Salesforceをご利用のお客様で、メールセキュリティを次のレベルに引き上げたい、メールの配信性を長期的に向上させたい、ブロックされずにGoogleやYahooの受信トレイに到達させたいとお考えの方は、ぜひこの記事をご覧ください!メール通信のセキュリティをさらに強化するために、Salesforce は次のようなメール認証プロトコルをサポートしています。 DMARC、SPF、DKIM などのメール認証プロトコルをサポートしています。.メールベースの攻撃からドメインを保護し、メールに対するスパムからの苦情を減らすには、これらの認証プロトコルを実装することが不可欠です。Salesforce アカウントにこれらのプロトコルを設定することで、お客様の電子メールが本物であり、信頼できるものであることを確認できます。
Sender Policy Framework (SPF)は、許可されたサーバのみがお客様のドメインに代わってメールを送信できることを保証し、DomainKeys Identified Mail (DKIM)は、暗号鍵を使用してメールが改ざんされていないかどうかを検証します。SPFとDKIMはDMARC(Domain-based Message Authentication, Reporting, and Conformance)と組み合わせることで、なりすましやフィッシング攻撃を防ぐことができます。
この記事では、SPF、DKIM、DMARCレコードをSalesforceアカウントに追加する方法を説明します。さっそく見ていきましょう!
SalesforceにSPFレコードを追加する方法
SPFの設定 SPFSalesforceは、アカウントから送信されるメールがセキュリティチェックを通過することを保証する専用のSPFレコードを提供するためです。
SPF レコードに Salesforce を追加する手順は、以下を参照してください。
1.SalesforceのSPFエントリを含める
Salesforce からメールを送信するには、ドメインの SPF レコードに特定の SPF エントリを含めます:
_spf.セールスフォース・ドットコム
Salesforce用SPFレコードのサンプル
Salesforce用のSPFレコードのサンプルは次のようになります:
v=spf1 mx include:_spf.salesforce.com ~all
これは最も単純な SPF レコードです。これは、お客様のドメインが Salesforce を介してメールを送信することを許可されていることを指定します。また、複数の「インクルード」メカニズムを設定して、他のサードパーティドメインがお客様に代わってメールを送信することを許可することもできます。同じドメインに対して新しいレコードを作成するのではなく、同じ SPF レコードでこれらの送信元を承認することが重要です。
2.SPFレコードの作成
エラーのないSPFレコードを作成するには、以下のツールを使用することをお勧めします。 SPFレコード作成ツール.
3.SPFレコードのテストと検証
SPFレコードを設定した後は、正しく機能するようにテストする必要があります。SPF SPFチェッカーツールを使用してレコードを検証することができます。
ツールの使い方は以下の通り:
- まず、SPFクエリーツールを開きます。
- ドメイン名を入力します。
- Lookup "ボタンをクリックする。
SPFレコードが正しければ、"Valid "ステータスが表示されます。
その他のリソース
詳細については SalesforceのSPF設定ガイド.
SalesforceにDKIMレコードを追加する方法
以下は、SalesforceでDKIMキーを作成する手順です。
1.DKIM設定に移動する
Salesforceのセットアップで、クイック検索ボックスを探します。DKIM Keys」と入力し、このオプションを選択します。
2.新しいDKIMキーを作成する
DKIM Keys "を選択した後、"Create New Keys "をクリックする。これでDKIMキー・ペアがデフォルトで非アクティブな状態で作成されます。
RSAキー・サイズの選択
RSAキーのサイズは、組織の要件に応じて選択してください。キーを選択する前に、電子メール受信者の制限を考慮してください。また、セキュリティ規制にも注意してください。
3.セレクタ名を入力
あなたの DKIMセレクタは、あなたのDKIMキーを認識する一意の識別子です。このキーを他のキーと区別するために一意の名前を入力します。
4.オルタネート・セレクターを設定する
Alternate セレクタを使用すると、Salesforce が DKIM キーを自動的にローテーションしてセキュリティを強化できます。
5.ドメイン名を入力します。
その後、ドメイン名を指定する必要があります。この名前は、Salesforce アカウントからメールを送信するために使用されます。ドメイン名は一度設定すると変更できません。
6.ドメイン・マッチ・パターンの定義
また、Salesforce が DKIM キーで電子メールに署名するタイミングを制御することもできます。これは、ドメイン一致パターンを使用して実行できます。パターンのカンマ区切りリストを使用する必要があります。
7.変更を保存する
上記の手順がすべて完了したら、変更を保存します。DKIM キーの TXT レコードは、Salesforce によって DNS で公開されます。
8.DNSにCNAMEレコードを追加する
ドメインのDKIMキーを有効にする前に、ドメインのDNSにCNAMEレコードと代替CNAMEレコードを追加してください。
9.DNSの公開を待つ
DNSレコードの公開には数日かかります。CNAMEと代替CNAMEレコードはDNS伝播時間が完了した後、DKIMキーの詳細ページに表示されます。
10.DKIMキーを有効にする
レコードの公開後、DKIMキーの詳細ページに戻ります。DKIMキーを有効にします。
注意: Salesforce は 30 日後にキーをローテーションします。そのため、キーをアクティブにすると、アクティブでないセカンダリキーが自動的に生成されます。
SalesforceにDMARCを設定する方法
DMARCは、SPF および DKIM 認証チェックに失敗した電子メールの処理方法を受信サーバーに指示します。なお、Salesforce では DMARC 認証を提供できないため、PowerDMARC などの外部ベンダーと協力してプロトコルを構成することを推奨しています。
設定の問題を防ぐためには、正しいDMARCの実装が必要です。ここでは、Salesforce用のDMARCレコードを追加する方法を説明します。
1.DMARCバージョンを選択する
DMARCの標準バージョンはバージョン1で、次のようになります:v=DMARC1
2.DMARCポリシーを選択する
認証チェックに失敗したメールを受信者サーバーがどのように処理すべきかを規定する3つのDMARCポリシーがある。
-
p=none
これは、有効にする最初のポリシーです。このポリシーでは、SPFとDKIMのチェックに失敗しても、メールはDMARC認証を通過します。このポリシーは、DMARCの初期設定時に使用する必要があります。
-
p=quarantine
このポリシーは、SPFとDKIM認証に失敗したメールを隔離します。不審な電子メールについてユーザーに警告するために、電子メールをスパムとしてマークします。
-
p=reject
その名の通り、認証に失敗したメールを拒否するポリシーです。通常、DMARCを導入した後に達成すべき最後の目標である。
3.SPFとDKIMのアライメントモードを選択する(オプション)
SPFポリシーがDMARCでどのように機能するかの内訳は以下の通りである:
- aspf=s
厳密なSPFアライメントモードでは、"Return-Path "のドメイン(エンベロープの送信者)と "From "ヘッダーのドメインが完全に一致する必要がある。
- aspf=r
SPFのrelaxed alignmentモードでは、"Return-Path "ドメイン(エンベロープの差出人)と "From "ヘッダーのドメインが組織的に一致し、完全一致しない場合でもパスできる。
- アドキム=S
DKIM署名のドメイン(DKIMヘッダーのd=タグ)は、Fromアドレスのドメ インと正確に一致しなければならない。
- adkim=r
リラックスモードでは、DKIM署名のドメインは、「From」アドレスのドメインと同じか、または同じトップレベルドメインを共有することができる。
4.パーセントタグを指定する(オプション)
これは、DMARCポリシーに準拠するために必要なメールの割合を指定します。pct=100は、定義されたポリシーがメールの100%に適用されることを意味します。DMARCを設定する際には、低いパーセンテージから始めてください。定期的に監視した後、この割合を増やすことができます。
5.DMARCレポーティングを有効にする(オプションだが推奨)
集計報告
DMARC集計レポートは、メール認証結果に関する貴重なデータを提供します。集計レポートの受信には、RUAタグの設定が必要です。アグリゲートレポートは、毎日または毎週受信され、XML形式で提供され、PII(個人を特定できる情報)は含まれません。
このレポートは、送信IPアドレス、メール数、SPF/DKIM識別子、結果などの情報を提供します。DMARCレコードは、集計レポートを受け取るためにドメイン所有者が指定した電子メールにruaタグをポイントします。以下はその例です:
フォレンジック・レポート
DMARCフォレンジックレポートには、個々の電子メールに関する情報が含まれます。DMARCレコードにRUFタグを設定する必要があります。24時間ごとに受信されるDMARCアグリゲートレポートとは対照的に、DMARCフォレンジックレポートは、電子メールがDMARC認証に失敗するたびに取得されます。フォレンジックレポートはプレーンテキストで提供され、機密情報が含まれている可能性があります。
また、すべてのDMARC準拠メールボックスプロバイダーがDMARCフォレンジックレポートの作成をサポートしているわけではないことにも注意が必要である。
-
生存時間(TTL)の定義
DMARCの初期設定時に 生存時間(TTL)を600秒に設定することができる。これは迅速な伝播に役立ちます。後でTTLを3600秒に調整することで、DNSクエリの頻度を減らし、DNSサーバーの負荷を軽減することができます。
DMARCジェネレータとツール
PowerDMARCの自動化された DMARCレコード生成ツールを使用して DMARC レコード生成プロセスを簡素化することができます。PowerDMARC は様々なマネージド DMARC ソリューション、きめ細かなモニタリング、レポートオプションを提供します。これらの高度なオプションを組み合わせることで、DMARC のような技術的なプロトコルを、煩わしさや複雑さを追加することなく設定することができます。
最後の言葉
メール認証の導入は、Salesforceメールのセキュリティ強化に不可欠です。メールベースの脅威からドメインを守るのはお客様次第です。
これらのメール認証プロトコルのセットアップもPowerDMARCを使用することで簡単に行うことができます。実装の詳細については お問い合わせまたは 無料トライアル今すぐどうぞ!
- 市場におけるDMARCプロバイダー・トップ10- 2025年1月2日
- セキュリティ・テストとは何か?初心者向けガイド- 2024年12月20日
- Valimailの代替品トップ10:長所と短所の完全比較- 2024年10月28日