メール認証の世界では、SPFやDKIMといった言葉を目にすることがあります。SPFもDKIMもメール認証プロトコルではありますが、最終的にスパムやなりすましからメールを守るために、それぞれ異なる方法で機能しています。では、SPFがなくてもDKIMは機能するのでしょうか?答えは「イエス」です。独立したプロトコルとして、両者はその機能を互いに依存しておらず、同じドメインにもう一方を設定しなくても実装することができます。

この記事では、DKIMとSPFがどのように機能するかを詳しく分析し、どちらのプロトコルが自分に合っているかを選択できるようにし、最後に専門家としての推奨事項もご紹介します。それでは、さっそく始めましょう

SPFとは何ですか?どのようにメールを保護するのですか?

SPF(Sender Policy Framework)を使用すると、ドメインやサブドメインに代わってメールの送信を許可するメールサーバーを指定することができます。SPFレコードは、メール送信者のドメイン名を検証し、ドメインに代わってメールを送信することを許可されたホストを指定するために使用されるDNSレコードの一種です。

SPFレコードは、認証されていないユーザーが、自分のドメインとは異なるドメインから送信メールを送ること(しばしば「スプーフィング」と呼ばれる)を防ぐために設計されています。また、同じドメインのメールを受け入れる複数のメールサーバーがある場合、SPFレコードは受信者のメールシステムがどのサーバーから受信するかを判断するのに役立ちます。SPFレコードは、初心者から上級者まで幅広く利用されているメール認証方法の一つです。

DKIMとは何か、どのようにメールを保護するのか?

DKIM(DomainKeys Identified Mail)とは、電子メールにデジタル署名を付与することで、そのメールがそのドメインの所有者によって承認されたものであることを証明する電子メール認証方法です。 電子メールにデジタル署名を付与し、暗号アルゴリズムと鍵を用いて.

DKIMを使用すると、メールマーケティングキャンペーンを含むすべての送信メッセージにサーバーが署名します。これにより、メールの受信者は、あなたの身元を確認することができ、あなたのメッセージがいかなる方法でも変更されていないことを信頼することができます。DKIMを使用してメッセージに署名する際には、電子メールのヘッダーとボディ全体のハッシュ関数の値に、自分の秘密鍵を添付します。署名に使用される秘密鍵は、承認された送信者のみがアクセスできます。

自分のドメインにDMARCを設定するには、DKIMとSPFの両方が必要ですか?

いいえ、違います。あなたのドメインにSPFまたはDKIMのいずれかが設定されていても、DMARCを実装することができます。これは、メールがDMARCのアライメントを通過するためには、DKIMまたはSPFのどちらかがアライメントを通過する必要があり、両方ではないからです。したがって、2つのプロトコルのいずれかを設定するだけで、DMARCの導入を開始することができます。

しかし、すでにDKIMやSPFを設定している場合に、DMARCの導入が必要かというと、答えは「イエス」です。DMARCを使えば、自社ドメインから来たように見せかけた偽装メールに対する受信者の反応をコントロールすることができ、それによって企業の評判や信頼性、さらには顧客がフィッシング攻撃の餌食になるのを防ぐことができます。DKIMやSPFだけでは、なりすましのようなソーシャルエンジニアリング攻撃から組織を守ることはできませんが、そのためにはDMARCが必要です。

DMARCレコードの生成なりすましを防ぐために、今すぐ無料でご利用ください。

専門家は何を推奨していますか。SPFがなくてもDKIMは機能しますか?

100%認証を得るために DMARCコンプライアンスDMARCに準拠するためには、DKIMとSPFの両方の認証プロトコルにメールを合わせることをお勧めします。メーリングリストや転送メールのような特定の例外的なケースでは、仲介サーバーが関与するため、SPFは必然的に失敗します。メールシステムがSPFだけに認証を依存している場合、正当なメールが転送中に失われ、前述のようなケースでは配信に失敗する可能性があります。そのため、スムーズな配信とメールのセキュリティを確保するためには、両方のプロトコルを導入することがより安全な選択肢となります。

DMARCを実際に試してみませんか?プレゼント 無料のDMARCを無料でお試しいただけます!お気軽にご登録ください。

Microsoft Exchange Onlineでドメインを追加する際に、以下のエラーメッセージが表示されることがあります。"No DKIM keys saved for this domain 「というエラーメッセージが表示され、ドメインのDKIMキーを有効にするオプションが見つかりません。

これは、Microsoft Exchange Onlineのユーザーが直面する一般的な問題です。しかし、これはWindows Powershellを使って簡単に解決することができます。

DKIMとは何ですか?

DKIMとは、DomainKeys Identified Mailの略で、受信者が検証できる方法で、組織がメッセージに対する責任を主張するための方法です。デジタル署名は、署名付き電子メールやウェブフォームのデジタル署名を検証するプロセスと同様に機能しますが、例外として、デジタル署名は1つのメッセージではなく、DKIM対応のメールシステムが送信するすべてのメッセージに追加されます。

これにより、スパムやフィッシングなどのID偽装が減少するなどのメリットがあります。これにより、受信者はメッセージが本物であることを確認することができます。組織が送信した、または組織を代表して送信したメッセージが認証された場合、そのメッセージは受信者に対して、コンテンツが送信中に変更されていないことを保証します。

Microsoft 356 Exchange OnlineでWindows Powershellを使用してDKIMを有効にする手順

  • Windows Powershellアプリケーションで、"管理者として実行 "を選択します。

  • Windows Powershellのコマンドプロンプトウィンドウ上で、以下の4つのコマンドを実行する必要があります。

1. $UserCredential = Get-Credential

ユーザー名とパスワードを要求するダイアログボックスが表示されます。Powershellには、Office 365の認証情報を使って、管理者としてサインインしていることを確認してください。

2. $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

3.インポート-PSSession $Session -DisableNameChecking

4.New-DkimSigningConfig -DomainName "yourdomain.com" -Enabled $true

[注:この記事のためのドメイン例なので、"yourdomain.com "を独自のドメイン名に置き換えることを忘れないでください]。

No DKIM keys saved for this domain」エラーの修正について

  • これで、Exchange Online管理ポータルにログインすると、ドメインのDKIMを有効にするオプションが表示されるはずです。

5. 最後に、DKIMキーを有効にした後、最後のコマンドを実行する必要があります。削除-PSSession $Sessionを実行して、Powershellセッションを終了します。

なぜOffice 365ドメインのDKIMを有効にする必要があるのでしょうか?

DKIMは、公開鍵暗号方式を用いて、メールヘッダーやその他のメッセージコンポーネントに署名を追加することで、テキストの一部を認証された送信者に結びつけます。署名は、メッセージの受信時に秘密鍵を用いて検証され、送信者はインターネット上で公開された電子メールのアイデンティティに対して責任を負うことになります。これは、メッセージを安全かつ改ざんされずに配信するために不可欠なプロトコルです。マイクロソフトでは、ポータルに登録したドメインのメールセキュリティを強化するために、DKIMを有効にすることを推奨しています。

この記事が、Microsoft 365 Exchange Onlineの「No DKIM keys enabled for this domain」というプロンプトの解決に役立つことを願っています。Office 365でDKIMを設定する方法について詳しく知りたい場合は、次の記事をご覧ください。 オフィス365 DKIMガイドをご覧ください。

ドメインへのなりすまし攻撃を防ぐために、オフィス365のDKIM認証結果を毎日レポートしています。 DMARCレポートアナライザ今日から

フィッシングやスプーフィングなどのなりすまし攻撃は、ドメインの健全性に大きな影響を与え、認証失敗やメールの漏洩などにつながる可能性があります。だからこそ、今日からでもこれらに対する防御力を高める必要があるのです。フィッシングやなりすましの攻撃からメールを適切に保護するためには、様々な方法を導入することができます。ここでは、それらがどのようなものかを説明します。

なりすまし攻撃を防ぐメール認証プロトコル

  1. 送信者ポリシーフレームワーク(SPF)について
    まずはSPFを導入するのが良いでしょう。Sender Policy Frameworkは、お客様のドメイン名のDNSに基づいて、メールの送信に使用されるIPがその権利を持っていることを証明することができます。これにより、ドメイン名の不正使用を防ぎ、第三者があなたになりすますことを防ぐことができます。フィッシングやなりすましの攻撃は、このようなミスを利用することが多いため、SPFプロトコルは特に効果的です。メールサーバーが、あなたのドメインに起因するIPアドレスを持つメールサーバーから送信されたと記載している場合、一般的にOSはメールを配信する前に2度確認します。このようにして、SPFを尊重していないメールサーバーはうまく無視されます。簡単に言うと、「SPFプロトコル」とは、ドメインの所有者(例えば[email protected])がそのDNS機関に認証を送ることができるというものです。

  2. DomainKeys Identified Mail (DKIM)
    DomainKeys Identified Mail(DKIM)とは、デジタル署名を用いてメッセージの送信元と内容を確認する電子メール認証システムのことです。DKIMは、スパムやフィッシングなどの悪質な電子メールを減らすために、電子メールの送信元と内容を確認するための一連の暗号技術です。具体的には、共有された秘密の暗号鍵を用いてメッセージの送信者を認証し(この秘密鍵は意図した受信者のみが所有している必要があります)、電子メールが「なりすまし」や偽者によって偽装されないことを保証します。また、署名を検証する組織は、電子メールのデータ破損を検出した場合、その電子メールを偽物として拒否し、送信者にその旨を通知することができます。

  3. DMARC(Domain-based Message Authentication, Reporting, and Conformance)について
    DMARCが存在する理由はいくつかあります。まず、DMARCは、どのメッセージが正当なもので、どのメッセージがそうでないかをメールサーバーに伝える方法を提供します。第2に、DMARCは、あなたのドメインが攻撃からどれだけ保護されているかを示すレポートを提供します。第3に、DMARCは、貴社の評判を落とす可能性のあるメッセージと貴社のブランドが結びつかないように保護します。DMARCは、電子メールメッセージが、送信元とされるドメインから本当に発信されたものかどうかを検証することで、フィッシングやスプーフィングに対する保護を強化します。また、DMARCは、受信したメッセージに関するレポートを要求することができます。これらのレポートは、考えられるセキュリティ問題を調査し、マルウェアの感染や組織を標的としたフィッシング攻撃など、考えられる脅威を特定するのに役立ちます。

フィッシングやなりすましの攻撃からドメインを守るために、PowerDMARCはどのように役立ちますか?

PowerDMARCのメールセキュリティ認証スイートは、SPF、DKIM、DMARCプロトコルのシームレスなオンボーディングを支援するだけでなく、以下のような多くの付加価値を提供します。

  • SPFフラットニングSPFレコードの有効性を維持し、SPFのハードリミットである10ルックアップ以下にするために
  • ビジネスメールを視覚的に識別するBIMIBIMIは、顧客に届くメールに、メールを開く前からブランドロゴを目立たせることができます。
  • 送信中のメールを暗号化するMTA-STS

楽しむために 無料のDMARCを利用するには、サインアップしてPowerDMARCアカウントを作成するだけで、追加費用は一切かかりません。より安全なメール体験のために、PowerDMARCでメール認証を始めてみませんか?

なりすましは、現在最も一般的な攻撃の一つです。詐欺師は、メールネットワーク(HotmailやGmailなど)の名前とメールアドレスを乗っ取って、あたかも知り合いの人(例えば、同業他社のCEOや役員)から送られてきたかのような偽メールを何千通も送りつけることが大好きなのです。

なりすましメールにご注意ください。なりすましメールから身を守る方法と、なぜこの深刻な情報セキュリティの脅威に注意する必要があるのかをご紹介します。さあ、はじめましょう

なりすましメール。なりすましメールとは?

なりすましメールは、今に始まったことではありませんが、また、すぐになくなるものでもないようです。技術の進歩が、実際に詐欺師の不正行為を助けているケースもあるのです。電子メールがなりすましとみなされる理由はさまざまです。最も一般的なのは、攻撃者が本物のサーバーを乗っ取り、それを使ってなりすましメールを送信する場合です。電子メールを送信する最も一般的な方法は、脆弱なSMTPサーバーを悪用する方法です。一度SMTPサーバーを侵害すれば、誰にでもなりすましたメールを送ることができる。

なりすましは深刻な問題であり、悪化の一途をたどっています。なりすましの影響は広範囲に及び、大手ブランドにもダメージを与えますが、最近のフィッシングの氾濫は、すでにユーザーの間にパニックを引き起こしていたのです。スプーフィングを回避するためのガイドを提供することは、ユーザー(そしてあなた自身)をこの脅威から解放し、技術サポートリストに掲載するためのベストプラクティスを確立することにつながります。

なりすましメールは、どのような被害をもたらすのでしょうか?

前回、信頼できる会社からのメールに記載されていたリンクをクリックしたことを覚えていますか?おそらく、送信者がリンクをクリックするように指示したため、それまで訪れたことのないウェブサイトにたどり着いたことでしょう。この新しいアドレスが、あなたの個人情報を盗み出そうとする悪意ある試みでないと、どうして分かったのでしょうか。答えは簡単です。正規の企業は、ユーザー名、パスワード、クレジットカード番号などの個人情報を電子メールで尋ねることはありません。

しかし、不正な発信元があなたのアドレスを偽造して、このような悪質なメッセージを顧客に送信した場合、あなたのビジネスに損害を与えることになりますので、ご安心ください。せっかく築き上げた信頼と評判が、このような攻撃によって打撃を受け、顧客は正規のマーケティングメールを開封するのをためらうようになるでしょう。

私のメールアドレスから連続したなりすましメールが送信されないようにするにはどうしたらいいですか?

メール認証プロトコルをメールスイートで活用しよう

  1. SPF:なりすましメールを回避するためのメール認証の基本として、SPFがあります。設定するのは簡単ですが、維持するのは大変なことです。DNSルックアップの上限である10回を超えると、真正性が証明されているにもかかわらず、認証に失敗する危険性がしばしばあります。この問題を回避するために、ダイナミックSPFフラット化ツールで迅速な解決策を提供します。SPFレコードを無料で作成できます。 SPFレコード作成ツール.
  2. DKIM:DKIMは、電子メールのなりすましを防止するために、すべての送信メッセージに署名する方法です。なりすましは一般的な電子メールの不正使用であるため、一部の電子メールサーバーでは、電子メールのなりすましを防止するためにDKIMを要求しています。DKIMを使用すると、すべての送信メールがデジタル署名で認証され、メールサーバーはそれが実際にあなたから来たものであることを知ることができます。
  3. DMARC: DMARCは、電子メールを利用して受信者に何らかの行動を起こさせるスプーフィングやフィッシング攻撃から組織を保護するための電子メール認証規格です。DMARCは、SPFとDKIMの上位レイヤーとして機能し、企業が承認したドメインからのメールではないことをメール受信者が認識できるようにし、不正なメールを安全に廃棄する方法を提供する。

スプーフィングに対する防御を開始したい場合は、当社のトライアルをご利用になることをお勧めします。 DMARCレポートアナライザー.DMARCダッシュボードで簡単にドメインの監視ができ、エラーの把握もできます。

RFCで規定されているSPFボイドルックアップの制限は現在2です。この規定はRFC 7208(セクション11.1)に記載されており、SPFチェックごとに許可されるSPFボイドルックアップの数に制限を設けています。この記事をご覧になっている方は、プロトコルの処理中やメールのDMARCレポートデータの確認中に、次のようなエラーメッセージに出くわしたことがあると思います。

PermError SPF パーマネントエラーです。ヴォイドルックアップの制限(2件)を超えました。

これをよく理解するために、SPF void lookupとは何かについて説明します。

SPFボイドルックアップとは何ですか?

SPF認証チェックを行う際に、DNSルックアップがvoidまたはnullのレスポンスを返す場合、それはSPF void lookupと呼ばれます。DNS検索の10件制限と混同しないように、SPFボイドルックアップは、SPFを扱っているときに遭遇する可能性のある、別のカテゴリーのエラー応答です。

なぜこのようなことが起こるのでしょうか?SPFレコードに、誤った、または悪意のあるドメインやIPアドレスを参照するインクルードメカニズムが含まれている場合、検索すると空またはヌルのレスポンス(回答のないNOERROR、またはNXDOMAIN)が返されることがあります。RFCでは、誤ったSPFレコードがDenial-of-Service攻撃の一因となることを防ぐため、このようなSPFボイドルックアップを最大2つまでに制限することを推奨しています。

しかし、SPF void lookupの上限を超えると、SPF PermErrorとなり、SPF failとなり、メールの配信ができなくなる可能性があります。

SPF void lookupsの制限を回避するにはどうすればいいですか?

SPFボイド検索の上限である2件を超えないようにするためには、様々な方法や実践があります。

  1. メール送信元やサードパーティベンダーのIPアドレスや仕組みを常に把握し、それらの記録に重複や誤記がないことを確認してください。
  2. に切り替える。 SPFフラット化PowerSPFを使えば、ワンクリックで記録を最適化して最新の状態に保つことができ、常に監視したり手動で更新する必要がありません。

この記事では、SPFボイドルックアップの制限と、それがメールフローや認証結果にどのような影響を与えるかについて、理解を深めていただけたと思います。なりすましに対する高度な保護を得るためには、以下の導入をご検討ください。 DMARCの導入をご検討ください。

あなたのSPFレコードの長さには制限がありますか?答えは簡単で、はい。SPFレコードの長さには255文字の制限があり、これを超えるとSPFが破損し、認証に失敗する可能性があります。SPF exceeds maximum characters limit」というメッセージが表示された場合、それは単に、お客様のDNSのSPFレコードがRFCで規定された(RFC 7208)文字列制限よりも長いことを意味します。これは、特にメールの配信がSPFの整合性に大きく依存している場合に問題となります。

すでにSPFレコードをお持ちですか?その有効性を無料の SPFチェッカ.

SPFの長さを制限しないための最適化

  1. レコードにptr機構を使用することは避けてください。これは、SPFのRFCガイドラインでは現在サポートされておらず、SPF文字列の文字数がさらに増えてしまうためです。
  2. SPFの255文字の制限を回避して、SPFに失敗することなくエラーメッセージを回避したい場合、RFCでは1つのSPF DNSレコードに複数の文字列を使用することが認められています。ただし、レコードが有効であるためには、これらの文字列はすべて、間にスペースを入れずにつながっている必要があります。各行が個別のレコードとして扱われるため、複数の行に分かれていない、1つの連続した行であることを確認してください。1つのドメインに複数のレコードがあると、SPFが壊れてしまいます。
  3. SPFレコード内の冗長、繰り返し、およびNULLのメカニズムを削除してください。これにより、あなたのレコードが短く、簡潔で、有効であることが保証されます。
  4. 私たちの SPFフラットニング255文字のSPFレコードの長さ制限を超えないように、自動的にレコードを最適化するツールです。

SPF文字列の文字数制限を超えるとどうなりますか?

SPFの255文字の制限を超えると、DNSのレコードが無効とみなされるため、受信者側でメールの認証ができなくなります。ポリシーやアライメントモードによっては、メールが転送中に失われ、受信者に届かない可能性があります。SPF認証の失敗に関するレポートを取得するために、ドメインにDMARCレポートアナライザを設定することをお勧めします。これらのシナリオでレポートを有効にすると、"SPF exceeds maximum character limit "のようなエラーメッセージが表示されるか、DNSがBINDと通信してメッセージを表示します。「invalid rdata format: ran out of space" というメッセージが表示されます。いずれの場合も、SPFレコードの上限を超えたことを意味します。 

PowerSPFでSPFレコードの上限を制限する

 

PowerSPFは、SPFに関するすべての問題を解決するワンストップソリューションです。ルックアップ数を10に制限することも、レコードの長さを指定された長さに制限することも、PowerSPFは即座に、そして簡単に行うことができます。

DNSレコードを最適化して、エラーのない実装を楽しむことが、PowerDMARCのメールセキュリティスイートで可能になります。DMARCトライアルに登録すると、ワンクリックで最適化されたSPFを利用することができます。