DMARCとDKIMの比較

本日は、DMARCとDKIMの比較について説明します。DMARCとDKIMは、どちらも電子メール認証プロトコルであり、なりすまし攻撃や電子メールの漏洩に対抗するためのものです。 DMARCとDKIMは、どちらもブランドを保護するための重要なツールですが、互いに取って代わるものではありません。したがって、それぞれの機能を理解した上で、ニーズに合わせて最適なものを選択することが重要です。

DMARCとDKIMは何の略ですか?

まず、略語を分解してみましょう。

DMARCは、Domain-based Message Authentication Reporting and Conformanceの頭文字をとったものです。DMARCは、SPFレコードやDKIMレコードを使用して電子メールを認証するプロトコルです。また、あなたのドメインから送信された認証されていないメールがどうなるかを監視し、制御することができます。

DKIMは、DomainKeys Identified Mailの頭文字をとったものです。暗号認証を利用してメールの真偽を確認する方法である。

DMARCの定義とその仕組み 

DMARCは、SPF(Sender Policy Framework)とDKIMをベースにしています。メッセージがこれらの標準に合致しているかどうかを検証するものです。DMARCは、不正なメッセージを拒否することができ、また、受信者のメールサーバーからレポートを電子メールで送信することができます。これは、組織が "あなたが私のドメインからメールを送るなら、私はそれを認証します "と言えるようにするためのプロトコルです。また、送信者と受信者の間でフィードバックループを作り、相手が指定されたポリシーに従っているかどうかを双方が知ることができる。

DMARCは、電子メールの送信者と受信者の両方が使用することができます。DMARCのチェックに失敗した場合、受信者はメッセージを拒否したり、認証に失敗した理由を説明する通知を添えて送信者に送り返すなど、さまざまな対応を取ることができます。DMARCの目標は、正当なメールを通過させつつ、メールの漏洩を減らすことである。

DMARCはどのように機能するのですか?

そもそもDMARCの基本的な機能は、メールを意図した受信者に届けるべきかどうかを判断することである。そのために、特定のドメインに対してどのようなDNSレコードが保存されているかを判断する。DMARCのレコード自体には、SPFまたはDKIMのチェックに失敗した場合にメールをどこに送るべきかという指示が含まれています。

また、認証に失敗した場合に、どの程度のメッセージを配信すべきかの指示も行う。ここでは、3つのオプションが考えられる。 

  • none' は、失敗したメッセージをすべて正常なものとして扱うことを意味します。
  • 隔離」は、メッセージの一部を配信するが、警告のみを表示することを意味します。
  • reject」は、メッセージのどの部分も配信すべきではないことを意味します。

DKIMの定義とその仕組み 

DKIMはDomainKeys Identified Mailの略で、電子メールが本物であることを確認する方法として2004年にヤフーが開発したものです。DKIMはSPF(下記参照)と同様に機能しますが、メッセージごとに認証署名を送信するのではなく、サーバーから送信されるすべてのメッセージのヘッダーに署名し、受信者があなたのドメイン名と関連付けられたDNSレコードにリストされた公開鍵を使用して、その真正性を確認できるようにする仕組みになっています。

DKIMは、電子メールが認可されたサーバーから送信されたことを確認するための暗号化手法です。これは、各メールに秘密鍵で暗号署名を行い、受信者が公開鍵で検証できるようにすることで行われます。DKIMは、DMARCとは異なり、電子メール認証において異なる役割を担っています。DKIMは電子メール認証の一形態で、メッセージがあなたのドメイン名を使用する誰かによって送信されたかどうかを確認することができます。

DKIMはどのように機能するのですか?

この検証は、お客様のサーバーから送信される各メッセージにデジタル署名を追加することで行われます。この署名は、いくつかの重要な情報を含むヘッダーを電子メールに追加することで追加されます。

  • メール送信に使用したドメイン名
  • DKIMセレクタは、複数のDKIMレコードが公開されている場合に、DNS内のDKIM公開鍵の位置を特定するために使用されます。
  • 公開鍵は、受信者のメールサーバーがメッセージの一部を復号化し、メッセージの別の部分と比較することで、それが正規のサーバーから送信されたことを確認するために使用されます。
  • メッセージの一部からハッシュ値を生成し、アクセス権を持つ人がその部分を検証できるようにする。 

DMARCとDKIMの比較:いつ、どちらを使うか?

DMARCとDKIMは、どちらも電子メールのセキュリティと配信性を向上させるための電子メール認証技術です。よく混同され、多くの企業がこの2つのプロトコルの違いを理解するのに苦労していますが、DMARCとDKIMは、上で説明したように、実際には全く別のものです。

ここで重要なのは 2つのプロトコルはどちらも相互依存性がなく、個別に設定することができます。 その方法を確認しましょう。

SPFと対になるDMARCを設定する

ドメインのDKIMの設定を省略しても、SPFとペアリングすることでDMARCを設定することができます。これは、メールがDMARCを通過するためには、SPFまたはDKIMのいずれかの識別子のアライメントが必要なためです。DKIMなしでDMARCを実装する場合。 

  • 許可された送信元をすべてリストアップする 
  • SPFレコードを作成するには、無料の SPFレコード作成ツールを作成し、送信元をすべて含めて認証してください。
  • DNSにレコードを貼り付けます。 
  • DMARC TXTレコードを作成するには、無料の DMARCレコード作成ツール
  • DMARCを有効にするには、このレコードをDNSにコピー&ペーストしてください。

DKIMを単独で設定する

DMARCの設定を省略したい場合は、DKIMを単独で実装することができます。そのためには、PowerDMARCのDKIMレコード生成ツールに向かい、以下の情報を入力してください。 

  • ユニークなDKIMセレクタキー (1024または2048ビットの英数字で構成される) 
  • ドメイン名(接頭辞なし、例えば、あなたのウェブサイトのURLが https://www.domainname.comの場合、お客様のドメイン名は ドメイン名.com)

レコード生成ボタンを押すと、AIがDKIM TXTレコードを生成し、プロトコルを有効にするためにDNSでそれを公開する方法についての説明も表示されます。 

DMARC VS DKIM VS SPF

SPFはSender Policy Frameworkの略で、2001年にAOLが、メール送信者が受信者のメールサーバーに、どのIPアドレスからメールを送信することが許可されているかを伝える方法として作成したものです。

どのメール認証方式が自分のビジネスに最適なのかを考えようとすると、その判断は少し混乱することがあります。検討すべきことはたくさんあります。SPF、DKIM、DMARCはすべて、メールが意図したとおりに配信され、受信されるようにするために重要な役割を担っています。

DMARCはフィッシング詐欺からブランドを守るのに最も適した方法ですが、DKIMやSPFほどスパムを阻止する効果はありません。DKIMはDMARCよりもスパムを防ぐのに優れているが、フィッシング詐欺を阻止するのはそれほど得意ではない。SPFは他のどの方法よりもフィッシング詐欺を阻止するが、スパムやランサムウェアに対してはあまり効果がない。

DMARC、SPF、DKIM: 電子メール保護のための統合的な取り組みについて

 

電子メール認証に多要素のアプローチを採用することは、ドメインと情報セキュリティの点で画期的なことであると私たちは考えています。このため、業界の専門家は組織に対して、DMARC、SPF、DKIMを導入し、総合的な電子メール保護を行うことを推奨しています。 

SPFとDKIMの両認証基準に照らし合わせながら、特別な指示や逆のフィードバックにDMARCを使用することで、電子メールにおける100%のコンプライアンスを得ることができます。また、組織のドメインに対する信頼を築き、強固な基盤を構築し、配信性を確保することができます。 

PowerDMARCメール認証スイートは、プロトコルを設定する際に自動化された体験を提供します。DMARCサービスは、SPFおよびDKIMとペアになっており、お客様の電子メールのセキュリティを次のレベルに引き上げます。登録はこちら 無料DMARCに登録して、その効果をお試しください。