code up

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

New email security settings native in Google Apps - Change in Postini Service

3年前からGoogle Apps Premier Edition(現在はGoogle Apps for Business)を利用している。

本日『New email security settings native in Google Apps - Change in Postini Service』というタイトルのメールがGoogle Apps Teamから届いた。普段届く『New update information』のメールとはタイトルが違っていたのでよく内容を確認してみたところ、Postini Serviceは削除して新しいGoogle謹製のメールセキュリティ機能になるから、移行してね♩という内容だった。

Hello,

First, take notice action will be required on your part. This message is to notify you about a change to the Postini Message Security Service included with your Google Apps account. This service is being replaced by new Google Apps email security features. With the release of these new email security features, we will be asking all of our Google Apps customers to consolidate their email security settings in Google Apps and to remove Postini from their mail flow.

In the coming weeks, you will receive a notification with clear instructions and a deadline for completing this transition for:
(略)

Ω ΩΩ<な、なんだってー!

Postini Integrated Service: Transition to Google Apps Email Securityによると今回のGoogle謹製のメールセキュリティ機能は2012年1月にリリースしたとのことなので、このメール以前にも来ていて見落としていたのかも知れない。Postiniのフォーラムによると昨年の10月くらいに同様のメールを受信したユーザーもいるみたい。

あまり使いこなしてなかったし使いにくいなとも思ってたので、フライング気味ではあるが、さくっと移行を行った。

環境のこと

本題に入る前に環境のことを。

今回のGoogle Appsの環境は2009年5月頃に契約した。当時はGoogle Apps Premier Editionの名前であった。契約後すぐにPostini Serviceを使い始めた。当時は左記のページにあるように『Message Security & Discovery』という名前だったかも。

少し話は逸れるが、Google Apps Premier Edition(日本語)のページにはさりげなく、100アカウント以下で年間$50、それ以上だと年間6,000円ってあるが、Google Apps for Business(日本語)のページにはそのような記載はなく、6,000円とあるのみである。英語サイトでは、当たり前だが$50しか書いていない。

確か最初に契約した時は円決済が選べなくてドル決済で開始した。以後、契約更新もドル決済なので6,000円ではなく$50である。実は最初の契約更新の際、円決済に変更して決済しようとしたのだが、うまく更新できなかった。クレジットカードを変更してもダメで、Google Checkoutの担当者とやりとりした結果、結局ドル決済に戻したところ更新できた。

以前円決済に変更しようとした際は6,000円という固定額ではなく為替レートに応じた価格だったと記憶している。そのため、稟議を正確にするために円決済に変更したかった。今もその問題が残っているのか(=円決済に変更できないのか)、100名超えた時に強制的に円決済にさせられるのかは不明である。ただ、現時点では$50=6,000円という5年くらい前の為替レートなので、ドル決済の方がお得なのでそのままとしている。

話を戻して、、、うちの環境ではバンドルされてるPostiniサービスだけを利用しており。追加の機能(アーカイブオプション: Message Discovery)については契約をしていない。

移行しなくちゃいけないの?

What type of Postini customer am I?によるとPostiniの種類には6種類ある。GMSはGoogle Message Securityの略、GMDはGoogle Message Discoveryの略。

  • Postini GMS Integrated - Google AppsにバンドルされたPostiniの利用ユーザー。シングルサインオンでき、ユーザーの情報が自動的に同期される。うちの環境はたぶんコレ。Google AppsのDashboardからPostini サービス コンソールにアクセスすると自動的にログインもするし
  • Postini GMD Integrated - Postini GMS IntegratedにDiscovery(Archiving)オプション($13)をつけたもの。
  • Postini GMS Hybrid - Apps契約時に既にGoogle Message Securityを持っていたユーザー。Google Appsと統合されていないのでそれぞれにログインしなければならなかったり自社のメールサーバーへのルーティングが可能だったり
  • Postini GMD Hybrid - Postini message discovery (archiving)をGoogle Appsとは関係なしに購入したユーザー。それぞれでログインをしなければいけない
  • Postini GMS Classic - Google Appsの契約の無いGMSユーザー
  • Postini GMD Classic - Google Appsの契約の無いGMDユーザー

またそのうちどの種類のユーザーが移行しなくてはいけないかという質問に、

Which Postini customers are being asked to make the transition to Google Apps email security?

All Postini GMS Integrated customers (Message Security for Google Apps) will be transitioned by the end of the second quarter of 2012. These customers will have access to the improved email security settings in the Google Apps control panel -- including Restrict email delivery, Objectionable content, Content compliance, Append footer, Blocked senders, Approved senders, and Attachment compliance.

Customers using Postini archiving, Google Message Encryption, or Policy TLS are not being transitioned at this time.

For a description and comparison of the different types of Postini customers, see the first FAQ on this page: What type of Postini customer am I?

つまりうちのGoogle Appsは移行しなければいけないようです。

いつまでに

Postini Integrated Service: Transition to Google Apps Email Securityによると、

We will notify these customers over the first several months of 2012 and expect to have all Integrated customers transitioned by the end of June.

と2012年6月までと表示されているが、本ページは今回受け取ったメールに貼られていたリンクではなく、メールでは、

In the coming weeks, you will receive a notification with clear instructions and a deadline for completing this transition for:

[ドメイン名]

Because the new tools work differently than the Postini version, automated migration is not available and you will need to replicate your settings manually in Google Apps. You can do this with the help of the Postini-Apps Transition tool in the Postini Admin Console, which will lead you through the process of consolidating all of your email settings into Google Apps.

と「Postiniのバージョン毎に色々あるから、詳細と期限については、近いうちお知らせするね♩」ということだった。別に今始めても問題ないため、移行を行った。

手順の概要

移行手順についてはPostini Transition to Google Apps Email Security: Administration Guideに従うのだが、Postini/GMSのバージョンのせいか、若干の問題が発生している。

また、現時点では全ての機能はリリースされておらず、最初にリリースされた『Objectionable Content and Content Compliance (不快なコンテンツの設定、コンテンツ コンプライアンスの設定)』、および次にリリースされた『Compliance Footers, Approved and Blocked Sender Lists, and Attachment Controls (フッターの追加、承認またはブロック送信者リスト、添付ファイルのコンプライアンス)』までが2012年2月3日現在設定できる。また年内に残りの『Delivery Manager, TLS Policies, and Reporting (配信管理、TLSポリシー管理、レポート)』をリリースする予定とのこと。

Transition Wizard

Postini Administration Consoleにログインして、Transition Wizardなるものを起動せよ、とのこと。Postini Administration Consoleに'Transition Tab'なるものがあるらしいのだが、私の環境ではそもそもそんなタブがない! (Googleにに確認したところ、現在(2012/2/3)Transition WizardはGoogle Apps for Education、あるいは大型顧客だけに有効になっているとのこと。ひょっとしたら米国だけなのかも)

ただ、Postini Transition to Google Apps Email Security: Administration Guideは、Wizardの内容にそこそこ沿ってるらしいので、起動できなくてもいいのかもしれない。

Transition Wizardを予測しつつ、とりあえず行った手順

順番は少しガイドから変更している。理由はガイドでは、送信ゲートウェイの設定を受信ゲートウェイやホワイトリストと同時に変更するよう指示しているが、送信ゲートウェイは可能な限りSPFレコードの変更と合わせた方が良いと思うからである。

下記手順を一気にできるのであれば問題ないだろうが、Appsの設定だけしてDNSの変更を後回しにしたりすると届かないメールが発生するかもしれないからだ。

  1. 組織とユーザーを見直す。組織構造の作成: Google Apps管理者用ヘルプ
  2. Google AppsのダッシュボードからSettings(設定)→Email(メール)→Filters(組織の設定)→Add Setting(設定の追加)と辿って組織に合わせたメールセキュリティの設定を追加する
  3. (オプション) PostiniにPassthroughの設定を施す。これによりPostiniの全ての機能を停止させ、届いたメールを素通りさせるようになる。こうすることでMXレコードの変更をする前に上記のGoogle Appsに追加したメールセキュリティの設定確認が行えるようになる。Transition Wizardで設定する方法とOrgs & Usersタブから組織を選んだ先にあるOrganization SettingsPassthroughアイコンからの2通りの案内があったが、これまたバージョンの違いのせいかPassthroughアイコンなんて表示されなかった (これもそのうち表示されるようになるのかな)
  4. Google Appsのメール設定でメールのホワイトリスト(Email whitelist)からPostini用の設定を削除する。FAQでは全てのIPアドレスを削除しろ、と書いてあるけどPostini以外の設定があればそれは削除しちゃダメなはず。
  5. Google Appsのメール設定で受信ゲートウェイ(Inbound gateway)からPostiniの設定を削除する。ヘルプにあるPostini向けの設定だけしているのであれば空にすれば良い。空にすると『上記のメール ゲートウェイからのみユーザーがメールの受信をできるようにします。(Only let my users receive email from the email gateways listed above.)』も自動的にオフになる
  6. MXレコードを変更する
  7. Google Appsのメール設定で送信ゲートウェイ(Outbound gateway)を空にし、DNSサーバーのSPFレコードを変更する

DNSはこんな感じになった。GoogleのフォーラムによるとSPFにaspmx.googlemail.comを設定するのは古いやり方のようです。VALUE-DOMAINでaspmx.googlemail.comと書いてあったので・・・

以下VALUE-DOMAINで設定したDNS設定です。

ガイドにはMXレコードについて注意事項も記載されている。

  • ASPMX.L.GOOGLE.COMは必ず1番の優先度とする
  • TTLに推奨値がないのであればTTLは300秒に設定する
  • MXレコードの伝搬には最大48時間かかりますよっ!

何か問題が起きたとき備え、変更する前に元の値は残しておきましょう!私は忘れました・・・・。問題が起きたら、完全にはフォールバックできないし、元に戻すのに時間かかりそうT_T

受信の確認 - MXレコードの確認

Windowsであればコマンドプロンプトから『nslookup -type=mx』と入力してリターン。あとはドメイン(@より後の文字)を入力すればよい。

MXレコードが、xxx.psmtp.comから.google.comに変われば設定変更は完了だ。後はその状態で正しく受信ができ、メールヘッダーにあるReceivedフィールド達の中にpsmtp.comが無ければ、移行完了である。

ただし、Gmail宛てに送信するメールサーバーが見ているDNSが反映されていなければ意味がないので、Google Appsのメール設定でNGワードなどを登録していたら、それを試してみるか、48時間くらい待ってからテストするといいでしょう。

送信の確認

Google Appsの設定を変えた後、Gmailでないメールアドレスにメールを送ってみる。Gmailでないメールアドレスで受信してメールヘッダを見てみる。送信ゲートウェイをはずしたので、Receivedフィールドにxxx.postini.comがないはずである。

もし受信するメールアドレスのメールサーバーがSPFレコードに対応しているのであれば、DNSの反映を待って、SPFの結果(Received-SPFとかAuthentication-Results)を確認しよう。

Received-SPF: pass (google.com: domain of who@are.you designates 123.45.6.7 as permitted sender) client-ip=123.45.6.7;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of who@are.you designates 123.45.6.7 as permitted sender) smtp.mail=who@are.you

確認するポイントは、1. passとなっていること。2. 上記フィールド内のIPアドレスが、PostiniのIPアドレスの範囲からGoogleのIPアドレスの範囲に変わっていること。

SPF (Sender Policy Framework)については、Wikipedia(英語)に説明がある。RFC 4408で定義されているのがReceived-SPFRFC 5451Authentication-Resultsである。

いずれの場合でもpassとなっていれば、そのメールドメインは公式ドメイン(ADMD; Administrative Management Domain)によって認証されたという意味となる。それ以外の結果については、それぞれのRFCを参照するか、財団法人インターネット協会のSPFの解説なども分かりやすく説明している。

ただ経験からだが、SPFが原因でメールをリジェクトしてくるケースは日本ではあまりない気がする。インド宛のメールでSPFレコードがないから、メール受け取らないよっ。っていうのはあったけど。

DNSのSPFの確認は『nslookup -type=txt』と入力してリターン。nslookupコマンドに入ったらドメイン名を入力してリターンである。

C:\Users\user>nslookup -type=txt
既定のサーバー:  UnKnown
Address:  192.168.1.1

> google.com
サーバー:  UnKnown
Address:  192.168.1.1

権限のない回答:
google.com      text =

        "v=spf1 include:_netblocks.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all"
> quit

C:\Users\user>

_netblocks.google.com_spf.google.comと同じTXTレコードみたい。

Google IPアドレスの範囲に若干の説明あり。

関連記事
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。