
- 認証コードが記載されたTXTレコード値が表示される
- 値をコピーして、追加ドメインDNSのTXTレコードへ追加する(mxHEROではなく、DNS側の作業)
- mxHEROの管理コンソールへ戻り「Verify」を選択する
- TXTレコードが正常に確認されると「Verified」状態になります
- もしも、DNSレコードの反映タイミングによって、「Verified」状態ではなく「Not Verified」状態になった場合は、右端のアコーディオンを展開し、もう一度「Verify」を選択する
- 「Not Verified」状態が解消されない場合はTXTレコードの設定が正しいか確認してください
手順3)認証されたドメインを管理対象へ追加する
- ドメインが「Verified」状態になったら「ドメイン」タブへ移動し、「Connect a Manual domain」を選択します
- 追加対象のドメインを選択します
- ここでセカンダリドメインとして追加する場合と、エイリアスドメインとして追加する場合とで若干手順が異なります
- どちらを選択するかはメールシステム側でセカンダリドメイン、エイリアスドメインのどちらで利用する設定したかに合わせてmxHERO側も選択します
手順3-1)セカンダリドメインとして追加する場合
- 「As a domain」を選択します
手順3-2)エイリアスドメインとして追加する場合
- 「As a alias」を選択して、更にどの既存ドメインのエイリアスドメインとして紐づけるか選択し、「Save the alias」を選択します
手順4)追加したドメインへSPFレコードを設定する
- 「Manual Domains」タブに戻ると、該当の追加ドメインは「Verified and Connected to mxHERO」状態になっていることがわかります
- ここからは通常の設定手順と同様にドメインに対してSPFレコードを追加します(mxHEROではなく、DNS側の作業)
- SPFレコードをDNSのTXTレコードを追加すると、「SPFレコードの構成が必要です」から「SPFが設定されました」に変化します
- Google Workspaceの場合は以下のブログの「手順⑧」を参考にしてください
- Exchange Onlineの場合は以下のブログの「手順⑦」を参考にしてください
手順5)その他のドメイン個別に対して追加設定する
- メールシステム側に対して他のドメイン単位での設定を追加します
- 弊社のブログ通りに設定している前提であれば、Exchange Onlineでリモードドメイン設定のみ追加で必要です
- 以下のブログの「手順⑤」を参考にしてください
- Google Workspaceの場合は上記のリモートドメイン設定に相当する設定はありません
動作確認を行う
ドメインの追加が完了したら、以下の流れで動作確認を行います
- 追加ドメインのメールアドレスをもったユーザーをメールシステム側へ追加
- 作成したユーザーをmxHEROのメールアカウント同期対象・およびルーティング対象の条件に利用しているメールシステム側のグループ(例:mxHERO-users@example.com)へ追加する
- mxHERO側で同期処理を行い、対象のドメインが管理外の警告が出ないことを確認する
- mxHEROの管理外のドメインが同期された場合は以下のように警告状態になります
- 実害はありませんが毎同期ごとに警告を検出します
- mxHEROの管理外のドメインが同期された場合は以下のように警告状態になります
- 上記のような警告に対してはドメイン追加前はドメインで除外を設定しておく必要があったはずです
- 元々、ドメイン除外を行なっていた場合は除外を解除する必要があります
- 該当のドメインが処理されるスコープでルールを作成します
- ルール内の保存ストレージアカウントも考慮して設定してください
- 該当ドメインのメールアドレスをもったユーザーでテストでメール送受信を行い、mxHEROのルール処理されることを確認します
- うまく動作しない場合はトレースログを確認してみましょう
注意:メールのマルチ「テナント」構成には利用しないこと
- このManual Domains機能ははじめにお伝えしたようにメール側が1つのテナントで複数ドメインを持っているマルチ「ドメイン」構成の場合に利用します
- つまり、複数テナントのメールシステムを1つのmxHEROテナントへ接続するマルチ「テナント」構成の目的では利用しないでください
- 以前にmxHEROのサポートへ別件で確認した際は1つのmxHEROテナントに対するメール側のマルチテナント構成は非推奨という回答でした
- メールアカウント、グループの同期設定が1テナントまでしか行えない観点からメリットは薄いです
- また、最低ライセンス数(MOQ)の観点でもmxHEROはテナントではなく、1つの契約に対しての前提となるため、ライセンス観点でもメリットは薄いです
- 補足:mxHEROは1つの契約に対して複数のmxHEROテナント(ドメインで管理)を紐づける事が可能です
- 以前にmxHEROのサポートへ別件で確認した際は1つのmxHEROテナントに対するメール側のマルチテナント構成は非推奨という回答でした
追加したドメインの登録を削除する手順
削除する場合は追加した際の手順と逆の順番で削除します。
なお、ドメインの削除が完了したら追加ドメイン個別でmxHEROの「ルール」が存在する場合は合わせて削除しておきましょう。
セカンダリドメインの場合
- 「ドメイン」タブの「Remove」を選択し、警告メッセージに対して「はい」を選択します
- 「Manual Domains」タブへ移動して、「Remove」を選択し、警告メッセージに対して「はい」を選択します
エイリアスドメインの場合
- エイリアスドメインに紐づいているドメインの「編集」を選択します
- 紐づいている既存ドメインのエイリアスドメインとして✖️マークで削除し、保存します
おわりに
同じメールシステム内でマルチドメイン構成であるケースはそう多くはないとは思いますが、個別申請ではなく、管理コンソールからドメインを追加できるようになった事で即時追加が可能となり、手間も減ったかなと思います。
また、mxHEROの新ダッシュボードに関する設定手順は以下のブログにまとまっていますので初期設定の際には参考にしていただけると嬉しいです。
