DKIMなしでDMARCを設定することは可能です。
しかし、そうすることが良いことなのでしょうか?
この記事では、この疑問について探ります。そして、DKIMなしでDMARCを構成することの結果について説明します。
DMARC認証規格の理解
DMARCは、あなたのドメインからの電子メールメッセージを認証するためのプロトコルです。DMARCは、電子メール・メッセージが正当なものであるかどうかを判断するために、一連のルールを使用します。
SPFとDKIMは、DMARCの文脈で認証目的で使用される他の2つのプロトコルである。
SPFは、Sender Policy Frameworkの頭文字をとったもので、メールプロバイダーが送信者の身元を確認し、スパム・メッセージをブロックする方法を規定しています。
DKIMはDomainKeys Identified Mailの頭文字をとったもので、送信時にメッセージを暗号化し、宛先サーバーに届いた時点で公開鍵暗号方式を使って再び署名する仕組みになっています。
DMARC、SPF、DKIMの3つを組み合わせると- を組み合わせると、電子メール認証の3本柱ができあがります。これらは、お客様のメールが第三者によって偽造、改ざん、ハッキングされないことを保証するものです。
DMARC評価アルゴリズム
DMARCの評価アルゴリズムは、SPFとDKIMによる認証結果を考慮したブーリアン値である。その後、電子メールメッセージを正当なものとして受け入れるかどうかを判断します。
その結果は、2つの可能性に左右されます。
1.パスする。このメールは、SPFとDKIMの両方の認証をパスするか、どちらか一方だけをパスしています。つまり、クリーンであるとみなされる。従って、受信サーバーに受け入れられます。
パス」認証のアルゴリズムを簡単な数式で表すと
| DMARC認証パス = 有効なSPF識別子がアライメントされたSPFレコード +/or 有効なDKIM識別子がアライメントされたDKIMレコード |
OR (DKIMがない場合)
| DMARC認証パス = 有効なSPF識別子のアライメントを持つSPFレコード |
OR (SPFがない場合)
| DMARC認証パス = 有効なDKIM識別子のアライメントを持つDKIMレコード |
2.失敗。メッセージはSPFとDKIMの両方の認証チェックに失敗し、メッセージが不正であるか、悪意のあるコンテンツが含まれていることを示しています。
DKIMなしでDMARCを設定できますか?
以下の3つのシナリオでDMARCは通過します。
ですから、DKIMなしでDMARCを設定することは可能です。
DMARCは、認証のためにSPFとDKIMの上に構築されているが、両者は直交する技術である。
一般的な意味では、SPFは「パス認証」の仕組みで、IPがあるドメインの代わりにメッセージを送ることを許可するということです。一方、DKIMは「コンテンツの完全性」の仕組みで、送信したものがサーバーに到達したときに変更されていないことを保証することを意味します。
つまり、互いに依存し合うことなく、並行して、あるいは独立して使用することが可能なのです。
しかし、SPFとDKIMを併用することで、より強固なDMARC認証機能を提供できるため、DMARCと併用することを推奨します。DKIMを使用しないDMARCは、可能ではありますが、推奨される方法とは言えません。
メールソフトはDKIMのないメールをどう扱うか?
ほとんどのメールクライアントは、DKIMを持たないメールをスパムとして扱います。
その結果、受信者のメールサーバーでフラグが立てられ、迷惑メールと判定されるケースもあるようです。
また、メールサービスプロバイダーによっては、あなたが意図したものとは異なるドメインから発信されたメッセージとして受信者に表示される場合があります。
例えば、OutlookやGmailでは、DKIMのないメールは正しいFROMアドレスで受信者の受信箱に表示されますが、「送信者」または「経由者」は他の誰かです。
これは受信者を混乱させ、あなたではなく他の誰かがメッセージを送ったと思わせる可能性があります。
例1(Outlook)
図1DKIMなし:Outlookでは、受信者の受信箱に「送信者」のアドレスが表示されます。
図2DKIMの場合:OutlookはFROMアドレスのみを表示します。
例2(Gmail)
図3DKIMなし:Gmailでは受信者の受信箱に「via」アドレスが表示される。
図4DKIMの場合:GmailはFROMアドレスのみを表示します。
しかし、DKIMがメールに存在すれば、上記のような問題は起こりにくいです。送信サーバーがクライアントの画面に表示されなくなるため、スパムや迷惑メールフォルダーに入る可能性が低くなります。また、FROMアドレスしか情報がないため、メールマーケティング戦略で顧客を求めている送信企業にとっては、信頼度が高いということになります。
DKIM付きDMARCとDKIMなしDMARCを設定した場合の結果
DMARCとDKIMを設定することで、スパムフィルターによるフラグ立てやメールブロックの防止に役立ちます。
しかし、DKIMを使わずにDMARCを設定すると、誤検出が増加したり、受信者が送信者の電子メールアドレスを確認しようとしたときに遅延が発生したりする可能性があります。
このセクションでは、DMARCをDKIM付きで設定した場合とDMARCをDKIMなしで設定した場合に考えられる結果をいくつか見ていきます。
1.電子メールの信頼性を確認する場合
SPFベースのアプローチのみでは、DMARCの保護は目に見えない「封筒の送信者」アドレス(MAIL FROMまたはReturn-path)に限定されるでしょう。これらは、送信者からのバウンス(不達報告)を受信するために使用されます。
しかし、DKIMとSPFを併用することで、「ヘッダーFrom:」アドレスだけでなく、受信者が見えるアドレスに対してもDMARCの保護が有効になります。これにより、SPFのみでDMARCを利用するよりも、よりメールの信頼感を高めることができます。
2.メールを転送する場合
SPF認証は、あなたのSPFレコード(あなたがメールを送りたいサーバーのIPアドレス)を含むメールを、他のサーバーに送ることで機能します。相手のサーバーは、このIPアドレスが登録されているかどうかを認証し、自分のSPFレコードを返します。
さて、メール転送の場合、中間サーバーのIPアドレスが送信ドメインのSPFリストに登録されている保証はないため、SPF認証に失敗することがあります。この結果、正当なメールに DKIM署名はDMARC認証に失敗し、偽陰性となります。
もし、このドメインにDKIMが設定されていれば、偽陰性は発生しなかったはずです。
でも、なぜ?
DKIMの署名(d=)はメール本文に添付されるが、SPFは「Return-Path」ヘッダーに添付される。
メール転送の場合、メール本文に手を加えないため、メール本文に含まれるDKIM署名(d=)がそのまま残ります。つまり、メール本文に含まれる公開鍵と秘密鍵のペアで送信者の身元が確認でき、DMARC認証がパスすることになります。
一方、SPFは「Return-Path」ヘッダーに付けられるが、これはメール転送の場合に変化する。そのため、その有効性が検証されず、結果的に誤判定してしまう。
結論として、SPF認証はメール転送により失敗しますが、DKIMはメール本文に添付されるため、メール転送に耐えることができます。従って、DMARCの設定もDKIMで行うことが重要です。
3.IPアドレスの更新を行う場合
電子メールを送信すると、受信サーバーは電子メールのヘッダーが改ざんされていないかどうかを確認する。改ざんされていた場合、受信サーバーはあなたのメッセージを拒否し、あなたに通知を送ります。
そこで登場するのがSPFです。SPFは、送信サーバーのSPFレコードにあなたのIPアドレスが有効なものとして登録されているかどうかをチェックします(言い換えれば、なりすましIPアドレスが存在しないことを確認するわけです)。
IPアドレスを変更した場合、SPFレコードを新しいアドレスに更新する必要があります。この作業にかかる時間は、IPアドレスを変更する頻度によって異なりますが、ほとんどの場合、新しいSPFレコードが有効になるまでには最大48時間かかります。
では、メールプロバイダーが新しいIPを追加した場合はどうなるのでしょうか。この場合、SPFレコードの更新の伝搬時間により、メールの配信が遅れる可能性があります。
しかし、DKIMとSPFの両方を設定すれば、DKIMの暗号署名を利用して、sender@yourdomain.com、メールサーバーが送信を許可されたことを証明することで、この問題を回避することができるのです。
つまり、IPレンジが変わっても、DKIMは特定のドメインから送られてくるメールが本物で正当なものであることを確認することができるのです。
DKIMを使用しないDMARCの使用:想定されるOK/FAILのシナリオ
DKIMとSPFの仕組みを利用する場合、「なりすましを防ぐ」という同じ目的を達成するために、事実上2つの異なるツールを使っていることになります。
これらは両方とも独立して動作しますが、独立して失敗することもあります。例えば、SPFはDKIMと無関係に失敗することがあり、DKIMはSPFと無関係に失敗することがあります。
ここでは、DKIMを使用しない場合と使用しない場合のDMARCの設定について、考えられる4つのOK/FAILのシナリオを紹介します。
| シナリオ | 意味 | メール配信状況 |
| SPF OK、DKIM OK | これは、メールが正当な送信元から送信されることを保証するものです。サーバーは、有効なSPFレコードと有効なDKIM署名を持っているので、メールを送信することが許可されています。 | 受信トレイで配信 |
| SPFはOK、DKIMは失敗 | 認可されたサーバーからメールが配信されたが、そのDKIM署名の検証が失敗したことを意味します。 | スパムまたは迷惑メールフォルダに配信される |
| SPFは失敗、DKIMはOK | メールのDKIM署名は有効だが、送信サーバーがメールを配信する権限を持っていないことを意味します。 | スパムまたは迷惑メールフォルダに配信される |
| SPFに失敗、DKIMに失敗 | SPFとDKIMの両方に失敗した場合、メールは偽装されたものとみなされ、受信者のDMARC対応メールサーバーによって拒否されます。 | 未配信・不採用 |
DMARCの完全な導入は時代の要請です。
SPFとDKIMは、電子メールのなりすましを防止するために適切なDMARCレコードを実装するために使用される最も一般的な電子メール保護メカニズムです。適切なDMARCの実装が既存のメールインフラに適用されると、メールメッセージは意図したとおりに配信されます。つまり、スパムメールの苦情が減り、ブラックリストの誤検出が減り、すべての購読者の配信統計が改善されます。
PowerDMARCは、完全な DMARCDKIM、SPF、DMARCポリシーなど、お客様のドメインに合わせた完全なDMARC実装サービスです。これにより、より信頼性の高いメール配信を実現することができます。
DKIMレコードの生成オンラインまたは 無料DMARCトライアル複雑で変化し続けるメールセキュリティの世界への完全なソリューションのために。
- 納税シーズンに増加する税金詐欺と国税庁の電子メールによるなりすまし攻撃- 2024年5月2日
- 暗号詐欺に対抗するための電子メール安全入門- 2024年4月30日
- ビジネスに最適なDMARCソリューション・プロバイダーを見つけるには?- 2024年4月25日