Salesforce DMARC、SPF、DKIM セットアップガイド

最終更新日:
7 読了時間:約7分
Salesforce DMARC、SPF、DKIM セットアップガイド

Salesforceユーザーの皆様へ、メールセキュリティを次のレベルへ引き上げ、配信率を長期的に向上させ、GoogleやYahooの受信トレイにブロックされずに到達したいとお考えなら、この記事が役立ちます!メール通信のセキュリティをさらに強化するため、SalesforceはDMARC、SPF、DKIMなどのメール認証プロトコルをサポートしています。 DMARC、SPF、DKIMなどのメール認証プロトコルをサポートしています。メールベースの攻撃からドメインを保護し、メールへのスパム苦情を減らしたい場合、これらの認証プロトコルを導入することが不可欠です。Salesforceアカウントで設定することで、メールが真正かつ信頼できるものであることを検証するのに役立ちます。

送信者ポリシーフレームワーク(SPF)は、許可されたサーバーのみがドメインを代行してメールを送信できるように保証します。一方、ドメインキー認証メール(DKIM)は暗号鍵を使用して、メールが改ざんされていないかを確認します。SPFとDKIMはDMARC(ドメインベースメッセージ認証、報告、準拠)と組み合わせることで、なりすましやフィッシング攻撃の防止を開始できます。

この記事では、SPF、DKIM、DMARCレコードをSalesforceアカウントに追加する方法を説明します。さっそく見ていきましょう!

主なポイント

  1. SPF、DKIM、DMARCの導入は、なりすましやフィッシング攻撃からメールドメインを守るために不可欠です。
  2. SPFは、許可されたサーバーだけがお客様のドメインに代わってメールを送信できるようにし、メールの配信性を向上させます。
  3. DKIMは暗号キーを使ってお客様のメールの完全性を検証し、転送中に改ざんされていないことを確認します。
  4. DMARCは、SPFとDKIMのチェックに失敗したメールをどのように処理するかについて、受信者サーバーに指示を与え、メールセキュリティの態勢を強化します。
  5. SPFレコードジェネレーターやDMARCモニタリングのようなツールを使用することで、セットアップを簡素化し、メール認証プロトコルの有効性を向上させることができます。

SalesforceにSPFレコードを追加する方法

SPFの設定 SPFSalesforceは、アカウントから送信されるメールがセキュリティチェックを通過することを保証する専用のSPFレコードを提供するためです。

SPF レコードに Salesforce を追加する手順は、以下を参照してください。

PowerDMARCでDMARC、SPF、DKIMのセットアップを簡素化!

1.SalesforceのSPFエントリを含める

Salesforce からメールを送信するには、ドメインの SPF レコードに特定の SPF エントリを含めます:

_spf.セールスフォース・ドットコム

Salesforce用SPFレコードのサンプル

Salesforce用のSPFレコードのサンプルは次のようになります:

v=spf1 mx include:_spf.salesforce.com ~all

これは最も単純な SPF レコードです。これは、お客様のドメインが Salesforce を介してメールを送信することを許可されていることを指定します。また、複数の「インクルード」メカニズムを設定して、他のサードパーティドメインがお客様に代わってメールを送信することを許可することもできます。同じドメインに対して新しいレコードを作成するのではなく、同じ SPF レコードでこれらの送信元を承認することが重要です。

2.SPFレコードの作成

エラーのないSPFレコードを作成するには、以下のツールを使用することをお勧めします。 SPFレコード作成ツール.

3.SPFレコードのテストと検証

SPFレコードを設定した後は、正しく機能するようにテストする必要があります。SPF SPFチェッカーツールを使用してレコードを検証することができます。

ツールの使い方は以下の通り:

  • まず、SPFクエリーツールを開きます。
  • ドメイン名を入力します。
  • Lookup "ボタンをクリックする。

SPFレコードが正しければ、"Valid "ステータスが表示されます。

その他のリソース

詳細については SalesforceのSPF設定ガイド.

SalesforceにDKIMレコードを追加する方法

以下は、SalesforceでDKIMキーを作成する手順です。

1.DKIM設定に移動する

Salesforceのセットアップで、クイック検索ボックスを探します。DKIM Keys」と入力し、このオプションを選択します。

2.新しいDKIMキーを作成する

DKIM Keys "を選択した後、"Create New Keys "をクリックする。これでDKIMキー・ペアがデフォルトで非アクティブな状態で作成されます。

RSAキー・サイズの選択

RSAキーのサイズは、組織の要件に応じて選択してください。キーを選択する前に、電子メール受信者の制限を考慮してください。また、セキュリティ規制にも注意してください。

3.セレクタ名を入力

あなたの DKIMセレクタは、あなたのDKIMキーを認識する一意の識別子です。このキーを他のキーと区別するために一意の名前を入力します。

4.オルタネート・セレクターを設定する

Alternate セレクタを使用すると、Salesforce が DKIM キーを自動的にローテーションしてセキュリティを強化できます。

5.ドメイン名を入力します。

その後、ドメイン名を指定する必要があります。この名前は、Salesforce アカウントからメールを送信するために使用されます。ドメイン名は一度設定すると変更できません。

6.ドメイン・マッチ・パターンの定義

また、Salesforce が DKIM キーで電子メールに署名するタイミングを制御することもできます。これは、ドメイン一致パターンを使用して実行できます。パターンのカンマ区切りリストを使用する必要があります。

7.変更を保存する

上記の手順がすべて完了したら、変更を保存します。DKIM キーの TXT レコードは、Salesforce によって DNS で公開されます。

8.DNSにCNAMEレコードを追加する

ドメインでDKIMキーを有効化する前に、CNAMEレコードと代替CNAMEレコードをドメインのDNSに追加してください。

9.DNSの公開を待つ

DNSレコードの公開には数日かかります。CNAMEと代替CNAMEレコードはDNS伝播時間が完了した後、DKIMキーの詳細ページに表示されます。

10.DKIMキーを有効にする

レコードの公開後、DKIMキーの詳細ページに戻ります。DKIMキーを有効にします。

注意: Salesforce は 30 日後にキーをローテーションします。そのため、キーをアクティブにすると、アクティブでないセカンダリキーが自動的に生成されます。

SalesforceにDMARCを設定する方法

DMARCは、SPF および DKIM 認証チェックに失敗した電子メールの処理方法を受信サーバーに指示します。なお、Salesforce では DMARC 認証を提供できないため、PowerDMARC などの外部ベンダーと協力してプロトコルを構成することを推奨しています。

DMARCを正しく実装することで、設定上の問題を防止できます。以下に、Salesforce向けにDMARCレコードを追加する手順を説明します。

1.DMARCバージョンを選択する

DMARCの標準バージョンはバージョン1で、次のようになります:v=DMARC1

2.DMARCポリシーを選択する

認証チェックに失敗したメールを受信者サーバーがどのように処理すべきかを規定する3つのDMARCポリシーがある。

  • p=none

これは最初に有効化するポリシーです。このポリシーでは、SPFおよびDKIMチェックに失敗した場合でも、メールはDMARC認証を通過します。DMARCを初期設定する際には、必ずこのポリシーを使用してください。

  • p=quarantine

このポリシーは、SPFとDKIM認証に失敗したメールを隔離します。不審な電子メールについてユーザーに警告するために、電子メールをスパムとしてマークします。

  • p=reject

名称が示す通り、このポリシーは認証に失敗したメールを拒否します。通常、DMARC導入後に達成すべき最終目標となります。

3.SPFとDKIMのアライメントモードを選択する(オプション)

SPFポリシーがDMARCでどのように機能するかの内訳は以下の通りである:

  • aspf=s

厳密なSPFアライメントモードでは、"Return-Path "のドメイン(エンベロープの送信者)と "From "ヘッダーのドメインが完全に一致する必要がある。 

  • aspf=r

SPFのrelaxed alignmentモードでは、"Return-Path "ドメイン(エンベロープの差出人)と "From "ヘッダーのドメインが組織的に一致し、完全一致しない場合でもパスできる。

  • アドキム=S

DKIM署名内のドメイン(DKIMヘッダー内のd=タグ)は、「From」アドレス内のドメインと完全に一致する必要があります。 

  • adkim=r

リラックスモードでは、DKIM署名のドメインは、「From」アドレスのドメインと同じか、または同じトップレベルドメインを共有することができる。 

4.パーセントタグを指定する(オプション)

これは、DMARCポリシーに準拠するために必要なメールの割合を指定します。pct=100は、定義されたポリシーがメールの100%に適用されることを意味します。DMARC設定時は低い割合から開始してください。定期的なモニタリング後、この割合を増加させることができます。

集計報告

DMARC集計レポートは、メール認証結果に関する貴重なデータを提供します。集計レポートの受信には、RUAタグの設定が必要です。アグリゲートレポートは、毎日または毎週受信され、XML形式で提供され、PII(個人を特定できる情報)は含まれません。 

このレポートは、送信IPアドレス、メール数、SPF/DKIM識別子、結果などの情報を提供します。DMARCレコードは、集計レポートを受け取るためにドメイン所有者が指定した電子メールにruaタグをポイントします。以下はその例です: 

ルアmailto:[email protected].

フォレンジック・レポート

DMARCフォレンジックレポートには、個々のメールに関する情報が含まれます。これを利用するには、DMARCレコードにRUFタグを設定する必要があります。24時間ごとに受信されるDMARC集計レポートとは異なり、DMARCフォレンジックレポートは、メールがDMARC認証に失敗した際に生成されます。フォレンジックレポートはプレーンテキスト形式で提供され、機密情報が含まれている場合があります。 

ruf=mailto:[email protected].

また、すべてのDMARC準拠メールボックスプロバイダーがDMARCフォレンジックレポートの作成をサポートしているわけではないことにも注意が必要である。 

  1. 生存時間(TTL)の定義

DMARCの初期設定時に 生存時間(TTL)を600秒に設定することができる。これは迅速な伝播に役立ちます。後でTTLを3600秒に調整することで、DNSクエリの頻度を減らし、DNSサーバーの負荷を軽減することができます。

DMARCジェネレータとツール

PowerDMARCの自動化された DMARCレコード生成ツールを使用して DMARC レコード生成プロセスを簡素化することができます。PowerDMARC は様々なマネージド DMARC ソリューション、きめ細かなモニタリング、レポートオプションを提供します。これらの高度なオプションを組み合わせることで、DMARC のような技術的なプロトコルを、煩わしさや複雑さを追加することなく設定することができます。

まとめ

メール認証の導入は、Salesforceメールのセキュリティ強化に不可欠です。メールベースの脅威からドメインを守るのはお客様次第です。

これらのメール認証プロトコルのセットアップもPowerDMARCを使用することで簡単に行うことができます。実装の詳細については お問い合わせまたは 無料トライアル今すぐどうぞ!