認証

SPF spf

SPF(Sender Policy Framework)は、メール認証標準で、ドメインの所有者がドメインの代わりにメールを送信できるメールサーバーを指定できます。この標準は、メールの「Return-Path」ヘッダー(「Envelope From」アドレスとも呼ばれる)のドメインを使用します。

NOTE
この外部ツールを使用して、SPF レコードを検証できます。

SPF は、ある程度まで、メールで使用されるドメイン名が偽造されていないことを確認できる技術です。 あるドメインからメッセージが受信されると、そのドメインの DNS サーバーに対して問い合わせが実行されます。その応答は、このドメインからメールを送信する権限がどのサーバーにあるかを記述した短いレコード(SPF レコード)になります。このレコードを変更する手段がドメインの所有者にしかないと仮定すると、送信者のアドレス(少なくとも「@」の右側の部分)の偽装はこの技術により防止できると考えることができます。

最後の RFC 4408 仕様では、メッセージの 2 つの要素を使用して、送信者と見なされるドメインを決定します。SMTP の「HELO」(または「EHLO」)コマンドで指定されたドメインと、「Return-Path」(または「MAIL FROM」)ヘッダーのアドレス(バウンスアドレスでもあります)で指定されたドメインです。 様々な事項を検討することにより、これらの値の一方のみを考慮に入れることが可能になります。両方のソースで指定されているドメインが必ず同じになるようにすることをお勧めします。

SPF の確認により、送信者ドメインの有効性が次のように評価されます。

  • なし:評価を実行できませんでした。
  • ニュートラル:クエリされたドメインは、評価を有効にしていません。
  • 合格:ドメインは認証済みと見なされます。
  • 失敗: ドメインが偽造されており、メッセージが拒否される必要があります。
  • SoftFail:ドメインは偽造されている可能性がありますが、メッセージはこの結果のみに基づいて拒否されるべきではありません。
  • TempError:一時的なエラーで評価が停止しました。このメッセージは拒否できます。
  • PermError:ドメインの SPF レコードが無効です。

DNS サーバーのレベルで作成されたレコードを考慮するのに最大 48 時間かかる可能性があることに注意する必要があります。この遅延は、受信サーバーの DNS キャッシュの更新頻度によって異なります。

DKIM dkim

DKIM (DomainKeys Identified Mail)認証は、SPF の後継です。 この暗号化では、メッセージが実際に送信者または送信者を主張するエンティティによって送信されたのか、またメッセージが最初に送信された時刻(および DKIM が「署名」)から受信された時刻までの間にメッセージコンテンツが変更されたかどうかを受信メールサーバーが確認できるように、公開鍵暗号化が使用されます。 この標準では、通常、「送信者」または「送信者」ヘッダーのドメインが使用されます。

DKIM は、Yahoo! の DomainKeys と Cisco の Identified Internet Mail という 2 つの送信ドメイン認証方式を組み合わせて策定されたもので、送信者ドメインの信憑性を確認し、メッセージの整合性を保証するために使用されます。

DKIM が DomainKeys 認証方式の後継となりました。

DKIM を使用するには、次のように、いくつかの前提条件を満たす必要があります。

  • セキュリティ:暗号化は DKIM の重要な要素です。 DKIM のセキュリティレベルを確保するために、ベストプラクティスの推奨暗号化サイズは 1024b です。 低い DKIM キーは、大多数のアクセスプロバイダーによって有効と見なされていません。
  • レピュテーション:レピュテーションは IP やドメインに基づいていますが、透明性の低い DKIM セレクターも考慮すべき重要な要素です。 セレクターの選択は重要です。誰でも使用できるので評判が悪い「デフォルト」のセレクターを使用しないようにします。 顧客維持/獲得用の通信 ​と認証には、別のセレクターを実装する必要があります。

Campaign Classicを使用する際の DKIM 前提条件について詳しくは、 この節を参照してください。

DMARC dmarc

DMARC(Domain-based Message Authentication, Reporting and Conformance)は、最新のメール認証です。SPF と DKIM 認証の両方に基づいてメールの合否を判定します。DMARC は、次の 2 つの重要な点でユニークで強力です。

  • 準拠 – 認証に失敗したメッセージに対して何を行うかを送信者が ISP に指示できるようにします(例:受け入れない)。
  • レポート - DMARC 認証に失敗したすべてのメッセージを、それぞれに使用された「From」ドメインおよび IP アドレスと共に詳細なレポートを送信者に提供します。これにより、企業は、認証に失敗し、何らかの「修正」(例えば、SPF レコードへの IP アドレスの追加)を必要とする正当なメールや、メールドメインでのフィッシングの試みの発生源と普及を識別できます。
NOTE
DMARC は、250ok が生成したレポートを活用できます。
recommendation-more-help
ce4a522f-06e7-4189-95bc-98ae01b1a1ec