翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ドメインの操作
カスタムドメインを使用するように Amazon WorkMail を設定できます。また、ドメインを組織のデフォルトにして、AutoDiscover for Microsoft Outlook を有効にすることもできます。
**Topics**
+ [ドメインの追加](add_domain.md)
+ [ドメインの削除](remove_domain.md)
+ [デフォルトのドメインの選択](default_domain.md)
+ [ドメインの検証](domain_verification.md)
+ [AutoDiscover を有効にしてエンドポイントを設定する](autodiscover.md)
+ [ドメイン ID ポリシーの編集](editing_domains.md)
+ [SPF での E メールの認証](authenticate_domain.md)
+ [カスタムの MAIL FROM ドメインの設定](custom-mail-from-domain.md)
# ドメインの追加
Amazon WorkMail 組織にはドメインを最大 100 個追加できます。新しいドメインを追加すると、Amazon Simple Email Service (Amazon SES) 送信権限付与ポリシーがドメイン ID ポリシーに自動的に追加されます。これにより、Amazon WorkMail からお客様のドメインに対するすべての Amazon SES 送信アクションへのアクセスが可能になり、お客様のドメインに E メールをリダイレクトできるようになります。メールを外部ドメインにリダイレクトすることもできます。
**注記**
ベストプラクティスは、postmaster@ と abuse@ のエイリアスをすべてのドメインへ追加することです。組織の特定のユーザーがこれらのエイリアスに送信された E メールを受信するようにする場合は、それらのエイリアスの配布グループを作成できます。
**カスタムドメインで Amazon WorkMail 組織を設定する場合は、ドメインの DNS レコードについて次の点に注意してください。**
+ MX レコードおよび自動検出 CNAME レコードの場合は、**有効期限 (TTL)** 値を 3600 にします。MX レコードの更新やメールボックスの移行の後に TTL を短くすることで、メールサーバーによって古い MX レコードや無効な MX レコードが使用されなくなります。
+ ユーザーとディストリビューショングループを作成し、メールボックスが正常に移行されたら、MX レコードを更新して Amazon WorkMail への E メールの配信を開始する必要があります。DNS レコードの更新処理には、最大で 48 時間かかる場合があります。
+ DNS プロバイダによっては、DNS レコードの末尾にドメイン名が自動的に付加される場合があります。既にドメイン名が含まれているレコード (\$1amazonses.example.com など) を追加すると、ドメイン名が重複したレコード (\$1amazonses.example.com.example.com など) になる場合があります。レコード名でドメイン名の重複を避けるには、DNS レコードのドメイン名の末尾にピリオドを追加します。これは、DNSプロバイダに対して、レコード名が完全修飾されていることを示すもので、ドメイン名と関係なくなります。また、DNS プロバイダによってドメイン名が追加されないようにします。
+ コピーされたレコード名にはドメイン名が含まれています。使用する DNS サービスによって、ドメイン名が既にドメインの DNS レコードに追加されている場合があります。
+ DNS レコードを作成したら、Amazon WorkMail コンソールで更新アイコンを選択して検証ステータスとレコード値を表示します。ドメインの検証の詳細については、[ドメインの検証](domain_verification.md) を参照してください。
+ ドメインを `MAIL FROM` ドメインとして設定することをお勧めします。iOS デバイスの AutoDiscover を有効にするには、ドメインを `MAIL FROM` ドメインとして設定する必要があります。コンソールの **[配信性能を向上]** セクションで、`MAIL FROM` ドメインのステータスが確認できます。詳細については、「[カスタムの MAIL FROM ドメインの設定](custom-mail-from-domain.md)」を参照してください。
**ドメインを追加するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) で Amazon WorkMail コンソールを開きます。
1. 必要に応じて AWS リージョンを変更します。コンソールウィンドウの上部にあるバーで、**[リージョンを選択]** リストを開き、リージョンを選択します。詳細については、「*Amazon Web Services 全般のリファレンス*」の「[のリージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)」を参照してください。
1. ナビゲーションペインで、**[組織]** を選択し、ドメインを追加する組織の名前を選択します。
1. ナビゲーションペインで、**[ドメイン]** を選択し、**[ドメインを追加]**を選択します。
1. **[ドメインを追加]** 画面で、追加するドメイン名前を入力します。ドメイン名には、基本ラテン (ASCII) 文字のみを含めることができます。
**注記**
Amazon Route 53 パブリックホストゾーンで管理されているドメインがある場合、ドメイン名を入力するときに表示されるドロップダウンメニューからそのドメインを選択できます。
1. **[ドメインを追加]** を選択します。
ページが表示され、新しいドメインの DNS レコードが一覧表示されます。ページでは、レコードを次のセクションにグループ化します。
+ **ドメインの所有権**
+ **WorkMail の設定**
+ **セキュリティの向上**
+ **E メール配信の向上**
これらの各セクションには 1 つ以上の DNS レコードが含まれ、各レコードには **[ステータス]** 値が表示されます。次のリストに、レコードとその使用可能なステータス値を示します。
**TXT 所有権**
*検証済み* — 解決および検証済みのレコード。
*保留中* — まだ検証されていないレコード。
*失敗* – 所有権を検証できません。レコードが一致しないか、または接続できません。
**MX WorkMail の設定**
*検証済み* — 解決および検証済みのレコード。
*見つからない* — レコードを解決できません。
*不整合* — 予想されるレコードに値が一致しません。
**AutoDiscover**
*検証済み* — 解決および検証済みのレコード。
*見つからない* — レコードを解決できません。
*不整合* — 予想されるレコードに値が一致しません。
AutoDiscover 検証プロセスでは、AutoDiscover の正しい設定も確認します。このプロセスでは、各フェーズの設定が検証されます。検証が終了すると、**[ステータス]** 列の **[検証済み]** の横に緑色のチェックマークが表示されます。**[検証済み]** にカーソルを合わせると、どのフェーズがプロセスによって検証されたかを確認できます。AutoDiscover フェーズの詳細については、「[AutoDiscover を有効にしてエンドポイントを設定する](autodiscover.md)」を参照してください。
DKIM CNAME
*検証済み* — 解決および検証済みのレコード。
*保留中* — まだ検証されていないレコード。
*失敗* – 所有権を検証できません。レコードが一致しないか、または接続できません。
詳細については、*Amazon Simple Email Service デベロッパーガイド*の [Amazon SES における DKIM での E メールの認証](https://docs.aws.amazon.com/ses/latest/dg/send-email-authentication-dkim.html)を参照してください。
SPF TXT
*検証済み* — 解決および検証済みのレコード。
*見つからない* — レコードを解決できません。
*不整合* — 予想されるレコードに値が一致しません。
SPF 検証の詳細については、「[SPF での E メールの認証](authenticate_domain.md)」を参照してください。
DMARC TXT
*検証済み* — 解決および検証済みのレコード。
*見つからない* — レコードを解決できません。
*不整合* — 予想されるレコードに値が一致しません
Amazon WorkMail での DMARC レコードの詳細については、*Amazon Simple Email Service デベロッパーガイド*の [Amazon SES での DMARC への準拠](https://docs.aws.amazon.com/ses/latest/dg/send-email-authentication-dmarc.html)を参照してください。
ドメインからの TXT メール
*検証済み* — 解決および検証済みのレコード。
*保留中* — まだ検証されていないレコード。
*失敗* – 所有権を検証できません。レコードが一致しないか、または接続できません。
ドメインからの MX メール
*検証済み* — 解決および検証済みのレコード。
見つからない — レコードを解決できません。
*不整合* — 予想されるレコードに値が一致しません。
1. 次のステップでは、使用する DNS プロバイダに基づいて適切なアクションを選択します。
****Route 53 ドメインを使用する場合****
+ ページの上部で、**[Route 53 のすべてを更新]** を選択します。
****別の DNS プロバイダを使用する場合****
+ レコードをコピーし、DNS プロバイダに貼り付けます。レコードを一括でコピーすることも、一度に 1 つずつコピーすることもできます。レコードを一括してコピーするには、**[すべてコピー]** を選択します。これにより、DNS プロバイダにインポートできるファイルゾーンが作成されます。レコードを一度に 1 つずつコピーするには、レコード名の横にある重なり合う四角形を選択し、それぞれを DNS プロバイダに貼り付けます。
1. 各レコードの **[ステータス]** を更新するには、更新アイコンを選択します。これにより、ドメインの所有権と Amazon WorkMail を使用したドメインの適切な設定が検証されます。
# ドメインの削除
ドメインは不要になったら削除できます。ただし、まずドメインをメールアドレスとして使用している個人またはグループを削除する必要があります。
**ドメインを削除するには**
1. Amazon WorkMail コンソール ([https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)) を開きます。
必要に応じて AWS リージョンを変更します。コンソールウィンドウの上部にあるバーで、**[リージョンを選択]** リストを開き、リージョンを選択します。詳細については、「*Amazon Web Services 全般のリファレンス*」の「[リージョン名とエンドポイント](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)」を参照してください。
1. ナビゲーションペインで **[組織]** を選択し、組織の名前を選択します。
1. ドメインのリストで、ドメイン名の横にあるチェックボックスをオンにし、**[Remove]** (削除) を選択します。
1. **[Remove domain]** (ドメインの削除) ダイアログボックスで、削除するドメインの名前を入力し、**[Remove]** (削除) を選択します。
# デフォルトのドメインの選択
組織に関連付けられたドメインを、その組織内のユーザーおよびグループのデフォルトにすることができます。ドメインをデフォルトにしても、既存の E メールアドレスは変更されません。
**ドメインをデフォルトにするには**
1. Amazon WorkMail コンソール ([https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)) を開きます。
必要に応じて AWS リージョンを変更します。コンソールウィンドウの上部にあるバーで、**[リージョンを選択]** リストを開き、リージョンを選択します。詳細については、「*Amazon Web Services 全般のリファレンス*」の「[リージョン名とエンドポイント](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)」を参照してください。
1. ナビゲーションペインで **[組織]** を選択し、組織の名前を選択します。
1. ドメインのリストで、使用するドメイン名の横にあるチェックボックスをオンにし、**[Set as default]** (デフォルトに設定) を選択します。
# ドメインの検証
Amazon WorkMail コンソールでドメインを追加した後、ドメインを検証する必要があります。ドメインの検証により、ドメインを所有していること、およびそのドメインの E メールサービスとして Amazon WorkMail を使用していることが確認されます。
TXT レコードと MX レコードを DNS サービスに追加することによりドメインを検証します。TXT レコードを使用すると、DNS サービスにメモを追加できます。MX レコードは、受信メールサーバーを指定します。
Amazon SES コンソールを使用して TXT レコードと MX レコードを作成し、Amazon WorkMail コンソールを使用して DNS サービスにレコードを追加します。以下の手順に従ってください。
**TXT レコードと MX レコードを作成するには**
1. Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインで、**[ドメイン]** を選択し、**[新しいドメインを検証]** をクリックします。
**[新しいドメインを検証]ダイアログボックスが表示されます。**
1. **[ドメイン] ** ボックスで、[ドメインの追加](add_domain.md) セクションで作成したドメインの名前を入力します。
1. (オプション) DomainKeys Identified Mail (DKIM) を使用する場合は、**[DKIM 設定を生成]** チェックボックスをオンにします。
1. **[このドメインを検証]** を選択します。
コンソールに TXT レコードと MX レコードのリストが表示されます。
1. TXT リストの下にある [レコードセットを CSV としてダウンロードする) リンクをクリックします。
**[名前を付けて保存]** ダイアログボックスが表示されます。ダウンロードする場所を選択し、**[保存]** をクリックします。
1. ダウンロードした CSV ファイルを開き、すべての内容をコピーします。
TXT レコードと MX レコードを作成したら、それらを DNS プロバイダに追加します。次のステップでは、Route 53 を使用します。別の DNS プロバイダを使用していて、レコードの追加方法がわからない場合は、プロバイダのドキュメントを参照してください。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. ナビゲーションペインで [**Hosted Zones**] を選択します。次に、検証するドメインの横にあるラジオボタンを選択します。
1. ドメインの DNS レコードのリストから、**[ゾーンファイルをインポート]** を選択します。
1. **[ゾーンファイル]** で、コピーしたレコードをテキストボックスに貼り付けます。テキストボックスの下にファイルのリストが表示されます。
1. リストの末尾までスクロールし、**[インポート]** をクリックします。
**注記**
検証プロセスが完了するまで最大 72 時間かかることをご了承ください。
## DNS サービスでの TXT レコードと MX レコードの検証
ドメインを所有していることを検証する TXT レコードが、DNS サービスに正常に追加されたことを確認します。この手順では、Windows および Linux で使用できる [nslookup](http://en.wikipedia.org/wiki/Nslookup) ツールを使用します。Linux では、[dig](http://en.wikipedia.org/wiki/Dig_(command)) を使用することもできます。
`nslookup` ツールを使用するには、最初にドメインにサービスを提供する DNS サーバーを見つける必要があります。その後、これらのサーバーに対して、TXT レコードを表示するためのクエリを実行します。ドメインの DNS サーバーに対してクエリを実行できるのは、これらのサーバーにドメインの最新情報が格納されているためです。この情報が他の DNS サーバーに伝達されるまでに時間がかかることがあります。
### nslookup を使用して DNS サービスに TXT レコードが追加されていることを確認する
1. ドメインのネームサーバーを検索します。
1. コマンドプロント (Windows) またはターミナル (Linux) を開きます。
1. 次のコマンドを実行して、ドメインにサービスを提供しているすべてのネームサーバーを一覧表示します。*example.com*をドメインに置き換えます。
```
1. nslookup -type=NS example.com
```
次のステップで、これらのサーバーのいずれかをクエリします。
1. Amazon WorkMail TXT レコードが正しく追加されていることを確認します。
1. 次のコマンドを実行し、自分のドメインを *example.com* に置き換え、*ns1.name-server.net* をステップ 1。のネームサーバーに置き換えます。
```
1. nslookup -type=TXT _amazonses.example.com ns1.name-server.net
```
1. **nslookup** からの出力に表示される `"text ="` 文字列を確認します。この文字列が、Amazon WorkMail コンソールの**検証済みの送信者**リストのドメインの TXT 値と一致することを確認します。
次の例では、\$1amazonses.example.com で値が `fmxqxT/icOYx4aA/bEUrDPMeax9/s3frblS+niixmqk=` の TXT レコードを見つけます。レコードが正しく更新されている場合、コマンドの出力は以下のようになります。
```
1. _amazonses.example.com text = "fmxqxT/icOYx4aA/bEUrDPMeax9/s3frblS+niixmqk="
```
### dig を使用して DNS サービスに TXT レコードが追加されていることを確認する
1. ターミナルセッションを開きます。
1. 次のコマンドを実行して、ドメインの TXT レコードを一覧表示します。*example.com*をドメインに置き換えます。
```
1. dig +short example.com txt
```
1. コマンド出力の `TXT` に続く文字列が、Amazon WorkMail コンソールの **[Verified Senders]** (検証済み送信者) リストでドメインを選択すると表示される TXT 値と一致することを確認します。
### nslookup を使用して DNS サービスに MX レコードが追加されていることを確認するには
1. ドメインのネームサーバーを見つけます。
1. コマンドプロントを開きます。
1. 次のコマンドを実行して、ドメインのすべてのネームサーバーを一覧表示します。
```
1. nslookup -type=NS example.com
```
次のステップで、これらのサーバーのいずれかをクエリします。
1. MX レコードが正しく追加されていることを確認します。
1. 次のコマンドを実行し、自分のドメインを *example.com* に置き換え、*ns1.name-server.net* を前のステップで特定したいずれかのネームサーバーに置き換えます。
```
1. nslookup -type=MX example.com ns1.name-server.net
```
1. コマンドの出力で、`mail exchange = ` に続く文字列が以下のいずれかの値と一致することを確認します。
**米国東部 (バージニア北部) リージョン** – `10 inbound-smtp.us-east-1.amazonaws.com`
**米国西部 (オレゴン) リージョン** – `10 inbound-smtp.us-west-2.amazonaws.com`
**欧州 (アイルランド) リージョン** – `10 inbound-smtp.eu-west-1.amazonaws.com`
**注記**
`10` は MX preference 番号または優先順位を表します。
### dig を使用して DNS サービスに MX レコードが追加されていることを確認する
1. ターミナルセッションを開きます。
1. 次のコマンドを実行してドメインの MX レコードを一覧表示します。
```
1. dig +short example.com mx
```
1. `MX` に続く文字列が、以下のいずれかの値と一致することを確認します。
**米国東部 (バージニア北部) リージョン** – `10 inbound-smtp.us-east-1.amazonaws.com`
**米国西部 (オレゴン) リージョン** – `10 inbound-smtp.us-west-2.amazonaws.com`
**欧州 (アイルランド) リージョン** – `10 inbound-smtp.eu-west-1.amazonaws.com`
**注記**
`10` は MX preference 番号または優先順位を表します。
## ドメイン検証のトラブルシューティング
ドメインの検証に関する一般的な問題のトラブルシューティングについては、次の提案を参照してください。
TXT レコード名でのアンダースコアの使用が DNS サービスによって許可されていない
`_amazonses` を TXT レコード名から削除します。
同じドメインを複数回検証しようするが、同じ名前の TXT レコードを複数持つことができない
DNS サービスにより同じ名前を持つ複数の TXT レコードを持つことが許可されない場合は、以下のいずれかの対処法を使用します。
+ (推奨) TXT レコードに複数の値を割り当てます (DNS サービスによって許可される場合)。例えば、DNS が Amazon Route 53 によって管理されている場合、次のように、同じ TXT レコードに対して複数の値を設定できます。
1. Route 53 コンソールで、最初のリージョンのドメインを検証したときに追加した `_amazonses` TXT レコードを選択します。
1. **[Value]** (値) で、最初の値の後にカーソルを置き、**[Enter]** キーを押します。
1. 追加のリージョンの値を追加し、レコードセットを保存します。
+ ドメインを 2 回だけ検証する必要がある場合は、その名前の `_amazonses` で TXT レコードを作成することで、ドメインを 1 回検証できます。その後、そのレコード名の `_amazonses` を使用せずに別のレコードを作成します。
Amazon WorkMail コンソールが、ドメインの検証が失敗したことを報告する
Amazon WorkMail は DNS サービスに必要な TXT レコードを見つけられません。[DNS サービスでの TXT レコードと MX レコードの検証](#domain-verification-check-dns) の手順に従って必要な TXT レコードが適切に DNS サービスに追加されていることを確認します。
DNS プロバイダが TXT レコードの末尾にドメイン名を追加した
既にドメイン名が含まれている TXT レコード (\$1amazonses.example.com など) を追加すると、ドメイン名が重複したレコード (\$1amazonses.example.com.example.com など) になる場合があります。ドメイン名の重複を避けるには、TXT レコードのドメイン名の末尾にピリオドを追加します。これにより、レコード名が完全修飾され、このドメイン名は TXT レコードに含まれていることが DNS プロバイダに示されます。
Amazon WorkMail が MX レコードが**矛盾している**と報告する
既存のメールサーバーから移行するときに、MX レコードが**不整合** のステータスを返す可能性があります。移行前のメールサーバーではなく Amazon WorkMail を参照するように MX レコードを更新します。サードパーティーの E メールプロキシが Amazon WorkMail と共に使用される場合、MX レコードも**不整合**として返されます。この場合、**不整合**警告を無視しても安全です。
# AutoDiscover を有効にしてエンドポイントを設定する
AutoDiscover を使用すると、E メールアドレスとパスワードのみを使用して Microsoft Outlook とモバイルクライアントを設定できます。このサービスでは Amazon WorkMail への接続が維持され、エンドポイントまたは設定が変更されるたびにローカル設定が更新されます。さらに、AutoDiscover により、クライアントで Offline Address Book、Out-of-Office Assistant などの追加の Amazon WorkMail 機能や、カレンダーの空き時間情報の表示機能を使用できます。
クライアントは、以下の AutoDiscover フェーズを実行して、サーバーのエンドポイント URL を検出します。
+ **フェーズ 1** – クライアントはローカルアクティブディレクトリに対してセキュアコピープロトコル (SCP) ルックアップを実行します。クライアントがドメインに参加していない場合、AutoDiscover はこのステップをスキップします。
+ **フェーズ 2** – クライアントは以下の URL にリクエストを送信し、結果を検証します。これらのエンドポイントは HTTPS でのみ使用できます。
+ https://*company.tld*/autodiscover/autodiscover.xml
+ https://autodiscover.*company.tld*/autodiscover/autodiscover.xml
+ **フェーズ **3 – クライアントは autodiscover.company.tld に対して DNS ルックアップを実行し、得られたエンドポイントに対する非認証 GET リクエストをユーザーの E メールアドレスから送信します。サーバーが 302 リダイレクトを返すと、クライアントは返された HTTPS エンドポイントに AutoDiscover リクエストを再送信します。
これらのフェーズがすべて失敗した場合、クライアントは自動的に設定されません。モバイルデバイスの手動設定については、[デバイスを手動で接続する](https://docs.aws.amazon.com/workmail/latest/userguide/manually_connect_device.html)を参照してください。
Amazon WorkMail にドメインを追加すると、AutoDiscover DNS レコードを追加するように求められます。追加すると、クライアントは AutoDiscover プロセスのフェーズ 3 を実行できるようになります。ただし、これらのステップは、Android の E メールアプリケーションなど、一部のモバイルデバイスでは機能しません。その結果、AutoDiscover フェーズ 2 を手動で設定する必要がある場合があります。
ドメインの AutoDiscover フェーズ 2 を設定するには、次の方法を使用します。
## (推奨) Route 53 と Amazon CloudFront を使用する
**注記**
以下のステップでは、https://autodiscover.*company.tld*/autodiscover/autodiscover.xml のプロキシを作成する方法を示しています。https://*company.tld*/autodiscover/autodiscover.xml のプロキシを作成するには、`autodiscover.` プレフィックスを以下の手順でドメインから削除します。
CloudFront と Route 53 を使用すると、料金が発生する可能性があります。料金の詳細については、[Amazon CloudFront の料金](https://aws.amazon.com/cloudfront/pricing/)および [Amazon Route 53 の料金](https://aws.amazon.com/route53/pricing/)を参照してください。
**Route 53 と CloudFront を使用して AutoDiscover フェーズ 2 を有効にするには**
1. autodiscover.*company.tld* の SSL 証明書を取得し、 AWS Identity and Access Management (IAM) または にアップロードします AWS Certificate Manager。詳細については、*IAM ユーザーガイド*の[サーバー証明書の使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)または *AWS Certificate Manager ユーザーガイド*の[使用開始](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)を参照してください 。
1. 新しい CloudFront ディストリビューションを作成する
1. [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home) で CloudFront コンソールを開きます。
1. ナビゲーションペインで、**[ディストリビューション]** を選択します。
1. **[ディストリビューションを作成]** を選択します。
1. **[ウェブ]** で **[使用を開始]** を選択します。
1. **[元の設定]** で、以下の値を入力します。
+ **[元のドメイン名]** – リージョンの適切なドメイン名
+ 米国東部 (バージニア北部) - **autodiscover-service.mail.us-east-1.awsapps.com**
+ 米国西部 (オレゴン) - **autodiscover-service.mail.us-west-2.awsapps.com**
+ 欧州 (アイルランド) – **autodiscover-service.mail.eu-west-1.awsapps.com**
+ **元のプロトコルポリシー** — 目的のポリシー: **Match Viewer**
**注記**
**オリジンのパス** は空白にしてください。**[オリジン ID]** の自動入力値を変更しないでください。
1. **[デフォルトのキャッシュ動作設定]** で、リスト化されている設定の以下の値を選択します。
+ **ビューワープロトコルポリシー**: HTTPS Only (HTTPS のみ)
+ **許可される HTTP メソッド**: GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE
+ **選択されたリクエストヘッダーに基づいたキャッシュ**: すべて
+ **Cookie の転送**: すべて
+ **クエリ文字列の転送とキャッシュ**: なし (キャッシングが向上))
+ **スムーズストリーミング**: なし
+ **閲覧者のアクセスを制限**: なし
1. **[ディストリビューション設定]** で、以下の値を選択します。
+ **料金クラス**: 米国、カナダ、ヨーロッパのみを使用
+ **[代替ドメイン名 (CNAME)]** で、*company.tld* がドメイン名の場合は、**autodiscover.*company.tld*** または ***company.tld*** を入力してください。
+ **SSL 証明書**: 独自 SSL 証明書 (IAM に保存)
+ **カスタム SSL クライアントのサポート**: **[すべてのクライアント]** または **[Server Name Indication (SNI) をサポートするクライアントのみ]** を選択します。古いバージョンの Android は、後者のオプションでは動作しない可能性があります。
**注記**
**[すべてのクライアント]** を選択する場合は、**[デフォルトのルートオブジェクト]** を空欄のままにします。
+ **[ログ記録]**: **[オン]** または **[オフ]** を選択します。**[オン]** にするとログ記録が有効になります。
+ **[コメント]** に、**AutoDiscover type2 for autodiscover.*company.tld*** と入力します。
+ **[ディストリビューションの状態]** で、**[有効]** を選択します。
1. **[ディストリビューションを作成]** を選択します。
1. Route 53 コンソールで、使用するドメイン名宛のインターネットトラフィックを CloudFront ディストリビューションにルーティングするレコードを作成します。
**注記**
これらのステップは、example.com の DNS レコードが Route 53 でホストされていることを前提としています。Route 53 を使用しない場合は、DNS プロバイダのマネジメントコンソールの手順に従ってください。
1. コンソールのナビゲーションペインで、**[Hosted Zones]** (ホストゾーン) を選択し、ドメインを選択します。
1. ドメインのリストで、使用するドメイン名を選択します。
1. **[Records]** (レコード) で、**[Create record]** (レコードの作成) を選択します。
1. **[Quick create record]** (レコードのクイック作成) で、以下のパラメータを設定します。
+ **[Record Name]** (レコード名) で、レコードの名前を入力します。
+ **[Routing policy]** (ルーティングポリシー) で、**[Simple routing]** (シンプルルーティング) を選択します。
+ **[Alias]** (エイリアス) スライダーを選択して、オンにします。オン状態にすると、スライダーが青に変わります。
+ **[Record type]** (レコードタイプ) リストで、**[A - Routes traffic to an IPv4 address and some AWS resources]** (A – IPv4 アドレスと一部の AWS リソースにトラフィックをルーティングします) を選択します。
+ **[Route traffic to]** (トラフィックのルーティング先) で、**[Alias to CloudFront distribution]** (CloudFront ディストリビューションへのエイリアス) を選択します。
+ 検索ボックスが **[Route traffic to]** (トラフィックのルーティング先) リストの下に表示されます。CloudFront ディストリビューションの名前をテキストボックスに入力します。検索ボックスを選択すると表示されるリストからディストリビューションを選択することもできます。
1. **[Create record]** (レコードを作成) を選択します。
## Apache ウェブサーバーの使用
以下のステップでは、Apache ウェブサーバーを使用して https://autodiscover.*company.tld*/autodiscover/autodiscover.xml のプロキシを作成する方法を示しています。https://*company.tld*/autodiscover/autodiscover.xml のプロキシを作成するには、「autodiscover」 プレフィックスを次のステップでドメインから削除します。
**Apache ウェブサーバーで AutoDiscover フェーズ 2 を有効にするには**
1. SSL 対応の Apache サーバーで以下のディレクティブを実行します。
```
SSLProxyEngine on ProxyPass /autodiscover/autodiscover.xml https://autodiscover-service.mail.REGION.awsapps.com/autodiscover/autodiscover.xml
```
1. 必要に応じて、次の Apache モジュールを有効にします。方法がわからない場合は、Apache ヘルプを参照してください。
+ `proxy`
+ `proxy_http`
+ `socache_shmcb`
+ `ssl`
AutoDiscover のテストとトラブルシューティングの詳細については、以下のセクションをご参照ください。
## AutoDiscover フェーズ 2 のトラブルシューティング
DNS プロバイダを自動検出で設定したら、AutoDiscover エンドポイント設定をテストできます。エンドポイントが正しく設定されている場合、エンドポイントは未承認のリクエストメッセージで応答します。
**基本的な未承認リクエストを作成するには**
1. ターミナルから、AutoDiscover エンドポイントに対して未承認 POST リクエストを作成します。
```
$ curl -X POST -v https://autodiscover.''company.tld''/autodiscover/autodiscover.xml
```
エンドポイントが正しく設定されている場合は、次の例に示すように、`401 unauthorized` メッセージを返します。
```
$ curl -X POST -v https://autodiscover.''company.tld''/autodiscover/autodiscover.xml
...
HTTP/1.1 401 Unauthorized
```
1. 次に、実際の AutoDiscover リクエストをテストします。以下の XML コンテンツを含む `request.xml` ファイルを作成します。
```
testuser@company.tld
http://schemas.microsoft.com/exchange/autodiscover/mobilesync/responseschema/2006
```
1. 作成した `request.xml` ファイルを使用して、エンドポイントに対して認証された AutoDiscover リクエストを実行します。忘れずに *testuser@company.tld* を有効な E メールアドレスに置き換えてください。
```
$ curl -d @request.xml -u testuser@company.tld -v https://autodiscover.company.tld/autodiscover/autodiscover.xml
```
エンドポイントが正しく設定されている場合、レスポンスは次の例のようになります。
```
$ curl -d @request.xml -u testuser@company.tld -v https://autodiscover.company.tld/autodiscover/autodiscover.xml
Enter host password for user 'testuser@company.tld':
en:us
User1
testuser@company.tld
MobileSync
https://mobile.mail.us-east-1.awsapps.com/Microsoft-Server-ActiveSync
https://mobile.mail.us-east-1.awsapps.com/Microsoft-Server-ActiveSync
```
# ドメイン ID ポリシーの編集
ドメイン識別ポリシーでは、E メールアクション (E メールのリダイレクトなど) に対するアクセス許可を指定します。例えば、Amazon WorkMail 組織内の任意の E メールアドレスに E メールをリダイレクトできます。
**注記**
2022 年 4 月 1 日より、Amazon WorkMail は、 AWS アカウントプリンシパルの代わりにサービスプリンシパルを使用して認可を開始しました。2022 年 4 月 1 日より前にドメインを追加した場合は、認可に AWS アカウントプリンシパルを使用する古いポリシーが存在する可能性があります。その場合、最新のポリシーに更新することをお勧めします。このセクションでは、方法について説明します。組織は、更新中も通常どおりメールを送信し続けます。
カスタムの Amazon SES ポリシーを使用しない場合にのみ、以下の手順に従います。カスタムの Amazon SES ポリシーを使用する場合は、自分で更新する必要があります。詳細については、このトピックで後述する「[カスタムの Amazon SES サービスプリンシパルポリシー](#custom-ses-policy)」を参照してください。
**重要**
既存のドメインを削除しないでください。そうすると、メールサービスが中断されます。既存のドメインを再入力するだけで済みます。
**ドメイン ID ポリシーを更新するには**
1. Amazon WorkMail コンソール ([https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)) を開きます。
必要に応じて、 AWS リージョンを変更します。これを行うには、検索ボックスの右側にある **[リージョンを選択]** リストを開き、目的のリージョンを選択します。リージョンの詳細については、*Amazon Web Services 全般のリファレンス*の「[リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)」を参照してください。
1. ナビゲーションペインで **[組織]** を選択し、組織の名前を選択します。
1. ナビゲーションペインで、**[ドメイン]** を選択します。
1. 再入力するドメインの名前を強調表示してコピーし、**ドメインを追加** を選択します。
[**ソースを追加**] (ソースの追加) ダイアログボックスが表示されます。
1. コピーした名前を **[ドメイン名]** ボックスに貼り付け、**[ドメインを追加]** を選択します。
1. 組織内の残りのドメインについて、手順 3~5 を繰り返します。
## カスタムの Amazon SES サービスプリンシパルポリシー
カスタムの Amazon SES ポリシーを使用する場合は、この例をドメインで使用するように変更します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AuthorizeWorkMail",
"Effect": "Allow",
"Principal": {
"Service": "workmail.REGION.amazonaws.com"
},
"Action": [
"ses:*"
],
"Resource": "arn:aws:ses:us-east-1:111122223333:identity/WORKMAIL-DOMAIN-NAME",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:workmail:us-east-1:111122223333:organization/WORKMAIL_ORGANIZATION_ID"
}
}
}
]
}
```
------
# SPF での E メールの認証
Sender Policy Framework (SPF) は、E メールのなりすましに対抗するために設計された E メールの検証標準です。*なりすまし* は、悪意のあるアクターから送信されたメールを、正当なユーザーが送信したメールのように見えるようにする行為です。Amazon WorkMail 対応ドメイン用の SPF の設定については、[Amazon SES での SPF による E メールの認証](https://docs.aws.amazon.com/ses/latest/dg/send-email-authentication-spf.html)を参照してください。
# カスタムの MAIL FROM ドメインの設定
デフォルトでは、Amazon WorkMail は、送信 E メールの `MAIL FROM` ドメインとして amazonses.com のサブドメインを使用します。ドメインの DMARC ポリシーが SPF に対してのみ設定されている場合、配信が失敗する可能性があります。これを解決するには、独自のドメインを `MAIL FROM` ドメインとして設定します。自分のドメインを `MAIL FROM` ドメインを設定する方法を知るには、*Amazon Simple Email Service デベロッパーガイド*の[カスタム MAIL FROM ドメインの設定](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from.html)を参照してください。
**重要**
iOS デバイスで AutoDiscover を有効にする場合は、カスタム MAIL FROM ドメインが必要です。
カスタム `MAIL FROM` ドメインの詳細については、「[Amazon SES でカスタム MAIL FROM ドメインをサポートするようになりました](https://aws.amazon.com/blogs/messaging-and-targeting/amazon-ses-now-supports-custom-mail-from-domains/)」を参照してください。