mxHEROへセカンダリ・エイリアスドメインを追加する – CloudNative Inc. BLOGs - セカンダリドメインを追加 Google 管理コンソー

はじめに

こんにちわ、セキュリティチームのむろです。

今回はmxHEROに管理コンソールからドメイン及びエイリアスドメインを追加する「Manual Domains」機能が実装されていたので、手順をまとめてみました。

なお、従来（旧ダッシュボード）はドメインの追加はmxHEROへ個別で連絡して依頼が必要でしたが、新ダッシュボードでは管理コンソールから実施できるようになりました。

どんな時にこの機能を利用するのか

Google Workspace（Gmail）やMicrosoft 365（Exchange Online）は1つのテナントに複数のドメインを管理して、メールのドメインとして利用することができます。

ユーザーエイリアスドメインまたはセカンダリドメインを追加する – Google Workspace 管理者ヘルプsupport.google.com

Microsoft 365 にドメインを追加する – Microsoft 365 adminセットアップウィザードを使用して、DNS ホストで DNS レコードを追加して、Microsoft 365 管理センターで Microsoft 365 にドメインを追加します。learn.microsoft.com

上記のようなマルチドメイン構成のテナントでmxHEROテナントへサインアップ時に登録したドメインとは別に追加でmxHEROの管理対象ドメインにしたい場合に利用します。

追加手順の前提追加するドメインのDNSレコードが操作できることすでにメールシステム側へセカンダリドメインまたはエイリアスドメインとして対象ドメインが追加されていること

本ブログの内容は、2023年9月26日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。

ドメインの追加手順手順１）mxHEROへ手動でドメインを登録するmxHEROの管理コンソールへログインし、「設定」>「組織とドメイン」を開く「組織とドメイン」画面内の「Manual Domains」タブを選択し「Start Connecting」を選択する

なお、2つ目以降にドメイン追加する場合は「Add Domain」を選択する

追加対象のドメインを入力して、「Add…」を選択

認証コードが記載されたTXTレコード値が表示される値をコピーして、追加ドメインDNSのTXTレコードへ追加する（mxHEROではなく、DNS側の作業）mxHEROの管理コンソールへ戻り「Verify」を選択する

TXTレコードが正常に確認されると「Verified」状態になります

もしも、DNSレコードの反映タイミングによって、「Verified」状態ではなく「Not Verified」状態になった場合は、右端のアコーディオンを展開し、もう一度「Verify」を選択する「Not Verified」状態が解消されない場合はTXTレコードの設定が正しいか確認してください

手順３）認証されたドメインを管理対象へ追加するドメインが「Verified」状態になったら「ドメイン」タブへ移動し、「Connect a Manual domain」を選択します

追加対象のドメインを選択します

ここでセカンダリドメインとして追加する場合と、エイリアスドメインとして追加する場合とで若干手順が異なりますどちらを選択するかはメールシステム側でセカンダリドメイン、エイリアスドメインのどちらで利用する設定したかに合わせてmxHERO側も選択します手順３-１）セカンダリドメインとして追加する場合「As a domain」を選択します

手順３-２）エイリアスドメインとして追加する場合「As a alias」を選択して、更にどの既存ドメインのエイリアスドメインとして紐づけるか選択し、「Save the alias」を選択します

手順４）追加したドメインへSPFレコードを設定する「Manual Domains」タブに戻ると、該当の追加ドメインは「Verified and Connected to mxHERO」状態になっていることがわかります

ここからは通常の設定手順と同様にドメインに対してSPFレコードを追加します（mxHEROではなく、DNS側の作業）SPFレコードをDNSのTXTレコードを追加すると、「SPFレコードの構成が必要です」から「SPFが設定されました」に変化します

Google Workspaceの場合は以下のブログの「手順⑧」を参考にしてください

mxHEROのGWS環境での初期設定 − 新ダッシュボード検証ブログはじめにセキュリティチームのkakeruです。先日公開したブログでもご案内しましたが、mxHEROの管理ダッ…

blog.cloudnative.co.jpExchange Onlineの場合は以下のブログの「手順⑦」を参考にしてください

mxHERO×Exchange Onlineの初期設定 − 新ダッシュボード検証ブログmxHEROの管理ダッシュボードのデザインや機能に対する大幅アップデートが行われる予定です。そこで、当社ブログでも刷新後の管理ダッシュボードの利用方法に関して連載形…

blog.cloudnative.co.jp手順５）その他のドメイン個別に対して追加設定するメールシステム側に対して他のドメイン単位での設定を追加します弊社のブログ通りに設定している前提であれば、Exchange Onlineでリモードドメイン設定のみ追加で必要です以下のブログの「手順⑤」を参考にしてください

blog.cloudnative.co.jpGoogle Workspaceの場合は上記のリモートドメイン設定に相当する設定はありません動作確認を行う

ドメインの追加が完了したら、以下の流れで動作確認を行います

追加ドメインのメールアドレスをもったユーザーをメールシステム側へ追加作成したユーザーをmxHEROのメールアカウント同期対象・およびルーティング対象の条件に利用しているメールシステム側のグループ（例：mxHERO-users@example.com）へ追加するmxHERO側で同期処理を行い、対象のドメインが管理外の警告が出ないことを確認するmxHEROの管理外のドメインが同期された場合は以下のように警告状態になります実害はありませんが毎同期ごとに警告を検出します

上記のような警告に対してはドメイン追加前はドメインで除外を設定しておく必要があったはずです元々、ドメイン除外を行なっていた場合は除外を解除する必要があります

該当のドメインが処理されるスコープでルールを作成しますルール内の保存ストレージアカウントも考慮して設定してください該当ドメインのメールアドレスをもったユーザーでテストでメール送受信を行い、mxHEROのルール処理されることを確認しますうまく動作しない場合はトレースログを確認してみましょう

mxHERO新ダッシュボードでトラブルシュートに使うログ（レポート機能）について教えて（よくあるお問い合わせ-mxHERO編）mxHEROでのトラブル時等に使えるログ（レポート機能）について解説したいと思います。

blog.cloudnative.co.jp注意：メールのマルチ「テナント」構成には利用しないことこのManual Domains機能ははじめにお伝えしたようにメール側が1つのテナントで複数ドメインを持っているマルチ「ドメイン」構成の場合に利用しますつまり、複数テナントのメールシステムを1つのmxHEROテナントへ接続するマルチ「テナント」構成の目的では利用しないでください以前にmxHEROのサポートへ別件で確認した際は1つのmxHEROテナントに対するメール側のマルチテナント構成は非推奨という回答でしたメールアカウント、グループの同期設定が1テナントまでしか行えない観点からメリットは薄いですまた、最低ライセンス数（MOQ）の観点でもmxHEROはテナントではなく、1つの契約に対しての前提となるため、ライセンス観点でもメリットは薄いです補足：mxHEROは1つの契約に対して複数のmxHEROテナント（ドメインで管理）を紐づける事が可能です