SPF、DKIM、DMARC がメール配信とセキュリティを促進する仕組み

公開: 2022-11-28

3 つの電子メール認証規格が連携して、送信者の電子メールの到達可能性と受信者の電子メールの安全性を向上させます。

Sender Policy Framework (SPF)、DomainKeys Identified Mail (DKIM)、および Domain-based Message Authentication, Reporting, and Conformance (DMARC) は、会社から送信された電子メールが本物であること、および悪意のあるアクターがなりすましや改ざんを行っていないことを保証するのに役立ちます彼ら。

SPF、DKIM、DMARC

SPF、DKIM、および DMARC は、特定のメッセージが承認された IP アドレスから送信されたこと、送信者が本物であること、および送信者がその ID について透過的であることを受信メール サーバーに示します。

それぞれ順番に見ていきましょう。

ドメインの SPF レコードを設定するには、送信メール サーバーの承認済みリストを含む TXT レコードのタイプをドメイン ネーム システム (DNS) に追加する必要があります。 SPF は、ビジネスのドメインからの電子メールが、なりすましではなく、認証された送信元からのものであることを確認します。

DKIM キーは、DNS に保存されている公開キーと、送信メール サーバーに保存されている秘密キーの 2 つの部分で構成されます。 各送信電子メールに添付された DKIM 署名は、受信者のメール サーバーでその信頼性を確認するために使用されます。 DKIM は、特定の電子メール メッセージが変更されたかどうかを示すこともできます。

DMARC は、ドメインからの受信メールが SPF または DKIM 認証に失敗した場合の処理​​方法を企業が制御できるようにするポリシー メカニズムです。 オプションは、「拒否」、「検疫」、または「なし」です。 これは、悪意のある者がドメインを使用しようとした場合の警鐘のようなものです。

SPF レコード

SPF レコードを設定するには、GoDaddy などのレジストラでドメインの DNS レコードにアクセスする必要があります。 ドメインを確認したり、新しいサーバーに移動したことがある場合は、DNS レコードを更新した可能性があります。

Screenshot of an SPF record in a DNS settings interface

SPF レコードは、ドメインの DNS の単なる TXT レコードです。

SPF レコードのタイプは「TXT」になります。 そして、使用している SPF のバージョンから開始されます。

 v=spf1

バージョンの後には、次のように、許可された IP4 または IP6 アドレスのリストが続きます。

 v=spf1 ip4:192.168.0.1

この SPF レコードは、192.168.0.1 IP アドレスからの電子メールを承認します。 IP アドレスの範囲を許可するには、Classless Inter-Domain Routing (CIDR) 表記 (「スラッシュ」表記と呼ばれることもあります) を使用できます。

 v=spf1 ip4:192.168.0.0 /16

上記の SPF レコードは、192.168.0.0 から 192.168.255.255 までの範囲の IP アドレスを許可します — これが「/16」が示すものです。

プレフィックス「a」を使用すると、SPF レコードはドメインを名前で承認できます。 以下のレコードは、example.com ドメインに関連付けられたサーバーを承認します。

 v=spf1 a:example.com

同様に、プレフィックス「mx」(「メール交換」) は、特定のメール サーバーを承認します。

 v=spf1 mx:mail.example.com

サードパーティの送信者を承認するには、接頭辞「include」を使用します。 以下の例では、IP 範囲と Google サーバーの両方を許可しています。

 v=spf1 ip4:192.168.0.0/16 include:_spf.google.com

2 つの SPF 修飾子もあります。 1 つ目は、チルダ (~) 付きの ~all です。 2 番目は -all にハイフン (-) を付けたものです。

チルダ バージョン (~all) はソフト フェイル修飾子です。 ほとんどの場合、受信メール サーバーは、関連付けられた SPF レコードには含まれていないが疑わしいと見なされる送信者からのメッセージを受け入れます。

ハイフン バージョン (-all) はハード フェイル修飾子です。 受信メール サーバーは、SPF レコードで承認されていないサーバーから送信されたメッセージにスパムのラベルを付けて拒否する可能性があります。

最後に、これらすべてを一緒に使用して、比較的複雑な認証を行うこともできます。

 v=spf1 ip4:192.168.0.0/16 a:example.com include:_spf.google.com

SPF レコードは、受信メール サーバーが会社のドメインからの本物のメール メッセージを識別するのに役立つことに注意してください。

DKIM キー

DKIM はドメインを保護し、誰かがあなたの会社になりすますのを防ぎます。 2 つの DKiM キーにより、受信者の電子メール サーバーは、会社がメッセージを送信したこと、および送信後にメッセージが変更されていないことを確認できます。

DKIM をセットアップするための最初のステップは、鍵 (公開鍵と秘密鍵) を生成することです。 秘密鍵は、ドメインからメールを送信するために使用されるサーバー上で保護されます。 公開鍵は、TXT レコードとして DNS に追加されます。

キーを作成するための正確な手順は、メール サービス プロバイダーによって異なるため、注意が必要な部分はキーの生成です。 また、会社が独自のメール サーバーをホストしている場合は、まったく異なります。

電子メール サービス プロバイダーが手順を提供します。 以下にいくつかの例を順不同で示します。

  • Mailchimp: メールドメイン認証の設定,
  • Klaviyo: 専用の送信ドメインを設定する方法,
  • Zoho Campaigns: 私のドメインを認証する方法,
  • MailerLite: メール ドメイン認証、
  • キャンペーン担当者: DKIM、SPF、DMARC、
  • ConvertKit: メール送信に検証済みドメインを使用する,
  • MailUp: メールの到達率を最大化し、
  • ActiveCampaign: SPF、DKIM、DMARC 認証、
  • キープ: DKIM.

いずれの場合も、メール プロバイダーの CNAME レコードをドメインの DNS に追加 (コピー アンド ペースト) すると、DKIM が完成します。 このレコードは、会社のアウトバウンド E メール マーケティング メッセージを認証するための公開鍵を表します。

DMARC

DMARC は別の保護層を提供し、SPF または DKIM 認証に失敗したメッセージの処理方法を電子メール サーバーに指示します。

DMARC の基盤は、ドメインの DNS に配置された TXT レコードです。 これには、少なくとも 2 つの要素を持つ DMARC ポリシーが含まれます。

  • 電子メール認証の集計レポートを受信するための電子メール アドレス、および
  • 認証に失敗した電子メールに対して実行するアクション (つまり、拒否または隔離)。

DNS の DMARC TXT レコードの例を次に示します。

 v=DMARC1; p=検疫; rua=mailto:[email protected]; ruf=mailto:[email protected].

レコードは DMARC バージョンで始まります。

 v=DMARC1;

「p」要素は、認証に失敗した電子メールに対するアクションを割り当てます。 この場合、「検疫」に設定され、受信サーバーにそのようなメッセージを保留エリアに移動するように指示します。 その他のオプションには、メールを停止しないが SPF または DKIM の障害を監視する「なし」または「拒否」が含まれます。

 p=検疫;

プレフィックス「rua」と「ruf」は、受信サーバーに集計レポート (rua — 集計データのレポート URI) とフォレンジック レポート (ruf — 失敗データのレポート URI) の送信先を伝えます。 これらのレポートにより、あなたのビジネスになりすまそうとする犯罪者が明らかになる可能性があります。

追加の修飾子には次のものがあります。

  • pct — DMARC ポリシーの対象となる電子メール メッセージの割合。
  • sp — サブドメインの DMARC ポリシー。
  • adkim — DKIM に厳密 (adkim:s) または緩和 (adkim:r) モードを割り当てます。
  • aspf — SPF に厳密 (adkim:s) または緩和 (adkim:r) モードを割り当てます。

サードパーティのサービスは、公式の標準に基づいて DMARC レコードを生成するのに役立ちます。 これらのサービスには以下が含まれます。

  • MXツールボックス、
  • PowerDMARC、
  • ドマルシアン、
  • 簡単DMARC。

送信者と受信者を保護する

ドメインの SPF、DKIM、および DMARC レコードを設定すると、電子メール サーバーが会社からのメッセージを本物として認識し、なりすましを拒否することが保証されます。 その結果、会社の評判が保護され、フィッシング攻撃やその他の種類の電子メール詐欺から顧客が保護されます。