DKIMなしでDMARCを設定できますか?
by
読書時間 7 分
DKIMなしでDMARCを設定することは可能です。
しかし、そうすることが良いことなのでしょうか?
この記事では、この疑問について探ります。そして、DKIMなしでDMARCを構成することの結果について説明します。
主なポイント
- DKIMなしでDMARCを設定することもできるが、この方法は一般的に推奨されない。
- DMARCをSPFとDKIMの両方と併用することで、メールの配信性と信頼性が向上します。
- 電子メールクライアントはしばしばDKIMのないメッセージをスパムとしてマークし、送信者の評判を損なう可能性がある。
- SPFとDKIMは異なる目的を果たすため、互いに依存することなく、独立して、あるいは同時に使用することができる。
- DKIMでDMARCを設定することで、特に転送中の誤検知やメール配信の問題を防ぐことができます。
DMARC認証規格の理解
DMARCは、あなたのドメインからの電子メールメッセージを認証するためのプロトコルです。DMARCは、電子メール・メッセージが正当なものであるかどうかを判断するために、一連のルールを使用します。
SPFとDKIMは、DMARCの文脈で認証目的で使用される他の2つのプロトコルである。
SPFは、Sender Policy Frameworkの頭文字をとったもので、メールプロバイダーが送信者の身元を確認し、スパム・メッセージをブロックする方法を規定しています。
DKIMはDomainKeys Identified Mailの頭文字をとったもので、送信時にメッセージを暗号化し、宛先サーバーに届いた時点で公開鍵暗号方式を使って再び署名する仕組みになっています。
DMARC、SPF、DKIMの3つを組み合わせると- を組み合わせると、電子メール認証の3本柱ができあがります。これらは、お客様のメールが第三者によって偽造、改ざん、ハッキングされないことを保証するものです。
PowerDMARCでセキュリティを簡素化!
DMARC評価アルゴリズム
DMARCの評価アルゴリズムは、SPFとDKIMによる認証結果を考慮したブーリアン値である。その後、電子メールメッセージを正当なものとして受け入れるかどうかを判断します。
その結果は、2つの可能性に左右されます。
1.パスする。このメールは、SPFとDKIMの両方の認証をパスするか、どちらか一方だけをパスしています。つまり、クリーンであるとみなされる。従って、受信サーバーに受け入れられます。
パス」認証のアルゴリズムを簡単な数式で表すと
| DMARC認証パス = 有効なSPF識別子がアライメントされたSPFレコード +/or 有効なDKIM識別子がアライメントされたDKIMレコード |
OR (DKIMがない場合)
| DMARC認証パス = 有効なSPF識別子のアライメントを持つSPFレコード |
OR (SPFがない場合)
| DMARC認証パス = 有効なDKIM識別子のアライメントを持つDKIMレコード |
2.失敗。メッセージはSPFとDKIMの両方の認証チェックに失敗し、メッセージが不正であるか、悪意のあるコンテンツが含まれていることを示しています。
DKIMなしでDMARCを設定できますか?
以下の3つのシナリオでDMARCは通過します。
ですから、DKIMなしでDMARCを設定することは可能です。
DMARCは、認証のためにSPFとDKIMの上に構築されているが、両者は直交する技術である。
一般的な意味では、SPFは「パス認証」の仕組みで、IPがあるドメインの代わりにメッセージを送ることを許可するということです。一方、DKIMは「コンテンツの完全性」の仕組みで、送信したものがサーバーに到達したときに変更されていないことを保証することを意味します。
つまり、互いに依存し合うことなく、並行して、あるいは独立して使用することが可能なのです。
しかし、SPFとDKIMを併用することで、より強固なDMARC認証機能を提供できるため、DMARCと併用することを推奨します。DKIMを使用しないDMARCは、可能ではありますが、推奨される方法とは言えません。
メールソフトはDKIMのないメールをどう扱うか?
ほとんどのメールクライアントは、DKIMを持たないメールをスパムとして扱います。
その結果、受信者のメールサーバーでフラグが立てられ、迷惑メールと判定されるケースもあるようです。
また、メールサービスプロバイダーによっては、あなたが意図したものとは異なるドメインから発信されたメッセージとして受信者に表示される場合があります。
例えば、OutlookやGmailでは、DKIMのないメールは正しいFROMアドレスで受信者の受信箱に表示されますが、「送信者」または「経由者」は他の誰かです。
これは受信者を混乱させ、あなたではなく他の誰かがメッセージを送ったと思わせる可能性があります。
例1(Outlook)
図1DKIMなし:Outlookでは、受信者の受信箱に「送信者」のアドレスが表示されます。
図2DKIMの場合:OutlookはFROMアドレスのみを表示します。
例2(Gmail)
図3DKIMなし:Gmailでは受信者の受信箱に「via」アドレスが表示される。
図4DKIMの場合:GmailはFROMアドレスのみを表示します。
しかし、DKIMがメールに存在すれば、上記のような問題は起こりにくいです。送信サーバーがクライアントの画面に表示されなくなるため、スパムや迷惑メールフォルダーに入る可能性が低くなります。また、FROMアドレスしか情報がないため、メールマーケティング戦略で顧客を求めている送信企業にとっては、信頼度が高いということになります。
DKIM付きDMARCとDKIMなしDMARCを設定した場合の結果
DMARCとDKIMを設定することで、スパムフィルターによるフラグ立てやメールブロックの防止に役立ちます。
しかし、DKIMを使わずにDMARCを設定すると、誤検出が増加したり、受信者が送信者の電子メールアドレスを確認しようとしたときに遅延が発生したりする可能性があります。
このセクションでは、DMARCをDKIM付きで設定した場合とDMARCをDKIMなしで設定した場合に考えられる結果をいくつか見ていきます。
1.電子メールの信頼性を確認する場合
SPFベースのアプローチだけでは、DMARCの保護は目に見えない「エンベロープ送信者」アドレス(MAIL FROMまたはReturn-path)に限定される。これらは、送信者からのバウンス(不達報告)を受信するために使用されます。
しかし、DKIMとSPFを併用することで、「ヘッダーFrom:」アドレスだけでなく、受信者が見えるアドレスに対してもDMARCの保護が有効になります。これにより、SPFのみでDMARCを利用するよりも、よりメールの信頼感を高めることができます。
2.メールを転送する場合
SPF認証は、あなたのSPFレコード(あなたがメールを送りたいサーバーのIPアドレス)を含むメールを、他のサーバーに送ることで機能します。相手のサーバーは、このIPアドレスが登録されているかどうかを認証し、自分のSPFレコードを返します。
さて、メール転送の場合、中間サーバーのIPアドレスが送信ドメインのSPFリストに登録されている保証はないため、SPF認証に失敗することがあります。この結果、正当なメールに DKIM署名はDMARC認証に失敗し、偽陰性となります。
もし、このドメインにDKIMが設定されていれば、偽陰性は発生しなかったはずです。
でも、なぜ?
DKIMの署名(d=)はメール本文に添付されるが、SPFは「Return-Path」ヘッダーに添付される。
メール転送の場合、メール本文に手を加えないため、メール本文に含まれるDKIM署名(d=)がそのまま残ります。つまり、メール本文に含まれる公開鍵と秘密鍵のペアで送信者の身元が確認でき、DMARC認証がパスすることになります。
一方、SPFは「Return-Path」ヘッダーに付けられるが、これはメール転送の場合に変化する。そのため、その有効性が検証されず、結果的に誤判定してしまう。
結論として、SPF認証はメール転送によって失敗するが、DKIMはメール本文に添付されるため、メール転送に耐える。したがって、DMARCをDKIMとともに設定することが重要である。
3.IPアドレスの更新を行う場合
電子メールを送信すると、受信サーバーは電子メールのヘッダーが改ざんされていないかどうかを確認する。改ざんされていた場合、受信サーバーはあなたのメッセージを拒否し、あなたに通知を送ります。
そこで登場するのがSPFです。SPFは、送信サーバーのSPFレコードにあなたのIPアドレスが有効なものとして登録されているかどうかをチェックします(言い換えれば、なりすましIPアドレスが存在しないことを確認するわけです)。
IPアドレスを変更した場合、SPFレコードを新しいアドレスに更新する必要があります。この作業にかかる時間は、IPアドレスを変更する頻度によって異なりますが、ほとんどの場合、新しいSPFレコードが有効になるまでには最大48時間かかります。
では、メールプロバイダーが新しいIPを追加した場合はどうなるのでしょうか。この場合、SPFレコードの更新の伝搬時間により、メールの配信が遅れる可能性があります。
しかし、DKIMとSPFの両方を設定すれば、DKIMの暗号署名を利用して、[email protected]、メールサーバーが送信を許可されたことを証明することで、この問題を回避することができるのです。
つまり、IPレンジが変わっても、DKIMは特定のドメインから送られてくるメールが本物で正当なものであることを確認することができるのです。
DKIMを使用しないDMARCの使用:想定されるOK/FAILのシナリオ
DKIMとSPFの仕組みを利用する場合、「なりすましを防ぐ」という同じ目的を達成するために、事実上2つの異なるツールを使っていることになります。
これらは両方とも独立して動作しますが、独立して失敗することもあります。例えば、SPFはDKIMと無関係に失敗することがあり、DKIMはSPFと無関係に失敗することがあります。
ここでは、DKIMを使用しない場合と使用しない場合のDMARCの設定について、考えられる4つのOK/FAILのシナリオを紹介します。
| シナリオ | 意味 | メール配信状況 |
| SPF OK、DKIM OK | これは、メールが正当な送信元から送信されることを保証するものです。サーバーは、有効なSPFレコードと有効なDKIM署名を持っているので、メールを送信することが許可されています。 | 受信トレイで配信 |
| SPFはOK、DKIMは失敗 | 認可されたサーバーからメールが配信されたが、そのDKIM署名の検証が失敗したことを意味します。 | スパムまたは迷惑メールフォルダに配信される |
| SPFは失敗、DKIMはOK | メールのDKIM署名は有効だが、送信サーバーがメールを配信する権限を持っていないことを意味します。 | スパムまたは迷惑メールフォルダに配信される |
| SPFに失敗、DKIMに失敗 | SPFとDKIMの両方が失敗した場合、メールはなりすましとみなされ、受信者のDMARC対応メールサーバーによって拒否されます。 | 未配信・不採用 |
DMARCの完全な導入は時代の要請です。
SPFとDKIMは、電子メールのなりすましを防止するために適切なDMARCレコードを実装するために使用される最も一般的な電子メール保護メカニズムです。適切なDMARCの実装が既存のメールインフラに適用されると、メールメッセージは意図したとおりに配信されます。つまり、スパムメールの苦情が減り、ブラックリストの誤検出が減り、すべての購読者の配信統計が改善されます。
PowerDMARCは、完全な DMARCDKIM、SPF、DMARCポリシーなど、お客様のドメインに合わせた完全なDMARC実装サービスです。これにより、より信頼性の高いメール配信を実現することができます。
DKIMレコードの生成オンラインまたは 無料DMARCトライアル複雑で変化し続けるメールセキュリティの世界への完全なソリューションのために。
ドメインとメールセキュリティのエキスパートPowerDMARC
AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。
最新記事 by Ahona Rudra(全て見る)
- マイクロソフト、メール送信者ルールを強化:見逃せない主なアップデート- 2025年4月3日
- DKIMの設定:メールセキュリティのためのDKIM設定ステップバイステップガイド (2025)- 2025年3月31日
- PowerDMARC が G2 Spring Reports 2025 で DMARC のグリッドリーダーに認定される- 2025年3月26日
