SPF、DKIM、DMARCは、メール送信者が主張するドメインからのメールであることを確認し、メール送信者を認証するのに役立ちます。これら3つの認証方法は、迷惑メールやフィッシング攻撃など、メールセキュリティのリスクを防ぐために重要です。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
DMARC、DKIM、SPFは、メール 認証 の3つの方法です。これらを組み合わせることで、スパムメール送信者、 フィッシャー 、およびその他の不正な当事者が、所有していないドメイン * の代わりに のメールを送信することを防ぐことができます。
DKIMとSPFは、オフィスの壁に貼られた営業許可証や医師の診断書に例えることができ、正当性を証明するのに役立つ。
一方、DMARCは、DKIMやSPFが失敗したときにメールサーバーに何をすべきかを指示します。それは、失敗したメールを" spam 、" とにかくメールを配信するか、メールを完全に削除するかのいずれかです。
SPF、DKIM、DMARCを正しく設定していないドメインは、メールがスパムとして隔離されたり、受信者に届かなかったりすることがあります。また、スパマーになりすまされる危険もある。
*ドメインとは、大雑把に言うと、"example.com" のようなウェブサイトのアドレスのことです。ドメインは電子メールアドレスの後半を形成します。例えば、alice@example.com。
Sender Policy Framework (SPF) は、ドメインがメールを送信するすべてのサーバーをリストアップする方法です。一般に公開されている社員名簿のようなもので、ある組織に所属している社員かどうかを確認するのに役立つと考えればよいでしょう。
SPFレコード は、社員名簿が組織の全社員名をリストアップするように、ドメインからのメール送信を許可されている全サーバーのIPアドレス をリストアップします。電子メールを受信したメールサーバーは、受信者の受信箱に渡す前にSPFレコードと照合することができます。
" DomainKeys Identified Mail (DKIM) は、小切手の署名が誰が書いたかを確認するのに役立つように、ドメイン所有者が自分のドメインからのメールに自動的に"の署名をすることを可能にします。DKIM"署名" は、電子メールがドメインから来たことを数学的に検証するために暗号を使用するデジタル署名です。
具体的には、DKIMは 公開鍵暗号方式を使用しています 。
DMARC(Domain-based Message Authentication Reporting and Conformance)は、受信側のメールサーバーがSPFとDKIMをチェックした結果、どのような処理を行うかを指示するものです。ドメインのDMARCポリシーは様々な方法で設定することができます。SPFやDKIM(またはその両方)に失敗したメールを隔離する、拒否する、配送するなどの指示をメールサーバーに出すことができます。
DMARCポリシーは、 DMARCレコード に格納されます。DMARCレコードには、これらのチェックに合格したメールと不合格になったメールについて、ドメイン管理者にレポートを送信するための指示を含めることも可能です。DMARCレポートは、管理者がDMARCポリシーをどのように調整するか(例えば、正当なメールが誤ってスパムと判定された場合にどうするか)を決定するのに必要な情報を提供します。
SPF、DKIM、DMARCのレコードは、一般に公開されている Domain Name System (DNS) に保存されています。DNSの主な用途は、WebアドレスをIPアドレスと照合することで、人間が長い英数字のアドレスを覚えなくても、コンピューターがインターネット上のコンテンツを読み込むための正しいサーバーを見つけることができるようにすることです。DNSは、ドメインに関連するさまざまな レコード を保存することもできます。これには、そのドメインの代替名 (CNAMEレコード)、IPv6アドレス (AAAAレコード)、ドメイン検索用の逆DNSレコード (PTRレコード)などがあります。
DKIM、SPF、DMARCレコードはすべて、 DNS TXTレコード として保存されます。DNSのTXTレコードは、ドメインの所有者がドメインと関連付けたいテキストを保存します。このレコードには任意のテキストを入れることができるため、様々な用途に使用することができる。DKIM、SPF、DMARCは、DNSのTXTレコードを利用したいくつかのアプリケーションのうちの3つです。
ほとんどのメールクライアントには、"Show details" または"Show original" というオプションがあり、ヘッダーを含むメールのフルバージョンを表示することができます。ヘッダー(通常はメール本文の上にある長いブロック)は、メールサーバーがSPF、DKIM、DMARCの結果を付加する場所である。
密集したヘッダーを読み解くのは大変なことです。ブラウザで閲覧しているユーザーは、"Ctrl+F" または"Command+F" をクリックし、"spf," " dkim," または"dmarc" と入力すると、これらの結果を見つけることができます。
該当する文章は、次のようになります。
arc=pass (i=1 spf=pass spfdomain=example.com dkim=pass
dkdomain=example.com dmarc=pass fromdomain=example.com) とする。
上記の文章中に"pass" という文字があるのは、このメールが認証チェックを通過したことを表しています。"spf=passは、例えば、" 、そのメールがSPFに失敗しなかったことを意味します。それは、ドメインのSPFレコードにリストされているIPアドレスを持つ認可されたサーバーから来たものであることを意味します。
この例では、メールはSPF、DKIM、DMARCの3つすべてに合格し、メールサーバーはそれが偽者ではなく、本当にexample.comから来たものだと確認することができたのです。
これらのレコード自体は、ドメインのポリシーを実施したり、メールを認証したりするものではないことに留意することが重要です。メールサーバーは、レコードが効果を発揮するために、それらをチェックし、正しく適用する必要があります。
また、ドメインからのスパムを防ぐため、そしてドメインからの正当なメールがスパムと判定されないようにするために、ドメイン所有者自身がSPF、DKIM、DMARCレコードを適切に設定する必要があることも重要なポイントです。ウェブホスティングサービスは、必ずしもこれを自動的に行うとは限りません。メールを送信しないドメインであっても、スパマーがそのドメインからメールを送信するように装うことができないように、少なくともDMARCレコードを持つべきである。
DMARC、DKIM、SPFは、ドメインのDNS設定で設定する必要があります。管理者は、DNSプロバイダーに問い合わせるか、あるいは、ウェブホスティングプラットフォームがDNSレコードのアップロードと編集を可能にするツールを提供している場合があります。これらの記録の仕組みの詳細については、それに関する記事を参照してください。
これらのレコードを設定するプロセスは複雑で時間がかかり、厳しすぎたり緩すぎたりするポリシーはドメインにとって強い悪影響を及ぼす可能性があります。このため、クラウドフレアでは、管理者がこれらのメール認証DNSレコードを迅速かつ正確に設定できるよう、 Email Security DNS Wizard を提供しています。ウィザードは、CloudflareダッシュボードのDNSタブにあります。