DMARC、DKIM、SPFとは何ですか?

SPF、DKIM、DMARCは、メール送信者が主張するドメインからのメールであることを確認し、メール送信者を認証するのに役立ちます。これら3つの認証方法は、迷惑メールやフィッシング攻撃など、メールセキュリティのリスクを防ぐために重要です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • SPF、DKIM、DMARCの仕組みについて説明する。
  • これらの方法が、どのようにメール送信者の認証に役立っているかを説明する。
  • SPF、DKIM、DMARCで使用されるDNSレコードの種類を理解する。

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

DMARC、DKIM、SPFとは何ですか?

DMARC、DKIM、SPFは、メール 認証 の3つの方法です。これらを組み合わせることで、スパムメール送信者、 フィッシャー 、およびその他の不正な当事者が、所有していないドメイン * の代わりに のメールを送信することを防ぐことができます。

DKIMとSPFは、オフィスの壁に貼られた営業許可証や医師の診断書に例えることができ、正当性を証明するのに役立つ。

一方、DMARCは、DKIMやSPFが失敗したときにメールサーバーに何をすべきかを指示します。それは、失敗したメールを" spam 、" とにかくメールを配信するか、メールを完全に削除するかのいずれかです。

SPF、DKIM、DMARCを正しく設定していないドメインは、メールがスパムとして隔離されたり、受信者に届かなかったりすることがあります。また、スパマーになりすまされる危険もある。

*ドメインとは、大雑把に言うと、"example.com" のようなウェブサイトのアドレスのことです。ドメインは電子メールアドレスの後半を形成します。例えば、alice@example.com。

レポート
フィッシング脅威レポート2023
レポート
2023年第4四半期のDDoS脅威状況レポートを読む

SPFの仕組みは?

Sender Policy Framework (SPF) は、ドメインがメールを送信するすべてのサーバーをリストアップする方法です。一般に公開されている社員名簿のようなもので、ある組織に所属している社員かどうかを確認するのに役立つと考えればよいでしょう。

SPFレコード は、社員名簿が組織の全社員名をリストアップするように、ドメインからのメール送信を許可されている全サーバーのIPアドレス をリストアップします。電子メールを受信したメールサーバーは、受信者の受信箱に渡す前にSPFレコードと照合することができます。

サインアップ
あらゆるCloudflareプランで実現するセキュリティとスピード

DKIMの仕組みにとは?

" DomainKeys Identified Mail (DKIM) は、小切手の署名が誰が書いたかを確認するのに役立つように、ドメイン所有者が自分のドメインからのメールに自動的に"の署名をすることを可能にします。DKIM"署名" は、電子メールがドメインから来たことを数学的に検証するために暗号を使用するデジタル署名です。

具体的には、DKIMは 公開鍵暗号方式を使用しています

  • DKIMレコード には、ドメインの 公開鍵 が保存されており、ドメインからメールを受信するメールサーバーは、このレコードをチェックして公開鍵 を取得することができます。
  • 秘密鍵 は送信者によって秘密にされ、送信者はこの鍵でメールのヘッダに署名します。
  • メールを受信したメールサーバーは、公開鍵を適用することで、送信者の秘密鍵が使用されたことを確認することができます

DMARCはどのように機能するのですか?

DMARC(Domain-based Message Authentication Reporting and Conformance)は、受信側のメールサーバーがSPFとDKIMをチェックした結果、どのような処理を行うかを指示するものです。ドメインのDMARCポリシーは様々な方法で設定することができます。SPFやDKIM(またはその両方)に失敗したメールを隔離する、拒否する、配送するなどの指示をメールサーバーに出すことができます。

DMARCポリシーは、 DMARCレコード に格納されます。DMARCレコードには、これらのチェックに合格したメールと不合格になったメールについて、ドメイン管理者にレポートを送信するための指示を含めることも可能です。DMARCレポートは、管理者がDMARCポリシーをどのように調整するか(例えば、正当なメールが誤ってスパムと判定された場合にどうするか)を決定するのに必要な情報を提供します。

SPF、DKIM、DMARCのレコードはどこに保存されていますか?

SPF、DKIM、DMARCのレコードは、一般に公開されている Domain Name System (DNS) に保存されています。DNSの主な用途は、WebアドレスをIPアドレスと照合することで、人間が長い英数字のアドレスを覚えなくても、コンピューターがインターネット上のコンテンツを読み込むための正しいサーバーを見つけることができるようにすることです。DNSは、ドメインに関連するさまざまな レコード を保存することもできます。これには、そのドメインの代替名 (CNAMEレコード)、IPv6アドレス (AAAAレコード)、ドメイン検索用の逆DNSレコード (PTRレコード)などがあります。

DKIM、SPF、DMARCレコードはすべて、 DNS TXTレコード として保存されます。DNSのTXTレコードは、ドメインの所有者がドメインと関連付けたいテキストを保存します。このレコードには任意のテキストを入れることができるため、様々な用途に使用することができる。DKIM、SPF、DMARCは、DNSのTXTレコードを利用したいくつかのアプリケーションのうちの3つです。

メールがSPF、DKIM、DMARCを通過しているかどうかを確認する方法

ほとんどのメールクライアントには、"Show details" または"Show original" というオプションがあり、ヘッダーを含むメールのフルバージョンを表示することができます。ヘッダー(通常はメール本文の上にある長いブロック)は、メールサーバーがSPF、DKIM、DMARCの結果を付加する場所である。

密集したヘッダーを読み解くのは大変なことです。ブラウザで閲覧しているユーザーは、"Ctrl+F" または"Command+F" をクリックし、"spf," " dkim," または"dmarc" と入力すると、これらの結果を見つけることができます。

該当する文章は、次のようになります。


arc=pass (i=1 spf=pass spfdomain=example.com dkim=pass
dkdomain=example.com dmarc=pass fromdomain=example.com) とする。

上記の文章中に"pass" という文字があるのは、このメールが認証チェックを通過したことを表しています。"spf=passは、例えば、" 、そのメールがSPFに失敗しなかったことを意味します。それは、ドメインのSPFレコードにリストされているIPアドレスを持つ認可されたサーバーから来たものであることを意味します。

この例では、メールはSPF、DKIM、DMARCの3つすべてに合格し、メールサーバーはそれが偽者ではなく、本当にexample.comから来たものだと確認することができたのです。

これらのレコード自体は、ドメインのポリシーを実施したり、メールを認証したりするものではないことに留意することが重要です。メールサーバーは、レコードが効果を発揮するために、それらをチェックし、正しく適用する必要があります。

また、ドメインからのスパムを防ぐため、そしてドメインからの正当なメールがスパムと判定されないようにするために、ドメイン所有者自身がSPF、DKIM、DMARCレコードを適切に設定する必要があることも重要なポイントです。ウェブホスティングサービスは、必ずしもこれを自動的に行うとは限りません。メールを送信しないドメインであっても、スパマーがそのドメインからメールを送信するように装うことができないように、少なくともDMARCレコードを持つべきである。

ドメインのDMARC、DKIM、SPFを設定する方法

DMARC、DKIM、SPFは、ドメインのDNS設定で設定する必要があります。管理者は、DNSプロバイダーに問い合わせるか、あるいは、ウェブホスティングプラットフォームがDNSレコードのアップロードと編集を可能にするツールを提供している場合があります。これらの記録の仕組みの詳細については、それに関する記事を参照してください。

これらのレコードを設定するプロセスは複雑で時間がかかり、厳しすぎたり緩すぎたりするポリシーはドメインにとって強い悪影響を及ぼす可能性があります。このため、クラウドフレアでは、管理者がこれらのメール認証DNSレコードを迅速かつ正確に設定できるよう、 Email Security DNS Wizard を提供しています。ウィザードは、CloudflareダッシュボードのDNSタブにあります。