SPF、DKIM、DMARCは、お客様のドメインを保護し、メールの配信性を向上させるために設計された必須のメール認証プロトコルです。これらのプロトコルは、送信者の身元を確認し、なりすましメール(悪意のある第三者が正当な送信者になりすまし、受信者を騙して悪意のあるリンクをクリックさせたり、添付ファイルを開かせたりする一般的なサイバー犯罪)を防止するために連携しています。
- センダーポリシーフレームワーク(SPF):送信者のIPアドレスを検証し、お客様のドメインを代表してメールを送信することを許可されていることを確認します。
- DomainKeys Identified Mail (DKIM):電子メールにデジタル署名を付加し、送信者の身元を確認し、メッセージの改ざんを防止する。
- Domain-based Message Authentication, Reporting, and Conformance (DMARC):SPFおよびDKIMチェックを実施し、電子メール認証結果のレポートを生成するためのポリシーフレームワークを提供する。
メール認証の基本要素であるSPF、DKIM、DMARCを深く理解しましょう。
電子メール認証を理解する
電子メール認証は、電子メール送信元の正当性を検証するプロセスです。これは、正当な送信者のみがそのドメインに代わって電子メールを送信できるようにするために、組織が講じる必須のセキュリティ対策である。SPF、DKIM、およびDMARCは、送信元と電子メールのコンテンツを検証し、認証に失敗したメッセージへの対応方法を定義することにより、電子メール認証の柱を形成します。
拡大するなりすましメールの脅威
なりすましメールとは、悪意を持ってドメイン名やメールアドレスを偽造することです。なりすましメールは、攻撃者が合法的な企業になりすまして送信し、疑うことを知らない被害者から金銭をだまし取ります。ベライゾンのDBIRレポートによると、サイバー攻撃の94%は電子メールから始まっている!このことは、なりすましの脅威の増大とその多発性をさらに浮き彫りにしている。
電子メール認証が重要な理由
電子メール認証は、電子メールのなりすましに対する防御の第一線です。送信元の正当性を確認することで、認証は偽造メールの配信を防ぎます。メール認証プロトコルの導入後、自社ドメインからのなりすましが90%以上減少したとの報告もあります。
SPF、DKIM、DMARCとは何ですか?
SPF、DKIM、DMARCは、電子メール認証プロトコルです。共に SPF、DMARCおよびDKIMは、不正な送信元が貴社のドメインを使用して見込み客、顧客、従業員、第三者ベンダー、利害関係者などに詐欺メールを送信することを防ぎます。SPFとDKIMはメールの正当性を証明するのに役立ち、DMARCは受信者のメールサーバーに、認証に失敗したメールをどう処理するかを指示します。 認証をチェックします。
SPF、DKIM、DMARCの役割
メール認証は、フィッシングやなりすましのテクニックを使ったメールベースのサイバー攻撃からブランドを守るために重要です。メール認証は、主にSPF、DKIM、DMARCプロトコルに依存し、さらにMTA-STS、BIMI、ARCなどの追加プロトコルでセキュリティをさらに強化することができます!これらを実装する必要がある理由は以下の通りです:
- ドメイン名が偽造され、悪用されないようにするためです。
- フィッシング、スパム、ランサムウェアなど、企業の名前を騙って計画・実行される攻撃の防止を支援します。
- ドメインのメール到達率を向上させます。メール到達率の低下は、社内コミュニケーション、マーケティング、PRキャンペーンに影響を与えます、 顧客維持率などに影響します。
SPF、DKIM、DMARCレコードはどこにありますか?
SPF、DKIM、DMARCレコードは、ドメインネームシステム(DNS)に保存されます。DNSは一般的に、ドメイン名を対応するIPアドレスに変換するインターネットの電話帳と呼ばれています。DNSは、ドメインの情報をDNSレコードの形で保存するデータベースとして使用されます。
SPF、DKIM、およびDMARCは、DNSレコードとして存在し、DNSに公開して保存することができます。電子メールの認証チェック中、受信MTAはDNSに問い合わせてこれらのレコードを検索し、レコードに定義された指示または情報に基づいてアクションを実行します。
SPF、DKIM、DMARCを設定する方法とは?
以下の手順に従ってSPF、DKIM、DMARCを設定し、ドメインとメールを保護してください。
- SPF DNSレコードを作成する。
- DKIM公開鍵を作成する。
- DMARCポリシーの作成 DMARCポリシーDMARCレポートの記録と有効化
- DMARCレポートを受信するための専用メールボックスを設定するか、DMARCレポートアナライザープラットフォームを使用します。
- SPF、DKIM、DMARCレコードをDNSに公開する
SPF:メール送信者の確認
センダー・ポリシー・フレームワーク またはSPFは、電子メール認証プロトコルで、ドメイン所有者は、自分のドメインを使用して電子メールを送信することを許可されたすべてのサーバーを登録します。これは、TXT SPFレコードレコードを作成することによって行われます。送信IPがリストにない場合、認証は失敗し、メールはスパムまたは疑わしいとマークされます。ただし、SPFにはいくつかの制限があり、メッセージが転送されたり、DNSルックアップの上限である10回を超えたりすると壊れてしまいます。
すでにSPFレコードをお持ちの場合は、当社の SPFレコードチェッカーをご利用ください。
SPFの設定
- すべてのメール送信元(サードパーティベンダーを含む)を特定する。
- 無料の SPFジェネレーターツールを使って作成する。このレコードはすべての送信元を認証する必要があります。
- レコード構文をコピーする。
- DNS管理コンソールにログインします。
- .DNSレコードセクションの「TXT」リソースタイプにレコードを貼り付けます。
変更が反映されるまで数時間お待ちください。変更が完了したら SPFレコード検索ツールを使用して、エラーのないレコードを確認することができます。
SPFに共通する課題
ドメイン所有者がSPFの実装で直面する一般的な課題がいくつかある。それらは以下の通りです:
- DNSルックアップ制限の10回を超えるとSPFが壊れる
- ボイド・ルックアップの上限である2を超えると、SPFが壊れる可能性がある。
- SPFレコードには255文字の長さ制限があります。
- 転送されたメッセージのSPFが失敗する
これらのエラーを解決するには、SPFレコードを マクロで最適化する必要があります。また、SPFをDKIMやDMARCと組み合わせることで、よりスムーズな認証と配信が可能になります。
DKIM:メールコンテンツの保護
ドメインキー識別メールまたはDKIMは、ドメイン所有者が自分のドメインから送信された電子メールに自動的に署名することを可能にします。DKIMの仕組みは、銀行の小切手に署名してその真正性を確認するのと似ています。DKIM署名は、配信プロセス中もメールのコンテンツが安全で変更されないことを保証します。
これは、DKIM DNSレコードに公開鍵を格納することで進行する。 受信側のメールサーバーはこのレコードにアクセスして公開鍵を得ることができる。一方、送信者が秘密裏に保管している秘密鍵があり、その鍵でメールヘッダに署名する。受信メールサーバーは、簡単にアクセスできる公開鍵と比較することで、送信者の秘密鍵を検証する。
DKIMの設定
- PowerDMARCの無料の DKIMレコードジェネレーター.
- ツールボックスにドメイン名を入力し DKIMレコードの生成 ボタンをクリックします。
- プライベートDKIMキーとパブリックDKIMキーのペアが得られます。
- ドメインのDNSで公開鍵を公開する。
- すべての送信メールのヘッダーに署名するためにDKIM秘密鍵を使用するようにメールサーバーを設定します。この署名プロセスにより、各メールにDKIM署名が追加され、受信者のメールサーバーは、お客様のDNSで公開されている対応するDKIM公開鍵を使用して検証します。秘密鍵は安全に保管し、公開したり開示したりしないようにしてください。
最後に、以下の方法でDKIM公開鍵を検証します。 DKIMルックアップツールを使ってDKIM公開鍵を検証してください。
DKIMの利点
DKIMには、電子メール認証においていくつかの利点がある。以下にそのいくつかを示す:
- DKIMはほとんどの場合、転送されたメッセージを適切に認証する。
- DKIMは、サイバー攻撃者によるメール内容の改ざんを防ぎます。
- DKIMは、各ドメインが独自に公開鍵と秘密鍵のペアを管理することを可能にし、企業は電子メールのセキュリティをより細かく管理できるようになります。
DMARC:電子メールのフィッシングとなりすましを防ぐ
ドメインベースのメッセージ認証、報告、適合性(DMARC DMARC は、SPF、DKIM、またはその両方が不合格の電子メールに対する処理を受信側のサーバーに指示します。受信者が取るアクションは、送信者が設定したDMARCポリシー(なし、隔離、拒否)に依存します。
DMARCポリシーは DMARCレコードに設定され、検証チェックに合格または不合格になったすべてのメールに関するレポートをドメイン管理者に送信するための指示も保存されます。すでに DMARCポリシー当社の無料 DMARCレコード検索ツールをご利用ください。
DMARCの設定
- DMARCレコードは、無料の DMARCジェネレーター.
- DMARCポリシー(例:p=quarantine)を選択し、"rua "タグ(例:rua=mailto:[email protected])でメールアドレスを定義してDMARCレポートを有効にします。
- をクリックする。 生成する。
- TXTレコードをクリップボードにコピーし、DNSに貼り付けてプロトコルを有効にする。
を使用してDMARCの実装をチェックします。 DMARCチェッカーを使用してDMARCの実装を確認してください。
DMARCエンフォースメントポリシーとアクション
ドメイン所有者が認証されていない電子メールに対処するために設定できるDMARCポリシーには3つのタイプがある。それらは以下の通りである:
- なし:p=noneで示されるnoneポリシーは、認証されていないメッセージに 対して何のアクションも起こさずに配信するポリシーです。初心者に最適です。
- 検疫:p=quarantineで示される隔離ポリシーは、認証されていない電子メールを隔離する強制DMARCポリシーです。
- 拒絶:p=rejectで示される拒否ポリシーは、認証されていないメッセー ジを拒否するDMARCの最大実施ポリシーである。
あなたの DMARCポリシーDMARCポリシーは、メールベースの脅威を防ぐ上で重要な役割を果たします。ポリシーを実施することで、ドメイン所有者はなりすましやフィッシング攻撃から保護されます。
高度な電子メール認証技術
メール認証はSPF、DKIM、DMARCだけでは終わりません。ドメインとメールのセキュリティをさらに強化するために、高度な認証技術を実装することができます。そのいくつかをご紹介しましょう:
MTA-STS、BIMI、ARC
認証のためのMTA-STSプロトコルは、受信トレイへの電子メールメッセージのTLS暗号化配信を保証します。通信するメールサーバー間で暗号化されたSMTP接続をネゴシエートすることにより、中間者攻撃やDNSスプーフィング攻撃を防ぎます。
BIMI(Brand Indicators for Message Identification)は、企業が電子メールにブランドロゴを添付するのに役立つ。これは、視覚的な確認と認証として機能し、ブランドの想起と信頼性を向上させます。
ARC(Authenticated Received Chain)は、オリジナルのSPFおよびDKIM認証ヘッダーを保持することにより、電子メールの転送中にフォールバックメカニズムを作成します。これにより、転送されたメッセージの不要な認証失敗を防ぐことができます。
これらのテクニックを導入するタイミングは?
SPF、DKIM、DMARCのセットアップに自信がついたら、メール認証のフェーズ2でこれらのテクニックを導入することができます。
これらの高度な設定は、ブランドの信頼性を確立し、メールの評判をさらに向上させたいと考えるすべての組織にとって理想的です。基本的な認証設定に加え、さらなるセキュリティを提供することで、高度なサイバー攻撃に対抗できる体制を整えることができます。
電子メール認証セットアップの実装と維持
SPF、DKIM、およびDMARCプロトコルを実装したら、今度は、すべてが正しく機能するように、それらを監視し、維持する番です。ここでは、認証設定を維持する方法をいくつか紹介します:
監視ツールの使用
DMARCモニタリングツールは、クラウドベースのAIを搭載したプラットフォームで、単一のインターフェイスからメール認証の実装を即座に簡単に監視することができます。
DMARCレポートの分析
DMARCレポートを分析することで、SPF、DKIM、DMARCの認証結果やドメインの送信元に関する豊富な情報を得ることができます。これにより、不整合を検出し、なりすましの試みを防ぐことができます。
定期的なアップデートとメンテナンス
SPF、DKIM、DMARC、および高度な認証技術が適切に機能しているかを定期的にチェックすることが重要です。SPFは新しい送信元を含めるために定期的な更新が必要な場合があり、DKIMキーはセキュリティを向上させるために頻繁にローテーションする必要があり、DMARCポリシーはサイバー攻撃を防ぐために実施する必要があります。アップデートや適切なメンテナンスが行われないと、実装の効果がなくなってしまう可能性があります。
まとめ
ドメインにDKIM、SPF、DMARCを設定したら、疑わしい活動に気づくためにレポートの監視を開始する必要があります。これらのプロトコルを適切に設定・管理することで、ドメインのセキュリティと配信性を大幅に向上させることができます。
これらの認証プロトコルを併用することで、フィッシングのリスクを軽減することはできるが、すべての電子メールベースのサイバー犯罪を防ぐことはできないことを覚えておいてほしい。したがって、従業員の教育と意識向上でフォローアップすることが重要である。
SPF、DKIM、DMARCに関するよくある質問
SPFとDKIMが追加されていない場合、DMARCを作成できますか?
答えはノーです。DMARCを設定するには、まずSPFかDKIMを実装する必要があります。SPFまたはDKIMがなければ、DMARCの設定は機能しません。
DMARCはSPFとDKIMの両方を必要としますか?
DMARCはSPFとDKIMの両方を必要としません。DMARCをセットアップする前に、どちらかのプロトコルをセットアップすることができます。しかし、セキュリティを強化するために、両方を実装することをお勧めします。
GmailはSPFまたはDKIMを使用していますか?
はい。Gmailの最新の送信者ガイドラインでは、Gmailの受信トレイにメールを正常に送信するために、すべての送信者がSPFまたはDKIMのいずれかを実装する必要があります。
1つのドメインに2つのDKIMレコードを持つことができますか?
ドメインは、受信サーバーが認証中に正しいDKIMレコードを簡単に見つけられるように、異なるセレクタを持つ2つ以上のDKIMレコードを持つことができる。
DMARC、DKIM、SPFが有効になっていることを確認するには?
お客様のドメインでDMARC、DKIM、SPFが有効になっているかどうかを知るには、PowertoolboxのDNSレコードチェッカーツールを使用するか、メールヘッダーを分析することができます。
- PowerDMARC、DMARCソフトウェアのG2リーダーに選出 2024年に4度目- 2024年12月6日
- 高等教育におけるデータ漏洩と電子メール・フィッシング- 2024年11月29日
- DNSフォワーディングとは何か?- 2024年11月24日