の議論をご覧になっていない方は DMARCとSPFの議論をご存じない方のために、DMARCとSPFについて理解し、どのように役立つのかを説明します。メール認証に慣れていない方は、DMARCやSPFといった言葉を目にしたことがあるかもしれませんが、どちらが自分に合っているかを判断するために、これらの言葉をもっと理解したいと思っているのではないでしょうか。
Sender Policy Framework(通称SPF)を利用すると、自分に代わって顧客にメールを送信することを許可されたIPアドレスのリストをキャッシュすることができます(RFC 4408)。一方、DMARCは、認証に失敗した電子メールに対するポリシーを指定し、ドメインオーナーが実装したセキュリティプロトコルの緊縮性をコントロールするのに役立つ。とはいえ、DMARCとSPFの比較を詳しく説明しましょう。
SPFを導入しましたが、DMARCはまだ必要ですか?
SPFは、ドメイン所有者に、配送の失敗やなりすましの試みのレポートを送るメカニズムを提供していません。ここで、DMARCの出番となります。DMARCレポートを有効にすると、SPF認証の結果に関する通知を受け取ることができます。これには、失敗した配信やなりすましの試みが含まれますが、これらに限定されません。これは、ドメインにSPFしか導入していない場合でも、メールセキュリティスイートには欠かせない重要な機能である。
ドメインの監視は、メールのパフォーマンスに関する情報を処理し、メールマーケティングキャンペーンの成功率を測定するのに役立ちます。また、攻撃への迅速な対応や、疑わしい送信者アドレスのブラックリスト化にも役立ちます。
DKIMを使用せずにDMARCを導入することはできますか?
はい。 DNSにDKIMレコードが存在しなくても、DMARCレコードを公開することは可能です。これは、電子メールがDMARCに準拠しているとみなされるためには、SPFまたはDKIM認証のいずれかを通過する必要があり、両方を通過することはできないためです。DKIMレコードがない場合、受信側のMTAは、メッセージの信憑性を判断するSPFアライメントのみをチェックし、DKIMはすべてのメッセージに対して自動的に失敗します。
しかし、これは理想的な状況ではありません。その理由を見てみましょう。
メール転送とメーリングリストの問題
転送メールの場合、メッセージは受信者の受信箱に届く前に、中間のサーバーを通過します。このサーバーは、あなたのドメインのSPFレコードに含まれていない可能性のある別のIPアドレスを持っています。そのため、転送されたメールは受信者側のSPFを壊してしまうのです。
DKIMレコードを持っていない場合、SPFに失敗すると、本質的にDMARCに失敗することになります。拒否するように設定されたポリシーでは、メーリングリストを介して送信された正当な電子メールは、受信者に全く届かないことになります。だからこそ、SPFとDKIMの両方をドメインに実装し、メールを両方のプロトコルに合わせることでDMARCに完全に準拠させることが、スムーズな配信を保証するためのより良い方法なのです。
DMARCとSPFの比較:要約すると
DMARC対SPFの議論をまとめると、まずSPF用のTXTレコードとDMARC用のレコードを公開し、集約レポートを可能にしながら、ポリシーを「なし」に保つことをお勧めします。こうすることで、転送されたり、メーリングリストで送信されたりするメールの量を把握することができます。Noneポリシーは、メールの配信性に影響を与えず、ドメインを効果的に監視することができます。
しかし、差し迫ったフィッシング攻撃やなりすましに対する防御力を高めるためには、DMARCのポリシー(p=reject/quarantine)をより強化する必要があります。SPFを導入するだけでは、電子メール詐欺に対する防御にはならず、DMARCポリシーが必須となります。
DMARCソフトウェアソリューションの利点
私たちは、PowerDMARCの DMARCレポートアナライザの使用をお勧めします。専門家のアドバイスを得て、今日のメール認証基準を最大限に活用してください。これはあなたの助けになるでしょう。
- 配信に影響を与えることなく、市場最速のスピードで拒否ポリシーに移行できる
- 送信メールの100%DMARC準拠を実現
- p=noneの状態でメールチャネルを監視し、転送されたメールの量を明確にする。
- プロトコルのポリシーモードや設定を迅速に決定し、導入したメール認証規格をスムーズに展開することができます。
