DKIMを使用してドメインスプーフィングを防止する方法

公開: 2020-03-24

1980年代に、電子メールとSMTP(簡易メール転送プロトコル)が開発されたとき、メッセージの検証と妥当性確認の必要はありませんでした。 ほとんどの場合、当時電子メールを使用していた組織は大企業と教育機関だけでした。

残念ながら、電子メールが増えるにつれ、悪意のある攻撃者は、悪意のあるメッセージを送信したり、ドメインをスプーフィングしたり、スパムを送信したりすることで、受信者を悪用できることに気付きました。 たとえば、誰かが信頼できるブランドまたは送信者に代わって送信しているように振る舞い、受信者に応答して個人の機密情報を提供させようとする可能性があります。 他の送信者は、手に入れることができる任意のアドレスに不要なメッセージを送信する方法として電子メールを使用しました。これは、CAN-SPAM法で最高潮に達しました。

ヒント:電子メールのなりすましは、悪意のある攻撃者が偽造された電子メールアドレスから受信者に電子メールを作成して送信したときに発生します。 自分が管理していないドメインからメールを送信してはならない理由については、ブログ投稿をご覧ください。自分が管理していないドメインからメールを送信しないでください。

これらのタイプの悪意のある電子メールが受信者の受信ボックスに到達するのを防ぐために、SPF、DKIM、DMARCなどの電子メール認証手法が開発されました。

DKIMとは何ですか?

DKIM(DomainKeys Identified Mail)は、送信者がメッセージに「署名」するために使用できる、CiscoとYahooによって作成された暗号化テクノロジーです。 DKIMを使用すると、電子メールメッセージの受信者は、そのメッセージがドメインを担当する送信者によって承認および送信されたかどうかを確認できます。 メッセージがDKIMで署名されていない場合、GmailやMicrosoftなどの受信トレイプロバイダーはメッセージをブロックし、受信者に配信されないようにすることができます。

DKIMはどのように機能しますか?

DKIMは、電子メールの送信者が電子メールの送信元のドメインに責任があり、電子メールの内容に責任があることを確認することが唯一の機能であるため、比較的単純な形式の電子メール認証です。 DKIMの2つのステップは次のとおりです。

  1. 送信者はメールサーバーに秘密鍵を追加し、メッセージに署名します。
  2. 受信サーバーは、dkimselector._domainkey.domain.comのtxtレコードに保存されている公開鍵をチェックして、送信者によって追加された秘密鍵を検証します。

DKIMはドメインのなりすましをどのように防ぎますか?

ブランドとして、DKIMを実装する場合、基本的にメールに署名し、受信トレイプロバイダーに、受信するメールはドメインからのものであり、責任を負うことを伝えます。 これは、悪意のある人物が@yourcompany.comなどのアドレスからメールを送信できないことを意味します。

DKIMが重要なのはなぜですか?

DKIMは、受信トレイプロバイダーが送信者のIDを確認する方法の1つであるため、重要です。 DKIMを正しく実装しないと、多くの受信トレイプロバイダーが電子メールをブロックし、メッセージが目的の宛先に到達できなくなります。 これはそれほど重要ではないように思われるかもしれませんが、ブロックされるメッセージの数が少ない場合、ビジネスに大きな影響を与える可能性があります。

SendGridにDKIMを実装するにはどうすればよいですか?

SendGridアカウントを作成すると、手動または自動のセキュリティを実装するオプションが表示されます。 自動セキュリティの実装を選択することで、SendGridはSPFおよびDKIMレコードを管理します。 これにより、メールの配信可能性に影響を与えるアカウントに変更を加えた場合(新しいIPアドレスの追加など)、SendGridはユーザーに代わってDKIMとDNSの設定を更新します。

DKIMをテストするにはどうすればよいですか?

オンラインで使用できるさまざまなDKIMテストツールがあります。 DKIMアナライザーやDKIMチェッカーなどを使用すると、DKIMレコードを正確に公開したかどうかを判断するのに役立ちます。 一般に、SPFまたはDKIMレコードに加えた変更は、実装する前にテストすることを強くお勧めします。

ヒント: DKIMは、SendGridアカウントの種類に関係なく、電子メールの配信可能性を向上させる方法として、専用IPアドレスと共有IPアドレスプールの両方で使用できます。

DKIMは何をしませんか?

DKIMは送信者にメッセージに署名する方法を提供し、受信トレイプロバイダーがメッセージのコンテンツと送信元のドメインに責任があることを認識できるようにしますが、DKIMが実行しないことがいくつかあります。

  • DKIMは、受信トレイプロバイダーにメッセージの処理方法を指示しません。 DMARCのような電子メール認証技術とは異なり、DKIMは、メッセージが失敗した場合や検証に合格した場合の対処方法を指示しません。
  • DKIMはメッセージの送信者を考慮しません。 メッセージがDKIM検証に合格した場合でも、メッセージの責任を負う送信者は、悪意のある電子メールを送信する悪意のある攻撃者である可能性があります。
  • DKIMは、メッセージの再送信を停止しません。 悪意のある電子メールが受信者によって開かれ、転送された場合でも、メッセージは開かれ、後続の受信者に害を及ぼす可能性があります。

SPFはDKIMとどのように異なり、両方が必要ですか?

SPFを使用すると、送信者はISPに代わりに送信できるIPを通知できます。 DKIMを使用すると、ISPは、送信されたコンテンツが元の送信者が意図したものであることを確認できます。 メールを正しく配信する方法の詳細については、 2019年のメール配信ガイドをご覧ください。

SPFもDKIMも電子メールを完全に保護していません。 それぞれに重要な部分が欠けています。 SPFにはメッセージ検証がなく、DKIMにはメッセージの送信元を検証する方法がありません。 どちらも安全なメール送信者である必要があります。

DKIMのヒントは何ですか?

  • DKIMは、メッセージが送信される前にメッセージに追加される最後のものである必要があります。 署名、空白スペース、別のヘッダー(何か)が後に追加されると、失敗します。
  • ヘッダー、またはヘッダーと本文の両方に署名できます。 Gmailでは、両方に署名することをお勧めします。
  • Yahooフィードバックループは送信者のDKIM署名に基づいており、署名の一部を使用して送信者と苦情を照合します。 DKIM(またはドメインキー)を使用していない場合、Yahooフィードバックループを使用することはできません。
  • ほとんどのSendGridのお客様は、標準のDKIMをヘッダーに自動的に挿入します。

DKIMについてさらに学ぶために使用できるリソースはありますか?

もちろん、http://dkimcore.org/tools/keycheck.htmlとhttp://www.dkim.orgをチェックしてください。
SendGridアカウントとメッセージを使用したDKIM、SPF、またはDMARCの実装の詳細については、SendGridのドキュメントをご覧ください。

メールを認証して受信トレイプロバイダーを支援する

顧客があなたのメッセージに応答し続けることを確実にするために、あなたはISPがあなたのブランドを保護するのを手伝わなければなりません。 d =を使用してDKIMですべてのドメインに署名することにより、「ヒットリスト」にないドメインをブロックするようにISPに指示します。 したがって、プロモーションおよびトランザクションの電子メールを送信するすべてのドメインに必ず署名してください。 (これにはサブドメインが含まれるため、完全なインベントリを作成するようにしてください。)

DKIMは、2つの重要な質問に答えることを忘れないでください。つまり、電子メールに有効な署名があり、どのドメインが署名したかです。 電子メールの配信可能性は保証されませんが、それは確かにそれを改善するのに役立ちます。 さらに、ブランドがハッキングされたときに発生するすべての付随的なフォールアウトを防ぐのに役立ちます。 予防策を講じる時間をとることは、あなたの評判とブランドを保護するのに役立ちます。

電子メール認証と電子メールの配信可能性を確保するための戦略の詳細については、無料のSendGrid電子メールインフラストラクチャガイドをダウンロードしてください。