怪しいサイト卒業の三点セット。
ざっくり言うと、
SSL:httpではなくhttpsと表示させる。
SPF:使ってるメールサーバーをDNSレコードで公表してなりすましを防ぐ
DKIM:メール送受信サーバ間の公開鍵暗号
ロリポップのメールサーバーであれば、
v=spf1 include:_spf.lolipop.jp. ~all
とDNSレコードTXTに記述する。それだけ。
各レジストラとも設定画面で簡単設定可能。letsencryptの証明書であれば無料だが三ヶ月更新が難点、cronでの自動更新設定が実用上必須。
と思っていたが、ネットオウルスタードメイン、お名前、ロリポップともに自動更新の模様(2018年10月19日追記)。ただ、使い合わせなどはやってみないとよく分からない。少なくともうちはスタードメインで取ってロリポップに置いているドメインでは初めだけ設定して放置でうまくいっている。
具体的にはLet's EncryptのSSLサーバー証明書を、使用するサーバーとは別のマシンで作成するという記事が簡潔にまとまっているが、要は、
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --manual
であとは英文の指示に従って流れ。
しかしLolipopの場合自社登録のドメインについて公式に無料SSL対応すると同時に、ユーザー側で独自にSSLのWEB認証をする道を塞いでしまったとの情報も。実際、lftpからchmodでパーミッション変更をしてls -lでそれが確認できても、実際にアクセスすると証明書のディレクトリにアクセスできない。一方で他社レジストラからDNS認証によってhttps化することはできる。
2018年4月現在は設定せずともGmailで?マークはつかない。余裕があれば。
まあしかし実のところ、SPL設定を詳解する公的団体のサイトがhttpのままだったり、モバイルセキュリティの専門中堅業者からのメールがSPF,DKIMとも未設定だったりする現状ではあります。(2018年4月現在)