nzws.meをGoogle Workspaceに移行した

Saturday, May 8, 2021
#雑記#Google#メール

image

どうもこんにちは、Google 信者のねじわさです。
主に nzws.me で送受信するメールサーバーのために Google Workspace を契約したメモです。

今まで使ってたやつ / なんで変えたの

  • 今まで使ってたやつ: xrea
  • よかったところ: 安い(年 1000 円くらい)、キャッチオールが使える、容量がでかい
  • 悪かったところ: たまに不達になる、たまにブラックリスト入りする、DKIM が使えない

不達になるのが重要なメールだったら怖いのでそろそろ変えたいなみたいな気持ちになり検討しました。

新しいメールサーバーの検討

要件としては

  • キャッチオールが使える
  • DKIM が使える

の 2 点で探しました。キャッチオールについては明記されているのがまちまちでイマイチ分からなかったのですが、 案外通常のメールサーバーで DKIM 対応しているものが少なかったです。

  • Lark: DKIM 対応、無料、キャッチオール対応してない
    • たまにバグる、微妙にクライアントが使いづらい
  • zoho mail: DKIM 対応、キャッチオールおそらく対応、月 120 円から
    • 容量がちょっと微妙な気がした(5GB)
    • 使ったことはないので使い勝手は不明
  • SimpleLogin: DKIM 対応、キャッチオール対応、年 30 ドル
    • 一度試した事はあるもののあくまでメールエイリアスサービスなので送信の使い勝手は微妙
  • 自作:
    • 家の中にメールサーバー置きたくないので 500 円くらいで VPS 契約とか
    • 管理めんどい
  • Google Workspace: DKIM 対応、キャッチオール対応
    • 今まで使用していた Gmail と同じ UX
    • 余計な機能が沢山付いてくるので若干高い: 月 680 円

上記を検討した結果、まあ Google でよくねとなり契約しました。

契約した

一つ注意点としては、何ヶ月か前にテストで Workspace の試用をしていた残骸が残っていたようで、 謎のエラーが出て無限に契約できなかったので心当たりがあれば残骸は必ずアカウント削除のステップを踏んでおきましょう。
管理コンソールは別組織で Cloud Identity を使用しているのもありいつも通りのめちゃくちゃ重くて使いづらい管理画面でした。

image

セットアップする

とりあえずメールサーバー変更によるメール受信のダウンタイムは最小限に抑えたいため、 Gmail が使用できるようになったら最優先で MX レコードを適切な値に変更します。
あとなんか個人的に躓いた点としては MX レコードのリストっぽい物とは別に、 プライマリのサーバーは文章中にのみ載ってるので流し読みしていたら釣られました。

image

SPF レコードはここらへんに記載されています。

今回初めて知った事としては、MTA-STS レポートなるものがあるそうで、そちらのセットアップもしておきました。 これについては、TXT レコードの他にポリシーファイルを mta-sts.(domain)/.well-known/mta-sts.txt にホストする必要があるらしく、 雑に Vercel で即席デプロイしました。nzws/mta-sts.nzws.me をフォークすれば多分他の人もそのまま使い回せます。
イマイチ MTA-STS 自体を理解しきれていないので現状は testing で動かしています。

肝心の DKIM ですが、他の人からも聞いたのですがセットアップ直後は設定できないらしくエラーが出るので後ほど設定します。

キャッチオールにする

キャッチオールというものは、例えば example.com 上に neziwasa@example.com というアカウントのみが存在した時に、 wasabichan@example.com 宛にメールを送信すると通常はメーラーデーモンくんが受信拒否しますが、 キャッチオールを設定すれば存在しないメールアドレス宛のメールをどこかのメールに転送してくれるようになります。
私はこれを使用して、サービスごとに登録しているメールアドレスを分けて区別がつけやすいようにしています。

多分適当に検索すれば設定方法が出てきますが、そんなに難しいものでもなく Gmail のルーティング設定から、 認識されていないアドレスに対して送られたメールについてエンベロープ受信者を自分に向けるように設定してあげれば良いです。

image

送信については管理コンソールではなく Gmail アプリのアカウント設定からエイリアスを追加するだけです。 通常の Gmail とは異なり Workspace 版は認証済みドメインのエイリアスは勝手にサーバー設定を済ませるので楽です。

image

そのほか

微妙に意味わからないポイントですが、Google Identity/Workspace アカウントはデフォルトで二段階認証が管理者側で無効化されており、 別途開放しないと新たに有効化できない仕様となるため、必ず組織設定から二段階認証を開放しておくと良いです。

あとはブランドロゴを独自に設定できるため、なんか適当に入れておくと眺められます。

さいごに

愛知で緊急事態宣言発令らしくてまじ?となっております