Google Workspaceをおためししてみる

せっかく独自ドメインがあるのだからということで、

一度ためしてみたかったのがGoogle Workspace。ビジネス向けのGmailやGoogleカレンダーなんかの詰め合わせパックみたいなものです。

利用者になったことはないけど、運用管理をしていたことはあります。今の自分にはオーバースペックなので本契約はしないと思うけれど、導入から経験していれば人にも勧めやすそうなので、2週間の無料試用で遊んでみることにしました。

管理アカウントの作成

管理アカウントを作る際に「会社名」とか「自分を含む従業員の数」とか聞かれるけれど、特に存在証明とかはないので適当に入れて大丈夫でした。

電話番号でのSMS認証と、支払い用カード番号の入力は求められます。Kyashはプリペイドカードだからだめと弾かれたけれど、Revolutならいけました。
(うっかり解約しわすれて課金されないように、カード凍結しておきました。)

独自ドメインを取っていなくてもおためしはできるようですが、さっそくDNSのTXTレコードで所有者認証をしておきました。

SimpleLoginからの移行

今独自ドメインのメールはSimpleLoginで運用しているけれど、一時的にGoogle Workspaceに引っ越してみることにしました。

xxx@○○○.earth

とりあえずこの形のサブドメインなしの分だけ。

xxx@△△△.○○○.earth

こういうサブドメインにも対応させようとすると、サブドメイン用のGoogle Workspaceアカウントを別で作らないとだめそうです。

DNSのMXレコードをいじると、外からのメールの流れ込み先がSimpleLoginからGoogle Workspaceに変わってしまうので、その前に下準備をしておきます。

★ユーザーアカウントの作成

xxx@○○○.earth

まず、メールボックスを作ります。xxx部分。複数のアドレス宛のメールを同じメールボックスで受信したい場合は、

yyy@○○○.earth

を予備のメールアドレスとして追加するという操作になります。予備のはあとからいくらでも変更ができるんですが、メインのxxxの方は変更がきかないので注意。「スパムが届きだしたら変更する」という運用がしたければ、xxxは隠しておいてyyyだけ見せるようにする必要がありそうです。

★SPFレコード

SimpleLogin用のSPFレコードは

v=spf1 include:simplelogin.co ~all

で、Google Workspace用のSPFレコードは

v=spf1 include:_spf.google.com -all

こんな感じですが、DNSのSPFレコードは2つ書いても1つ目しか見てもらえない仕様になっているので、

v=spf1 include:_spf.google.com include:simplelogin.co -all

こんな感じで1行に合体させます。

これで今回の独自ドメイン(○○○.earth)から送信されたメールは、SimpleLoginとGoogle Workspaceの両方が正しい送信元だと相手側が認識してくれるようになります。

「完全に移行し終わってもう戻さない」となるまで、両方の設定を残しておくスタンスで。

★DKIMレコード

DKIMレコードには、メールサーバで生成した自分の公開鍵を貼りつけるのですが、Google Workspaceの場合はこの鍵ペア生成をわざわざやる必要があります。

最初は鍵長を長い方の2048ビットにしてみたのですが、それで生成されたDKIMレコードの長さが411文字。うちのDNS(シンドメイン)では256文字までしか入れられなかったので、短い方の1024ビットで再生成しました。

DKIMはSPFとちがって、DNSに記載するホスト名がサービスごとにちがうので、特に重複とかを気にせず、Google Workspaceの分をレコード追加するだけで大丈夫でした。

★DMARCレコード

DMARCレコードに関しては、どこのサービスを使ってるかとか関係ない値なので、そのまま放置。

★自動転送

メールボックスに届いたメールは、自動でメインのGmailアカウントに転送されるようにしておきました。

これで下準備が済んだので、DNSのMXレコードをGoogle Workspaceのものに切り替えました。
(簡単に戻せるように、SimpleLogin側のMXレコードは削除せずTXTレコードとして残しておきました。)

Google Workspaceでの送受信は問題なし。Protonに送ったメールのヘッダを見てみると、ちゃんとSPF・DKIM・DMARCチェックが通っていました。

そしてリバースエイリアスを使って独自ドメインからSimpleLogin経由でProtonに送信したメールも、ちゃんとSPF・DKIM・DMARCチェックが通っていました。MXレコードを切り替えても、送信は両方生きてます。

管理用ブラウザ

Google Workspaceの管理画面を操作するときには、メインのGoogleアカウントとは別のアカウントでログインすることになります。

今のChromebookだと、アカウント切り替え機能つきのLacrosがあるからいいけれど、まもなくなくなるそうです。つまり、Chrome上でのユーザー切り替えには、OSのログオフ・ログインがいるようになりそう(>_<)

そうなったら管理専用に別ブラウザを入れるのがいいかな。

追記 2024-10-11

追加情報です。

アントニオ猪木の真意

元気がなくて何もできない・・・というときに、「逆猪木」というフレーズが浮かんできました。

「元気があれば何でもできる」とアントニオ猪木は言っていました。

つまり、何でもできるぐらいの状態のことを「元気」と呼ぶのであって、そうでなければ元気とは言えない。何でもできる人なんていないのだから、元気なんてこの世に存在しない・・・ということになります。

猪木さん、むずかしいことゆわはるわー。

SimpleLogin Premiumを使いこんでみる

せっかくSimpleLoginの有料プランがあるので、うちのメール転送まわりのしくみを作り変えることにしました。

Duck Address → Gmail → Infomaniakなどバックアップ用メールボックス群

今までこんな感じで転送をかけていたのですが、これを

Duck Address → SimpleLogin → Gmailとバックアップ用メールボックス群

こんな感じに変えてみることに。間にSimpleLoginを入れて、複数宛先転送をGmailでなくSimpleLoginの役割にしてみました。

これ、想定していたメリットと想定してなかったメリットがありました。

中国でのメール返信対応

まずは想定していたメリットから。

Duck Address → Gmail → Infomaniakなどバックアップ用メールボックス群

この構成の場合、Duck AddressをFromとしたメール返信をしようとすると、Gmailから返信するしかありませんでした。

ところが

Duck Address → SimpleLogin → Gmailとバックアップ用メールボックス群

この構成だと、Gmail以外からでも返信を受けつけてくれるようになります。Duck Addressからすると、どれから返信されてもSimpleLoginのアドレスからの返信にしか見えないので。

つまりGmailの使えない中国でも、Infomaniak Mailなどを使ってDuck Addressからの返信ができるようになるということになります。

返信メールの同期

そして想定していなかったメリットについて。

Duck Address → Gmail → Infomaniakなどバックアップ用メールボックス群

この構成の場合、単純にGmailから返信をすると、その返信メールはGmailにしか残りません。

ところが

Duck Address → SimpleLogin → Gmailとバックアップ用メールボックス群

この構成だと、どのメールボックスから返信しても

**** Don’t forget to remove this section if you reply to this email ****
Email sent on behalf of alias (SimpleLoginのアドレス) using mailbox (返信元のアドレス)
(返信メールの内容)

こんな感じのメールが、返信してない転送先アドレス全部に届くんです。FromはSimpleLoginのアドレスから。

スレッド表示をしていると、ちゃんと流れの中に組み込まれるようになってるんです。

2重転送されたメールのFromとTo

送信元 → Duck Address → SimpleLogin → Gmail

こんな感じでメールが転送された場合、Gmail側でメールを見ると

From:送信元アドレスからDuck Addressが生成したリバースエイリアスを元にSimpleLoginが生成したリバースエイリアス
To:SimpleLoginが生成したDuck Addressのリバースエイリアス
To:SimpleLoginのアドレス

FromとToはこんな感じになります。Toが2つに。SimpleLoginのアドレスがToに入っていることで、さっきの別メールボックスからの返信メールがうまくスレッド表示に組み込まれるようになっています。

そしてそのメールに返信したメールは

From:Duck Address
To:元の送信元アドレス

として元の送信元アドレスに届きます。ヘッダー内にはSimpleLoginや転送先の痕跡はまったくありません。

Gmailの+つきエイリアスの扱い

Duck Addressでは、転送先がGmailの+つきエイリアスだった場合に、+なしアドレスからの返信も受けつけてくれていたけど、SimpleLoginでは厳密に別扱いされます。

なので、SimpleLoginでもGmailの+なしアドレスから返信できるようにするには、

こちらのMailboxes設定の

Gmailの+つきエイリアス > Advanced Options > Authorized addresses

のところにGmailの+なしアドレスを追加する必要がありました。

自分から自分へのメール

SimpleLoginの転送先になっているアドレスから、SimpleLoginのアドレスにメールを送ると、何も送られずに

An email was sent to your alias (SimpleLoginのアドレス) from its own mailbox (転送先のアドレス).
SimpleLogin doesn’t send this email back to your mailbox as it would be refused or hidden anyway by your email service.
So no worries, there’s nothing you need to do :).

こんなメールが返ってきます。

メモ用途とかで、自分から自分にメールを送ろうと思ってもできないのでちょっと要注意かも。

追記 2024-09-30

SimpleLoginを使わない構成にしてみました。

独自ドメインのメールを使い始める

独自ドメインのメール運用を開始しました。

SimpleLoginの有料プランを契約する

当面の1年間は、メールサービスとしてSimpleLoginを使ってみることにしました。

2022年にProtonに買収されたメールアドレス隠蔽サービスです。

イメージ的には、管理画面つきのDuck Address(DuckDuckGo提供のメールプロテクションサービス)みたいな感じ。

もともとは「Gmailをやめないといけなくなったらどうするか」を調べているときに、Gmailの持っている複数宛先転送機能を肩代わりできるサービスとして目をつけていたもので、とある用途でこれまで無料版を使ってきていました。

それが有料プラン(Premium)だと独自ドメインが使えて、さらに転送先が複数にできるようにもなります。

Catch-allの機能があるので、

×××@○○○.earth

の×××が何であっても受信できるようにもできるし、追加できる独自ドメイン数が無制限なので、

×××@△△△.○○○.earth

というサブドメイン(△△△部分)をいくつでも別ドメインとして追加して管理することも可能。DNSに、ほしいだけサブドメインのMXレコードを足していけばいいわけなので。

そして、受信アドレスごとに転送先をどこにするかを選べたりして、自由度がかなり高いです。

サブドメインのメールを使ってみる

これまでDuck Addressを登録アドレスにできなかったサービスがいくつか(sony.jpとかtraveloka.comとか)あったので、

(サービスのドメイン).(ランダム文字列5文字)@reg.○○○.earth

こういうアドレスを作って登録アドレスにしてみました。さすがに独自ドメインだと拒否されません。
(「ランダム文字列5文字」は、SimpleLoginに自動生成してもらう機能があります。)

もし漏洩してスパムが届くようになったら、このアドレスを捨ててランダム文字列を変えて登録しなおすといいかな。

独自ドメインだと、ドメイン自体が個人とひもついてしまうので、このやり方をするサービスは最低限に。Duck Addressの置き換えまではしないつもりです。

メール送信

SimpleLoginは、Duck Addressと同じくメールボックスを持たない転送専用サービスなので、メール送信のためのSMTPサーバの情報が利用者に提供されるわけではありません。

なので、独自ドメインをFromとしたメールをどこかに送ろうとすると、転送先アドレスからその「どこか」のアドレス文字列を含んだSimpleLoginドメインのアドレス(リバースエイリアス)宛のメールを送るというやり方をすることになります。

しかも、Duck Addressとちがって、リバースエイリアスにはランダム文字列が自動でつくので、機械的に推測できない。返信の場合はそのまま返信すればいいけど、新規の宛先に送るときには、SimpleLoginのサイトでその宛先用のリバースエイリアスを生成する必要があります。

それはちょっとめんどうなところもあるけれど、セキュリティ的にはけっこう安心。よくあるSMTP認証だと、メールサーバのパスワードがもれるだけで乗っ取られて無差別スパムの送信元になってしまうけれど、これだとハードウェアトークンで2段階認証しているSimpleLoginのログインを突破しないといけないので。

あと、Duck Addressとちがって、送信元として許可されるアドレスを追加することができるのもちょっと便利。たとえば、

独自ドメイン → Gmail → Infomaniak Mail

と2段階の転送をかけていた場合、GmailだけでなくInfomaniak Mailから返信しても、独自ドメインから送信した扱いにできます。

バックアップとしてのaddy.io

SimpleLoginの低機能版みたいなものとして、addy.ioというサービスがあります。

こっちの方が安いんですが、日ごとのメール数制限とか月ごとの帯域制限とかがあってちょっと不自由。

最終的に「サブドメイン運用を維持しつつ最低限使い続けられればいいか」となった場合の引っ越し先としてはありかも。

追記 2024-09-16

続きです。

追記 2024-11-05

addy.ioの有料プランとも比較してみました。

独自ドメイン用のメールサービスを検討する

独自ドメイン用のメールサーバをどうするか?

まず、自分でサーバを立てるのはなしにします。セキュリティ対応に追われ続けるのはもう避けたいので。

となると、何かしらのサービスを利用することになります。

メールサーバの要件

★メールボックス容量

メールボックス容量は0でもいいです。メールは一元管理したいので、メインにしているところ(今はGmail)に自動転送さえできれば。

★メール送信

受信だけでなく、送信も転送先のGmailアカウントからしたいです。もちろんFromを独自ドメインとして。SMTPサーバが提供されていればそれでいいし、ほかの手段があればそれでも。

★作れるメールアドレス数

最低限ほしいのが、

contact@○○○.earth

のような名刺に書ける代表アドレス1つ。あとは自由度が高いにこしたことはないです。

★セキュリティ

送信する側としては、SPF・DKIM・DMARCに対応できること。
(こちらのドメインを偽装したメールをどこかに送られたり、こちらからのメールが途中で改ざんされた場合に、受け取った相手が正しいメールか検証できるしくみがあるということです。)

逆に受信する側の対応については、転送先のGmailがいろいろやってくれるので、特に何もしてくれなくて大丈夫です。なりすまし防止とか迷惑メールフィルタとか。

選ばなかった選択肢

★さくらインターネット

さくらインターネットは「月額換算88円〜」と安くていいんですが、妹の職場がここのメールサーバを使っててこまっていたので、今回は避けておきます。

なぜかメールが届かない相手がいるということで調べてみたんですが、

メール送信元のIPアドレスがいくつかのスパムブラックリストに載ってしまっていました。

ブラックリストからの削除依頼がIPアドレスの所有元からしかできないとのことで、妹からさくらインターネットに依頼してもらったんですが、対応できないと言われたということです。

★ロリポップ

かつてうちのホームページを置かせてもらっていたところ。Webサーバとかいろいろついて、月額換算84円〜とリーズナブル。

ただ、他社(ムームードメイン以外)のDNSに管理されたドメインでの利用を推奨していないようで、MXレコードが変わったときに気づけない可能性がありそうなのでちょっとこわいです。
(「なんか最近メール来なくなったなー」で気づくことになりそう。)

なので今回は選ばなかったけど、最後「もう最低限の運用でいいや」となったらここで落ち着くこともありえそうです。

長くなったので今日はこのへんで。

追記 2024-09-15

続きです。