認証

SPF

SPF(Sender Policy Framework)は、E メール認証標準で、ドメインの所有者がドメインの代わりに E メールを送信できる E メールサーバーを指定できます。この標準は、E メールの「Return-Path」ヘッダー(「Envelope From」アドレスとも呼ばれる)のドメインを使用します。

メモ

以下を使用できます。 この外部ツール SPF レコードを検証する。

SPF は、E メールで使用されているドメイン名が偽装されていないことをある程度確認できる技術です。あるドメインからメッセージが受信されると、そのドメインの DNS サーバーに対して問い合わせが実行されます。その応答は、このドメインから E メールを送信する権限がどのサーバーにあるかを記述した短いレコード(SPF レコード)になります。このレコードを変更する手段がドメインの所有者にしかないと仮定すると、送信者のアドレス(少なくとも「@」の右側の部分)の偽装はこの技術により防止できると考えることができます。

最終 RFC 4408 仕様の場合、メッセージの 2 つの要素を使用して、送信者と見なされるドメインを決定します。SMTP "HELO" (または"EHLO")コマンドで指定されたドメインと、"Return-Path" (または"MAIL FROM")ヘッダーのアドレスで指定されたドメイン(バウンスアドレス)です。 様々な事項を検討することにより、これらの値の一方のみを考慮に入れることが可能になります。両方のソースで指定されているドメインが必ず同じになるようにすることをお勧めします。

SPF の確認により、送信者ドメインの有効性が次のように評価されます。

  • なし:評価を実行できませんでした。
  • 中立:問い合わせられたドメインでは評価が有効になっていません。
  • パス:ドメインは真正なものと見なされます。
  • 失敗:ドメインは偽装されており、メッセージを拒否する必要があります。
  • SoftFail:ドメインはおそらく偽装されていますが、この結果だけに基づいてメッセージを拒否すべきではありません。
  • TempError:一時的なエラーで評価が停止しました。メッセージを拒否することもできます。
  • PermError:ドメインの SPF レコードが無効です。

DNS サーバーのレベルで作成されたレコードを考慮するのに最大 48 時間かかる可能性があることに注意する必要があります。この遅延は、受信サーバーの DNS キャッシュの更新頻度によって異なります。

DKIM

DKIM(DomainKeys Identified Mail) 認証は SPF の後継ツールです。 公開鍵暗号化を使用するので、受信側の E メールサーバーは、メッセージが実際に送信されたと主張する人またはエンティティによって送信されたこと、およびメッセージの内容が最初に送信された時刻(および DKIM「署名済み」)と受信時刻の間に変更されたかを確認できます。 この標準は、通常、「From」または「Sender」ヘッダーのドメインを使用します。

DKIM は、Yahoo! の DomainKeys と Cisco の Identified Internet Mail という 2 つの送信ドメイン認証方式を組み合わせて策定されたもので、送信者ドメインの信憑性を確認し、メッセージの整合性を保証するために使用されます。

DKIM が DomainKeys 認証方式の後継となりました。

DKIM を使用するには、次のように、いくつかの前提条件を満たす必要があります。

  • セキュリティ:暗号化は DKIM の重要な要素です。 DKIM のセキュリティレベルを確保するために、1024b がベストプラクティスとして推奨される暗号化サイズです。 これより小さい DKIM キーは、大部分のアクセスプロバイダーでは有効とは見なされません。
  • 評判:レピュテーションは IP やドメインに基づきますが、より透明性の低い DKIM セレクターも考慮に入れるべき重要な要素です。 セレクターの選択は重要です。誰でも使用できる「デフォルト」のままにしないでください。したがって、レピュテーションが弱くなります。 顧客維持/獲得用の通信​と認証には、別のセレクターを実装する必要があります。

DKIM を使用する際の前提条件の詳細については、 この節.

DMARC

DMARC(Domain-based Message Authentication, Reporting and Conformance)は、最新の E メール認証です。SPF と DKIM 認証の両方に基づいて E メールの合否を判定します。DMARC は、次の 2 つの重要な方法で独自かつ強力です。

  • 適合性 — 送信者は、認証に失敗したメッセージに対して何をおこなうか ( 例:受け入れないでください )。
  • レポート - DMARC 認証に失敗したすべてのメッセージを、それぞれに使用された「From」ドメインおよび IP アドレスと共に詳細なレポートを送信者に提供します。これにより、認証に失敗し、ある種の「修正」(IP アドレスの SPF レコードへの追加など)が必要な正当な E メールを、その E メールドメインのフィッシング攻撃のソースと横行率と共に識別できます。
メモ

DMARC は、250ok が生成したレポートを活用できます。

このページ