認証済みSMTPコネクタを使用すると、Zendesk以外のメールサーバーをZendesk Supportインスタンスに接続できます。認証済みSMTPコネクタは、自社のメールサーバーを使用することを好む、または社内のポリシー、データ規制、暗号化の必要性により外部のメールサーバーを使用できない組織向けに特化して設計されています。
認証済みかつTLSで暗号化されたSMTPを利用し、受信・送信それぞれに固有の認証情報を用いて安全な接続を確立することで、このコネクタは社内外のセキュリティ要件や規制要件を満たした形で業務を運営することを可能にします。また、メールトラフィックの流れをより詳細に把握することができます。このような柔軟性は、医療、金融サービス、政府機関など、多くの場合、厳格なセキュリティプロトコルに従う必要がある業界にとって欠かせないものです。また、スパムやその他の悪意のある行為によるメールサービスの不正利用を防ぐのにも効果的です。
双方向認証におけるメールの送信
SMTPはZendeskにとって新しい仕組みではありません。現在、ZendeskはすすべてのインバウンドおよびアウトバウンドのメールにSMTPリレーを使用しています(ただし、GmailおよびExchangeコネクタを除く)。
認証済みSMTPコネクタは、現在のメールトラフィックのSMTPプロセスと同様に機能します。ただし、ビジネスメールサーバーからZendeskへのメールの送受信を中継し、インバウンドおよびアウトバウンドリレーの一部としてセキュアな認証情報(ユーザー名とパスワード)を渡します。
このソリューションの主な利点は、Zendeskとの間で暗号化されたセキュアなリレーを保証しながら、ドメインのメールサービスを使用してカスタマーとの間でメールトラフィックを送受信できることです。
認証済みSMTPコネクタを設定すると、通常のメールワークフローでは以下のように機能します。
- エンドユーザーがサポートリクエストを送信:エンドユーザーが、サポートリクエストをドメインのサポートアドレス宛にメールで送信すると、ユーザーのメールクライアントはビジネスメールサーバーに対して標準的なSMTP接続を確立します。
- メールサーバー経由の認証:次に、ビジネスメールサーバーがZendeskのメールインフラストラクチャに対して認証済みのSMTP接続を確立し、そのワークフローを通じて認証されたサービスのみが検証されることを保証します。
- SMTP経由でZendeskへメールを送信:サービスが認証されると、ビジネスメールサーバーは暗号化されたメールをZendeskに中継します。
- SMTPコネクタ:コネクタは、受信トラフィックのセキュアな認証情報(ドメイン、ユーザー名、パスワード)を検証し、Zendeskの受信メールサーバーに渡します。
- チケットの作成:メールが受信され、Zendeskにチケットが作成されると同時に、リレーが安全であったことを示すタグがチケットに自動的に追加されます。
- チケットの通知:通知は、指定された認証済みSMTP対応ドメインを通じて、指定された受信者に送信されます。
注意事項
- Microsoftクラウドベースのサービスを使用する場合、双方向メールリレー用のSMTPコネクタはサポートされません。ただし、アウトバウンド専用の認証済みメールリレーと、Zendeskへのインバウンドメールトラフィックの標準の自動転送にはSMTPコネクタを使用できます。
- CCとフォロワーがアカウントで有効にされている必要があります。
- コネクタの機能は双方向の認証済みリレーに依存しているため、本番環境で使用する前に、Zendeskサンドボックス環境でテストすることをお勧めします。このテスト期間は、ドメイン管理者、ITチーム、またはメールプロバイダーが、2つのリソース間のワークフローや関係を十分に理解できるように設けられています。
- サンドボックスと本番アカウントに同じサポートアドレスを追加しないでください。Zendeskおよびメールサーバーの動作に一貫性がなくなる可能性があります。サンドボックス環境でテストを行ったら、本番アカウントに追加する前に、テストで使用したドメインとサポートアドレスをすべて削除してください。
- メールは同じドメインから送受信する必要があります。1つのドメインで認証済みメールを受信し、別のドメインで認証済みメールを送信することは許可されていません。
- 認証済みSMTPコネクタでは、Zendeskシステムのサポートアドレス(例:support@yoursubdomain.zendesk.com)に代わってメールを送信することはできません。
- 初期セットアップ中は、アカウントまたはブランドの既存のサポートアドレスから送信されたメールは中断されず、正常に機能し続けます。
- 認証済みSMTPコネクタからの送信に使用するサポートアドレスを追加し、アドレスが確認されると、Zendeskは認証済みドメインからメールの送信を開始します。
- 1つのSMTPドメインを介したアウトバウンド送信を行うために、Zendeskに最大50個のサポートアドレスを追加することができます。ドメインは4つまで追加できるため、メールアドレスは合計200個まで追加できますが、各ドメインに追加できるサポートアドレスは50個までです。
- このトラフィックに対してグレイリスティングを適用することは推奨されません(特に確認メールの場合)。これらのメールは転送プロセスを完了させ、トラフィックが正常にリレーされていることを確認する役割を持っています。
- 信頼性の高い接続を保証するために、Zendesk IPをネットワーク許可リストに追加する必要があります。
- コネクタを切断し、Zendeskにトラフィックを転送し続けた場合、チケットの作成や更新が行われますが、これらの更新は認証されません。
メールヘッダーに関する重要な情報
メールヘッダー(To、From、CC、Reply-Toなど)には、メールメッセージに関する重要なデータやメタデータが含まれています。
管理者がメールヘッダーを変更したい理由はいくつかあります。とはいえ、注意すべき重要な点として、一部のヘッダーフィールドはメッセージの正しい配信と完全性を保証するために不可欠であり、決して変更してはなりません。アウトバウンド送信前に、アカウントのメールドメインの標準ヘッダーを変更することはできません。ヘッダーの変更によって生じた問題は、外部ドメインで調査して修正する必要があります。
アウトバウンドリレープロセスの間は、以下のヘッダーは変更してはなりません。
Auto-Submitted: auto-generated
X-Auto-Response-Suppress: All
X-Mailer: Zendesk Mailer
X-Zendesk-From-Account-Id: ******
X-Zendesk-Email-Id: ************************メールのヘッダーフィールドを変更しても、Zendeskの動作が変わるわけではありません。アウトバウンドメッセージの送信方法と応答の受け取り方が変わるだけです。メールとその後のチケットにおけるリクエスタ、エージェント、CCの関係は変更されるべきではありません。
双方向認証メールリレーのコネクタの設定
これらの設定手順をドメイン管理者やITチームと共有してください。これには、認証情報の取得と提供が含まれており、それらを安全に転送してビジネスメールサーバーおよびZendeskアカウントに追加する必要があります。
認証済みドメインをZendeskに追加する
まず最初に、ビジネスメールサーバーを介したすべてのインバウンドおよびアウトバウンドトラフィックを認証させるドメインを追加します。ドメインを現在使用している既存のサポートアドレスがないため、コネクタは、ドメインを設定した後にサポートアドレスを追加する必要があります。すべての受信トラフィックは、認証済みコネクションを介して着信する必要があります。
このステップの最後に、Zendeskから提供された認証情報をドメイン管理者やITチームと共有し、そのメンバーがビジネスメールサーバーを適切に設定できるようにします。
認証済みドメインをZendeskに追加するには
- 管理センターで、サイドバーの「
チャネル」をクリックし、「Talkとメール」>「メール」を選択します。 - 「認証済みSMTPコネクタ」のセクションで、「ドメインを追加」をクリックします。
「ドメインを追加」ページが表示されます。
- コネクションの名前を追加します。名前は、特定の用途に合わせたものか、接続するドメインに直接関係するものに設定できます。
- 「ドメイン」フィールドに、Zendeskに対して着信メールの受け入れを許可する受信側のドメインを入力します。
- 「認証プロトコル」フィールドの値は、デフォルト値のPLAINのままにしておきます。
- 「保存」をクリックします。
インバウンド認証情報が記載された「新しいドメイン認証情報」ページが表示されます。
- 認証情報を安全な場所または文書にコピーし、ドメイン管理者またはITチームに提供します。これらの認証情報によってセキュアな接続が実現されるため、保護された守秘情報として扱う必要があります。認証情報は一度しか表示されません。
- (オプション)ユーザー名にメールアドレスを必要とするメールサービスの場合は、yoursubdomain@yoursubdomain.zendesk.comを使用します(yoursubdomainはZendeskのサブドメインに置き換える)。また、このアドレスとまったく同じメールアドレス(yoursubdomain@yoursubdomain.zendesk.com)をアカウントに作成しておくと、メールプロバイダーがこのアドレスにメールを送信した場合に、Zendeskアカウントで受信できるようになります。重要:これらの認証情報は、Zendesk管理者に一度だけ表示されます。認証情報を紛失した場合は、最初からやり直すか、認証情報を新しいものに更新する必要があります。Zendeskが認証情報を代わりに取得することはできません。
- 「完了」をクリックします。
コネクションが「認証済みSMTPコネクタ」リストに表示されます。
コネクション名の横に「設定を完了するには、サポートアドレスを1つ以上追加してください」というメッセージが表示されます。コネクションの設定を終了するには、「メールのアウトバウンド送信に使用するサポートアドレスを追加する」に進みます。
メールのアウトバウンド送信に使用するサポートアドレスを追加する
コネクションの設定を完了するには、アウトバウンド用のサポートアドレスを追加する必要があります。つまり、ドメインのユーザー名とパスワードを含めて、SMTPサーバーの設定をZendesk上で行うことになります。
認証済みSMTPコネクタはインバウンド接続とアウトバウンド接続を必要とするため、このステップは非常に重要です。
このステップを始める前に、以下の事項に留意してください。
- ドメイン管理者、ITチーム、またはサービスプロバイダーから、ドメイン関連の保護された認証情報(ホスト、ユーザー名、パスワード)を入手する必要があります。
- メールサービスで目的のサポートアドレスを作成する際には、上記の認証情報を使用する必要があります。Zendeskがやりとするサポートアドレスを事前に用意する必要があります。エイリアスとディストリビューショングループはサポートされていません。
- 個々のトラフィックを正確に追跡できるよう、アドレスやブランドごとに固有の認証情報を追加することをお勧めします。これによって管理する作業と認証情報の数は増えることになりますが、認証情報を定期的に更新する場合や、認証情報の漏洩の可能性のあるセキュリティ問題を修復する際に役立ちます。
- メールサービスでのアウトバウンドトラフィックの署名にDKIM署名が使われていることを確認してください。
- APIを使用してこの機能のサポートアドレスを追加することはできません。
アウトバウンド送信に使用するサポートアドレスを追加するには
- 管理センターで、サイドバーの「 チャネル」をクリックし、「Talkとメール」>「メール」を選択します。
- 「サポートアドレス」で、サポートアドレスを追加するブランドに移動します。
- 「アドレスを追加」>「外部アドレスに接続」をクリックします。
- 「SMTPドメインを選択」を選択します。
- 追加するアドレスに関連するドメインを選択し、接続するサポートアドレスを入力します。「次へ」をクリックします。
- ドメイン管理者またはITチームから提供されたドメイン認証情報を追加します。これらの認証情報は、最大限の安全対策を講じて取り扱う必要があります。
- 「保存」をクリックします。
設定を完了すると、コネクション名の横の「設定を完了するには、サポートアドレスを1つ以上追加してください」というメッセージは表示されなくなります。
新しいサポートアドレスがリストに表示され、警告インジケーターによって、インバウンドおよびアウトバウンドのSMTPの確認に失敗したことが通知されます。
次のステップは、接続の確認です。このプロセスが完了すると、エラーメッセージは消えます。
接続を確認する
アウトバウンド用サポートアドレスの追加に成功したら、インバウンドおよびアウトバウンドの両方のSMTP設定を確認する必要があります。これにより、接続が正常に完了したことを確認する確認メールが2通送信されます。これらの確認メールを受信し、認証済みリレーを経由してZendeskに正常に転送する必要があります。
接続を確認するには
- メッセージの全文を表示するには、警告メッセージ「インバウンドSMTP検証チェックが失敗しました」の横にある「詳細を参照」をクリックします。
- 「インバウンドSMTPの設定の検証」をクリックします。
メッセージが「インバウンドSMTPの検証を待機中です」に変わります。
- アウトバンドの設定についてステップ1と2を繰り返します。
接続の検証に成功すると、緑色のチェックマークが表示されます。
警告が表示された場合は、接続が確立されていない可能性が高く、アウトバウンドトラフィックがデフォルトのサポートアドレスから送信されていることが考えられます。「検証」ボタンを再度クリックするか、ドメイン管理者と協力して転送プロセスが正しく完了するようにする必要があるかもしれません。
DKIM署名によるメールのアウトバウンドトラフィックの署名
DKIMを使用したメールのデジタル署名」で説明されているとおり、Zendesk SupportではDKIM認証がサポートされています。DKIMは、メールがそのドメインから送信されたことを認証する方法です。これは、送信メールにデジタル署名を付加することで実現されます。この署名は、ドメインのDNSレコードに公開されている暗号鍵と照合することで検証できます。
認証済みSMTPコネクタを使用した場合、Zendeskは、ヘッダー内にあるZendeskのd=zendesk.comDKIMタグをアウトバンドトラフィックの署名に使用しません。必要なCNAMEレコードをドメインに追加した後、Zendeskでデジタル署名を有効にしていた場合は、お客様に代わってZendeskがアウトバウンドトラフィックに署名し、d=yourdomain.comDKIMタグをアウトバンドヘッダーに追加します。
ドメインはDKIM署名で再署名することができます。これを行わない場合は、本番用のアウトバウンドトラフィックを送信する前に、Zendeskがお客様のドメイン用に追加した署名を誤って上書きしていないかテストしてください。
Zendeskからあなたのメールサービスに(この接続を通じて)アウトバウンドトラフィックをリレーする際、あなたのドメインではSPF権限を無視する必要がある場合があります。これは、Zendeskとあなたのメールサービス間に「信頼できる送信者」のリレーションシップを構築し、最終的な権威あるアウトバウンド送信(SPFおよび/またはDKIMによる)を、あなたのメールサービスが行うことになるためです。
Zendeskでは、SPF/DKIM/DMARCのチェックがすべてパスしていることを検証するために、テストエンドユーザーを使ったサンドボックス環境でテストを実行することを強く推奨しています。
認証情報のローテーションまたは変更
ローテーションにより、一時的に2組の認証情報を存在させることができます。
- 認証情報ローテーションをシームレスに行えるように、2セットのインバウンド認証情報を使用できます。Zendeskでは、2つの認証情報を永続的に使用することは推奨していません。認証情報を急遽入れ替える必要が生じた場合に、対応できることが限られてしまうからです。
- 既存の認証情報をすぐに破棄することもできます。これは、セキュリティ上の懸念が生じ、チームが以前の認証情報によるすべての認証をブロックしたい場合に必要になるかもしれない。
- Zendesk管理者のメールアドレスをアカウントに関連付け、Zendeskのデフォルトのネイティブサポートアドレスからのトラフィックをブロックしないことが重要です。これらのアドレスから、Zendeskはセキュリティや役に立つ情報、確認のメールなどを送信します。そのため、主要な利害関係者がそれらのメールを受け取れるようにすることが重要です。
コネクタの接続解除
コネクタの使用を停止する場合は、トラフィックの少ない時間帯に行うようにしてください。このプロセスには数分かかるため、その間にリレーを試みたトラフィックを再送する必要がある場合は、ドメイン管理者と調整する必要があるかもしれません。
接続されたサポートアドレスが多い場合、より迅速な結果を得るために、APIのサポートアドレスエンドポイントを活用することをお勧めします。1回の操作で削除できるアドレスは1つだけですが、SMTP接続されたアドレスIDのリストを取得すれば、APIコールを迅速に実行できます。認証済みSMTPコネクタのサポートアドレスは、APIを使って追加することはできません。必要な接続を作成するには、管理センターで認証情報を追加する必要があります。