G Suite で「IP ロック」を適用する

G Suite では、ドメイン内の IP アドレスまたは IP アドレス範囲を指定し、指定アドレスからのメールのみを許可するように設定できます。この機能は、IP ロックと呼ぶこともあります。G Suite では、[コンテンツ コンプライアンス] の設定でこの機能を設定します。

管理者は、許可する IP アドレス範囲を手動で指定することにより、特定のドメインからのすべての受信トラフィックを同時にホワイトリストに登録でき、また、なりすましを防止することもできます。この機能を「IP ロック」と呼びます。次の手順は、ドメインに SPF レコードがない場合や、サードパーティ製のアプリケーションを使用して合法的にアドレスをなりすましているドメインの場合に特に有効です。

[コンテンツ コンプライアンス]の設定で IP ロックを設定するには、ドメインの追加、許可する IP 範囲の指定、実行する処理と NDR の設定の 3 つの手順を個別に行う必要があります。

手順 1: ドメインを追加する

  1. Google 管理コンソールログインします。
  2. ホームページから [アプリ] > [G Suite] > [Gmail] > [詳細設定] にアクセスします。
  3. [コンテンツ コンプライアンス] 設定を開きます
  4. [影響を受けるメール] で [受信] を選択します。
  5. メニューから [次のすべてがメールに一致する場合] を選択します。
  6. [表現] セクションで [追加] をクリックします。
  7. プルダウン メニューから [高度なコンテンツ マッチ] をクリックします。
  8. [場所] メニューから [送信者のヘッダー] をクリックします。
  9. [一致タイプ] メニューから [正規表現に一致する] をクリックします。
  10. IP ロックを適用するドメイン名を @domain\.com(\W|$) の形式で入力します。
  11. [保存] をクリックします。下記にある別の表現を追加するため、[コンテンツ コンプライアンス] 設定は開いたままにします。

手順 2: 許可する IP 範囲を指定する

  1. [表現] セクションで [追加] をクリックします。
  2. メニューから [メタデータの一致] をクリックします。
  3. [属性] メニューから [ソース IP] をクリックします。
  4. [一致タイプ] メニューから [次の範囲外] をクリックします。
  5. メニューの下にあるフィールドに、一致させる IP アドレスを入力します。

    注: このフィールドでは、CIDR 形式による IP アドレス範囲と個別の IP アドレスの入力のみが認められます。また、1 つの表現につき 1 つの範囲のみを入力できます(たとえば、下の画像では 64.18.0.0/20)。別の範囲を追加するには、[追加] をクリックして別の表現を追加し、手順を繰り返します。
  6. [保存] をクリックします(手順 3 に進むため、[コンテンツ コンプライアンス] 設定は開いたままにします)。

次の例では、別の表現を追加して上記の手順を繰り返すことにより、複数の IP を指定しています。

手順 3: 実行する処理と NDR を設定する

手順 2 で指定した IP からのトラフィックのみを許可するため、実行する処理を [メールを拒否] に設定します。また、拒否の通知文をカスタマイズして追加することもできます(省略可)。

Wormly などのツールを使用すると、クライアントがテストを行う前に、アドレスをなりすまして結果のシミュレーションを行うことができます。

IP ロックを使用する場合の、なりすましメールを拒否する際に出力される SMTP トランスクリプトの例
Result:
Resolving hostname...
Connecting...
SMTP -> FROM SERVER:
220 mx.google.com ESMTP s65si3000818qge.100 - gsmtp
SMTP -> FROM SERVER:
250-mx.google.com at your service, [184.72.226.23]
250-SIZE 35882577
250-8BITMIME
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-PIPELINING
250 CHUNKING
MAIL FROM: frank@supportdomain068.info
SMTP -> FROM SERVER:
250 2.1.0 OK s65si3000818qge.100 - gsmtp
RCPT TO: frank@supportdomain068.info
SMTP -> FROM SERVER:
250 2.1.5 OK s65si3000818qge.100 - gsmtp
Sending Mail Message Body...
SMTP -> FROM SERVER:
354 Go ahead s65si3000818qge.100 - gsmtp
SMTP -> FROM SERVER:
550 5.7.1 Sender Authorization failed s65si3000818qge.100 - gsmtp
SMTP -> ERROR: DATA not accepted from server: 550 5.7.1 Sender Authorization failed s65si3000818qge.100 - gsmtp
Message sending failed
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。