【AWS】25番ポートメール送信時に必要なDNSレコード登録

記事タイトルとURLをコピーする

こんにちは、技術2課の加藤ゆです。

EC2からメールの送受信を行いたい場合、25番ポートの制限解除申請と、逆引きレコード登録をする必要があります。
今回は登録が必要なDNSレコードについてまとめます。

25番ポート送信制限とは?

AWSのデフォルトの設定では、外向きの25番ポートに制限がかかっています。  
これは、AWSアカウント内のサーバーが知らない間にスパムメールの送信者にされそうになったとき、AWS内のサーバを守るためです。

ですが、純粋にメール送信させる用途でサーバを利用する事がありますね。
その場合、AWSへE メール送信制限解除申請をする必要があります。

AWS は、デフォルトですべての EC2 インスタンスと Lambda 関数のポート 25 (SMTP) でのアウトバウンドトラフィックをブロックします。ポート 25 でアウトバウンドトラフィックを送信する場合は、この制限の削除をリクエストできます。

制限解除の申請方法には、本記事では触れませんのであしからず、、、以下ご覧ください。

aws.amazon.com

25番ポートの制限が適応されないケース

(2024/05 追記)

docs.aws.amazon.com

注記
この制限は、ポート 25 経由で次の宛先に送信されるアウトバウンドトラフィックには適用されません。
・発信元のネットワークインターフェイスが存在する VPC のプライマリ CIDR ブロック内の IP アドレス。
・RFC 1918、RFC 6598、および RFC 4193 で定義されている CIDR 内の IP アドレス。

たとえば、 NATゲートウェイを経由せず、Direct Connect ・VPN を経由した構成で
記載のアドレス範囲宛に送信する場合は、制限は適用されません。

逆引きレコードとは

DNSでいう「PTRレコード」の事です。
PTRは「pointer record」の意のようですが、どこら辺がポインターなのかよく分かりませんでした。

正引きレコードが「A(AAAA)レコード」ですね。

  • 正引き:ドメイン名に対応するIPアドレスを割り出す
  • 逆引き:IPアドレスに対応するドメイン名を割り出す

したがって、IPアドレスからドメインを調べ出せるレコードの事を「逆引きレコード」と言います。

なぜ逆引きレコード登録が必要なのか

一般的に、スパムメールを検知するスパムフィルタには、逆引きできないIPアドレスからのメールは受け取らないことが多いとされています。

そのため、メールサーバのIPアドレスは逆引きレコードを設定し、送信元のIPアドレスが正当であると、証明出来るようにしておく事が推奨されます。スパムメールとして弾かれてしまうのを防ぐために逆引きレコード登録も一緒にしましょう。

今までは、逆引きレコード登録をするためにはAWSへの申請が必要でしたが、アップデートによりAWSマネジメントコンソールから更新可能となりました!  
サポートへ依頼することなく、自分で出来るのでイイですね。

Elastic IP アドレスの逆引き DNS をカスタマイズする機能が Virtual Private Cloud のお客様向けに追加のリージョンで利用可能に

公式ドキュメントはこちら docs.aws.amazon.com

メール送信時サンプル構成

その1~NAT有ver.~

ALBをEC2の前段に置いて、NATGWを利用するタイプ。
EC2はプライベートサブネットにおきます。

その2~NAT無ver.~

ALBを前段に置くのは同じですが、NATGWを利用せずにEC2をパブリックサブネットへ配置するタイプ。
EC2にEIPを付与します。

逆引きレコード登録

利用者がメールを受信するために、
メールの送信元の IP アドレスに対して逆引きレコード登録をする必要があります

逆引きレコード登録には、Aレコードの登録が必須です。Aレコードの登録が完了していなければ、逆引き登録は不可ですので、気を付けましょう。

Considerations

逆引き DNS レコードを作成する前に、Elastic IP アドレスを参照する、対応するフォワード DNS レコード (レコードタイプ A) を設定する必要があります

Elastic IP アドレス - Amazon Elastic Compute Cloud

その1~NAT有ver.~

利用者から見ると、送信元に見えるのはNATGWです。

  • 1.「NATGWのEIP」をAレコードを登録(ご利用のDNSへ)
  • 2.「NATGWのEIP」の逆引きレコードを作成(AWSマネジメントコンソールより)

NATGWを経由してEC2からメール送信する場合は、「NATGWのEIP」を正引きできるよう、利用しているDNSへAレコードを登録します。

この場合、背後のEC2は受信者からは見えないので、EC2のメール送信制限解除申請・逆引き登録は不要となります。
NATゲートウェイに付与したEIPにて、メール送信制限解除申請・逆引き登録を行いましょう。

その後、AWSマネジメントコンソール「EIP」より「NATGWのEIP」の逆引きレコードを作成します。

その2~NAT無ver.~

利用者から見ると、送信元に見えるのはEC2です。

  • 1.「EC2のEIP」をAレコードを登録(ご利用のDNSへ)
  • 2.「EC2のEIP」の逆引きレコードを作成(AWSマネジメントコンソールより)

EC2からメール送信する場合は、「EC2のEIP」を正引きできるよう、利用しているDNSでAレコードの登録をします。

その後、AWSマネジメントコンソール「EIP」より「EC2のEIP」の逆引きレコードを作成します。

逆引き登録方法

本記事では触れませんので、以下をご参照ください!

blog.serverworks.co.jp

おわり

メール送信時のレコード登録についてまとめました。
メール受信時にドメインでアクセスさせるためのレコード登録についても書くか、、、!?と思いかけて力尽きたのでここまでにします。

ご覧いただきありがとうございました!!

加藤 由有希 エンジニアブログの記事一覧はコチラ

エンタープライズクラウド部 所属

2020年4月に新卒入社