Salesforce DMARC、SPF、DKIM セットアップガイド

ブログ,ESPアライメント

SPF、DKIM、DMARC を設定して Salesforce のメールセキュリティを強化する方法をご紹介します。メール認証プロトコルを使用して、なりすまし攻撃からドメインを保護します。

Ayan Bhuiya

最終更新日:
読書時間 7
Salesforce DMARC、SPF、DKIM セットアップガイド
目次-

Salesforceをご利用のお客様で、メールセキュリティを次のレベルに引き上げたい、メールの配信性を長期的に向上させたい、ブロックされずにGoogleやYahooの受信トレイに到達させたいとお考えの方は、ぜひこの記事をご覧ください!メール通信のセキュリティをさらに強化するために、Salesforce は次のようなメール認証プロトコルをサポートしています。 DMARC、SPF、DKIM などのメール認証プロトコルをサポートしています。.メールベースの攻撃からドメインを保護し、メールに対するスパムからの苦情を減らすには、これらの認証プロトコルを実装することが不可欠です。Salesforce アカウントにこれらのプロトコルを設定することで、お客様の電子メールが本物であり、信頼できるものであることを確認できます。

Sender Policy Framework (SPF)は、許可されたサーバのみがお客様のドメインに代わってメールを送信できることを保証し、DomainKeys Identified Mail (DKIM)は、暗号鍵を使用してメールが改ざんされていないかどうかを検証します。SPFとDKIMをDMARC(Domain-based Message Authentication, Reporting, and Conformance)と組み合わせることで、なりすましやフィッシング攻撃を防ぐことができます。

この記事では、SPF、DKIM、DMARCレコードをSalesforceアカウントに追加する方法を説明します。さっそく見ていきましょう!

主なポイント

  1. SPF、DKIM、DMARCの導入は、なりすましやフィッシング攻撃からメールドメインを守るために不可欠です。
  2. SPFは、許可されたサーバーだけがお客様のドメインに代わってメールを送信できるようにし、メールの配信性を向上させます。
  3. DKIMは暗号キーを使ってお客様のメールの完全性を検証し、転送中に改ざんされていないことを確認します。
  4. DMARCは、SPFとDKIMのチェックに失敗したメールをどのように処理するかについて、受信者サーバーに指示を与え、メールセキュリティの態勢を強化します。
  5. SPFレコードジェネレーターやDMARCモニタリングのようなツールを使用することで、セットアップを簡素化し、メール認証プロトコルの有効性を向上させることができます。

SalesforceにSPFレコードを追加する方法

SPFの設定 SPFSalesforceは、アカウントから送信されるメールがセキュリティチェックを通過することを保証する専用のSPFレコードを提供するためです。

SPF レコードに Salesforce を追加する手順は、以下を参照してください。

PowerDMARCでDMARC、SPF、DKIMのセットアップを簡素化!

15日間のトライアルデモを予約する

1.SalesforceのSPFエントリを含める

Salesforce からメールを送信するには、ドメインの SPF レコードに特定の SPF エントリを含めます:

_spf.セールスフォース・ドットコム

Salesforce用SPFレコードのサンプル

Salesforce用のSPFレコードのサンプルは次のようになります:

v=spf1 mx include:_spf.salesforce.com ~all

これは最も単純な SPF レコードです。これは、お客様のドメインが Salesforce を介してメールを送信することを許可されていることを指定します。また、複数の「インクルード」メカニズムを設定して、他のサードパーティドメインがお客様に代わってメールを送信することを許可することもできます。同じドメインに対して新しいレコードを作成するのではなく、同じ SPF レコードでこれらの送信元を承認することが重要です。

2.SPFレコードの作成

エラーのないSPFレコードを作成するには、以下のツールを使用することをお勧めします。 SPFレコード作成ツール.

3.SPFレコードのテストと検証

SPFレコードを設定した後は、正しく機能するようにテストする必要があります。SPF SPFチェッカーツールを使用してレコードを検証することができます。

ツールの使い方は以下の通り:

  • まず、SPFクエリーツールを開きます。
  • ドメイン名を入力します。
  • Lookup "ボタンをクリックする。

SPFレコードが正しければ、"Valid "ステータスが表示されます。

その他のリソース

詳細については SalesforceのSPF設定ガイド.

SalesforceにDKIMレコードを追加する方法

以下は、SalesforceでDKIMキーを作成する手順です。

1.DKIM設定に移動する

Salesforceのセットアップで、クイック検索ボックスを探します。DKIM Keys」と入力し、このオプションを選択します。

2.新しいDKIMキーを作成する

DKIM Keys "を選択した後、"Create New Keys "をクリックする。これでDKIMキー・ペアがデフォルトで非アクティブな状態で作成されます。

RSAキー・サイズの選択

RSAキーのサイズは、組織の要件に応じて選択してください。キーを選択する前に、電子メール受信者の制限を考慮してください。また、セキュリティ規制にも注意してください。

3.セレクタ名を入力

あなたの DKIMセレクタは、あなたのDKIMキーを認識する一意の識別子です。このキーを他のキーと区別するために一意の名前を入力します。

4.オルタネート・セレクターを設定する

Alternate セレクタを使用すると、Salesforce が DKIM キーを自動的にローテーションしてセキュリティを強化できます。

5.ドメイン名を入力します。

その後、ドメイン名を指定する必要があります。この名前は、Salesforce アカウントからメールを送信するために使用されます。ドメイン名は一度設定すると変更できません。

6.ドメイン・マッチ・パターンの定義

また、Salesforce が DKIM キーで電子メールに署名するタイミングを制御することもできます。これは、ドメイン一致パターンを使用して実行できます。パターンのカンマ区切りリストを使用する必要があります。

7.変更を保存する

上記の手順がすべて完了したら、変更を保存します。DKIM キーの TXT レコードは、Salesforce によって DNS で公開されます。

8.DNSにCNAMEレコードを追加する

ドメインのDKIMキーを有効にする前に、ドメインのDNSにCNAMEレコードと代替CNAMEレコードを追加してください。

9.DNSの公開を待つ

DNSレコードの公開には数日かかります。CNAMEと代替CNAMEレコードはDNS伝播時間が完了した後、DKIMキーの詳細ページに表示されます。

10.DKIMキーを有効にする

レコードの公開後、DKIMキーの詳細ページに戻ります。DKIMキーを有効にします。

注意: Salesforce は 30 日後にキーをローテーションします。そのため、キーをアクティブにすると、アクティブでないセカンダリキーが自動的に生成されます。

SalesforceにDMARCを設定する方法

DMARCは、SPF および DKIM 認証チェックに失敗した電子メールの処理方法を受信サーバーに指示します。なお、Salesforce では DMARC 認証を提供できないため、PowerDMARC などの外部ベンダーと協力してプロトコルを構成することを推奨しています。

設定の問題を防ぐためには、正しいDMARCの実装が必要です。ここでは、Salesforce用のDMARCレコードを追加する方法を説明します。

1.DMARCバージョンを選択する

DMARCの標準バージョンはバージョン1で、次のようになります:v=DMARC1

2.DMARCポリシーを選択する

認証チェックに失敗したメールを受信者サーバーがどのように処理すべきかを規定する3つのDMARCポリシーがある。

  • p=none

これは、有効にする最初のポリシーです。このポリシーでは、SPFとDKIMのチェックに失敗しても、メールはDMARC認証を通過します。このポリシーは、DMARCの初期設定時に使用する必要があります。

  • p=quarantine

このポリシーは、SPFとDKIM認証に失敗したメールを隔離します。不審な電子メールについてユーザーに警告するために、電子メールをスパムとしてマークします。

  • p=reject

その名の通り、認証に失敗したメールを拒否するポリシーです。通常、DMARCを導入した後に達成すべき最後の目標である。

3.SPFとDKIMのアライメントモードを選択する(オプション)

SPFポリシーがDMARCでどのように機能するかの内訳は以下の通りである:

  • aspf=s

厳密なSPFアライメントモードでは、"Return-Path "のドメイン(エンベロープの送信者)と "From "ヘッダーのドメインが完全に一致する必要がある。 

  • aspf=r

SPFのrelaxed alignmentモードでは、"Return-Path "ドメイン(エンベロープの差出人)と "From "ヘッダーのドメインが組織的に一致し、完全一致しない場合でもパスできる。

  • アドキム=S

DKIM署名のドメイン(DKIMヘッダーのd=タグ)は、Fromアドレスのドメ インと正確に一致しなければならない。 

  • adkim=r

リラックスモードでは、DKIM署名のドメインは、「From」アドレスのドメインと同じか、または同じトップレベルドメインを共有することができる。 

4.パーセントタグを指定する(オプション)

これは、DMARCポリシーに準拠するために必要なメールの割合を指定します。pct=100は、定義されたポリシーがメールの100%に適用されることを意味します。DMARCを設定する際には、低いパーセンテージから始めてください。定期的に監視した後、この割合を増やすことができます。

集計報告

DMARC集計レポートは、メール認証結果に関する貴重なデータを提供します。集計レポートの受信には、RUAタグの設定が必要です。アグリゲートレポートは、毎日または毎週受信され、XML形式で提供され、PII(個人を特定できる情報)は含まれません。 

このレポートは、送信IPアドレス、メール数、SPF/DKIM識別子、結果などの情報を提供します。DMARCレコードは、集計レポートを受け取るためにドメイン所有者が指定した電子メールにruaタグをポイントします。以下はその例です: 

ルアmailto:[email protected].

フォレンジック・レポート

DMARCフォレンジックレポートには、個々の電子メールに関する情報が含まれます。DMARCレコードにRUFタグを設定する必要があります。24時間ごとに受信されるDMARCアグリゲートレポートとは対照的に、DMARCフォレンジックレポートは、電子メールがDMARC認証に失敗するたびに取得されます。フォレンジックレポートはプレーンテキストで提供され、機密情報が含まれている可能性があります。 

ruf=mailto:[email protected].

また、すべてのDMARC準拠メールボックスプロバイダーがDMARCフォレンジックレポートの作成をサポートしているわけではないことにも注意が必要である。 

  1. 生存時間(TTL)の定義

DMARCの初期設定時に 生存時間(TTL)を600秒に設定することができる。これは迅速な伝播に役立ちます。後でTTLを3600秒に調整することで、DNSクエリの頻度を減らし、DNSサーバーの負荷を軽減することができます。

DMARCジェネレータとツール

PowerDMARCの自動化された DMARCレコード生成ツールを使用して DMARC レコード生成プロセスを簡素化することができます。PowerDMARC は様々なマネージド DMARC ソリューション、きめ細かなモニタリング、レポートオプションを提供します。これらの高度なオプションを組み合わせることで、DMARC のような技術的なプロトコルを、煩わしさや複雑さを追加することなく設定することができます。

まとめ

メール認証の導入は、Salesforceメールのセキュリティ強化に不可欠です。メールベースの脅威からドメインを守るのはお客様次第です。

これらのメール認証プロトコルのセットアップもPowerDMARCを使用することで簡単に行うことができます。実装の詳細については お問い合わせまたは 無料トライアル今すぐどうぞ!

最新記事 by Ayan Bhuiya(全て見る)
最終更新日:
5種類の社会保障メール詐欺とその防止策5種類の社会保障メール詐欺とその防止策DMARCの管理:包括的なガイド