のタグアーカイブです: DKIM

SPFを使わずにDKIMを設定することはできますか?

メール認証の世界では、SPFやDKIMといった言葉を目にすることがあります。SPFもDKIMもメール認証プロトコルではありますが、最終的にスパムやなりすましからメールを守るために、それぞれ異なる働きをしています。では、SPFを使わずにDKIMを設定することはできるのでしょうか?答えはイエス、できます。独立したプロトコルであるため、互いの機能に依存しておらず、同じドメインにもう一方を設定しなくても実装することができます。

この記事では、DKIMとSPFがどのように機能するかを詳しく分析し、どちらのプロトコルが自分に合っているかを選択できるようにし、最後に専門家としての推奨事項もご紹介します。それでは、さっそく始めましょう

SPFとは何ですか?どのようにメールを保護するのですか?

SPF(Sender Policy Framework)を使用すると、ドメインやサブドメインに代わってメールの送信を許可するメールサーバーを指定することができます。SPFレコードは、メール送信者のドメイン名を検証し、ドメインに代わってメールを送信することを許可されたホストを指定するために使用されるDNSレコードの一種です。

SPFレコードは、認証されていないユーザーが、自分のドメインとは異なるドメインから送信メールを送ること(しばしば「スプーフィング」と呼ばれる)を防ぐために設計されています。また、同じドメインのメールを受け入れる複数のメールサーバーがある場合、SPFレコードは受信者のメールシステムがどのサーバーから受信するかを判断するのに役立ちます。SPFレコードは、初心者から上級者まで幅広く利用されているメール認証方法の一つです。

DKIMとは何か、どのようにメールを保護するのか?

DKIM(DomainKeys Identified Mail)は、電子メールがそのドメインの所有者によって承認されたものであることを証明する電子メール認証方法です。これは、電子メールにデジタル署名を与えることによって行われます。 暗号アルゴリズムと鍵を用いて.

DKIMを使用すると、メールマーケティングキャンペーンを含むすべての送信メッセージにサーバーが署名します。これにより、メールの受信者は、あなたの身元を確認することができ、あなたのメッセージがいかなる方法でも変更されていないことを信頼することができます。DKIMを使用してメッセージに署名する際には、電子メールのヘッダーとボディ全体のハッシュ関数の値に、自分の秘密鍵を添付します。署名に使用される秘密鍵は、承認された送信者のみがアクセスできます。

自分のドメインにSPFなしでDKIMを設定し、DMARCを構成するには?

いいえ、違います。あなたのドメインにSPFまたはDKIMのいずれかが設定されていても、DMARCを実装することができます。これは、メールがDMARCのアライメントを通過するためには、DKIMまたはSPFのどちらかがアライメントを通過する必要があり、両方ではないからです。したがって、2つのプロトコルのいずれかを設定するだけで、DMARCの導入を開始することができます。

しかし、すでにDKIMやSPFを設定している場合に、DMARCの導入が必要かというと、答えは「イエス」です。DMARCを使えば、自社ドメインから来たように見せかけた偽装メールに対する受信者の反応をコントロールすることができ、それによって企業の評判や信頼性、さらには顧客がフィッシング攻撃の餌食になるのを防ぐことができます。DKIMやSPFだけでは、なりすましのようなソーシャルエンジニアリング攻撃から組織を守ることはできませんが、そのためにはDMARCが必要です。

DMARCレコードの生成なりすましを防ぐために、今すぐ無料でご利用ください。

専門家は何を推奨しているのか?

100%の DMARCコンプライアンスDMARCに100%準拠するためには、DKIMとSPFの両方の認証プロトコルを使用することをお勧めします。メーリングリストや転送メールのような例外的なケースでは、中間サーバーが介在するため、必然的にSPFが失敗します。もしあなたのメーリングシステムがSPF認証だけに依存している場合、前述のようなケースで正当なメールが転送中に失われ、配信に失敗する可能性があります。したがって、両方のプロトコルを導入することは、よりスムーズな配信とメールセキュリティの追加を確実にするために、常に安全な選択肢となります。

DMARCを実際に試してみませんか?プレゼント 無料のDMARCを無料でお試しいただけます!お気軽にご登録ください。

SPFなしのDKIM

/

メール認証ソリューション(SPF、DKIM、DMARC)を活用してメールスプーフィングを阻止するには?

電子メール認証規格。SPF、DKIM、DMARCは、電子メールのなりすましを削減し、電子メールの配信能力を向上させることが期待されています。なりすまし(偽装)メールと正当なメールを区別する一方で、メール認証規格は、送信者の身元を確認することで、メールが正当なものかどうかをさらに区別します。

より多くの組織がこれらの規格を採用するようになると、電子メールコミュニケーションにおける信頼性と権威のメッセージが全体的に再確認されるようになります。メールマーケティング、プロジェクトの依頼、金融取引、企業内または企業間の一般的な情報交換に依存しているすべての企業は、これらのソリューションが何を達成するために設計されているのか、また、これらのソリューションからどのようなメリットを得られるのか、基本的なことを理解する必要があります。

なりすましメールとは?

電子メールのなりすましは、今日、企業が遭遇する一般的なサイバーセキュリティの問題です。この記事では、なりすましの仕組みと、それに対抗するためのさまざまな方法を理解します。また、メールプロバイダが使用する3つの認証規格であるSPF、DKIM、DMARCについて学び、なりすましを阻止する方法を紹介します。

電子メールスプーフィングは、高度な技術を組み合わせてメッセージング環境を操作し、電子メールの正当な機能を悪用する、高度なソーシャルエンジニアリング攻撃に分類されます。このような電子メールは、一見すると完全に正当なもののように見えますが、お客様の情報やリソースにアクセスすることを意図して作成されていることがよくあります。電子メールスプーフィングは、詐欺行為やセキュリティ侵害、さらには企業の機密情報へのアクセスなど、さまざまな目的で使用されます。電子メール偽装の中でも非常に一般的な形態であるスプーフィング攻撃は、実際の送信者ではなく、利用している信頼できる企業から送られてきたと受信者を欺くことを目的としています。電子メールが大量に送受信されるようになったため、このような悪質な電子メール詐欺が近年急激に増加しています。

メール認証で「なりすまし」を防ぐには?

メール認証では、SPF、DKIM、DMARCなどのプロトコルを使用してメール送信元を検証し、攻撃者がドメイン名を偽造して無防備なユーザーを騙すなりすまし攻撃を行うのを防ぎます。また、メール送信者の正当性を証明するための検証可能な情報を提供し、認証に失敗したメールの処理方法を受信側のMTAに指定することができます。

したがって、メール認証のさまざまなメリットを挙げると、SPF、DKIM、DMARCがその助けとなることが確認できます。

  • フィッシング攻撃、ドメイン・スプーフィング、BECからのドメインの保護
  • メール送信元に関する詳細な情報とインサイトの提供
  • ドメインレピュテーションとメール配信率の向上
  • 正当なメールがスパムとしてマークされるのを防ぐ

SPF、DKIM、DMARCはどのように連携してなりすましを防ぐのか?

送信者ポリシーフレームワーク

SPFは、スパマーがあなたのドメインを代表してメッセージを送信するのを防ぐために使用されるメール認証技術です。SPFレコードを使用すると、許可されたメールサーバーを公開することができ、お客様のドメインを代表してメールを送信することを許可されたメールサーバーを指定することができます。SPFレコードはDNSに保存され、お客様の組織のためにメール送信を許可されているすべてのIPアドレスがリストアップされます。

SPFを適切に機能させるためには、SPFがメールに影響を与えないようにする必要があります。これは、10個のDNSルックアップの制限を超えた場合に起こる可能性があり、SPF permerrorの原因となります。SPFフラットニングは、制限を超えないようにし、メールをシームレスに認証するのに役立ちます。

ドメインキーズ・アイデンティファイド・メール

信頼できる送信者になりすますことで、受信者の警戒心を解くことができます。DKIMは、お客様の受信トレイから送られてくるすべてのメッセージにデジタル署名を追加するメールセキュリティソリューションで、受信者は、そのメッセージが本当にお客様のドメインによって承認されたものであることを確認し、お客様のサイトの信頼できる送信者リストに入ることができます。

DKIMは、ドメイン名にリンクした固有のハッシュ値を各送信メールに付与することで、受信者は、特定のドメインから来たと主張するメールが、本当にそのドメインの所有者によって承認されたものかどうかを確認することができます。これにより、「なりすまし」を発見することができます。

ドメインベースのメッセージ認証、レポート、コンフォーマンス

SPFとDKIMを実装するだけでも送信元を確認するのに役立ちますが、それだけではなりすましを阻止するのに十分な効果はありません。サイバー犯罪者が受信者に偽装メールを配信するのを阻止するためには、今すぐDMARCを導入する必要があります。DMARCは、電子メールのヘッダーを揃えて電子メールのFromアドレスを検証し、なりすましの試みやドメイン名の不正使用を暴くのに役立ちます。さらに、ドメイン所有者は、SPFおよびDKIM認証に失敗した電子メールにどのように対応するかを、電子メール受信サーバーに指定することができます。ドメインオーナーは、必要なDMARCエンフォースメントの度合いに応じて、偽装メールの配信、隔離、拒否を選択することができます。

注意 DMARCポリシーが 拒否の場合のみ、なりすましを止めることができます。

さらに、DMARCは、ドメイン所有者にメールチャネルと認証結果の可視性を提供するためのレポートメカニズムも提供しています。DMARCレポートアナライザーを設定することで、メール送信元、メール認証結果、不正IPアドレスの地理的位置、メールの全体的なパフォーマンスなどの詳細情報をもとに、メールドメインを定期的に監視することができます。DMARCデータを整理された読みやすいフォーマットに解析し、攻撃者に対してより迅速に対策を講じることができます。

最終的には、SPF、DKIM、DMARCが連携することで、組織のメールセキュリティを新たな高みへと導き、攻撃者によるドメイン名の偽装を阻止して、組織の評判や信頼性を守ることができるのです。

SPFなしのDKIM

/によって

ドメインにDKIMを簡単に設定するには?

お客様のドメインにDKIMを設定する方法をご紹介する前に、DKIMとは何かについて少し説明します。DKIM(DomainKeys Identified Mail)とは、送信メールの真正性を確認するために使用されるメール認証プロトコルです。このプロセスでは、メールサーバーが生成した秘密の暗号鍵を使用して、各送信メールメッセージに署名します。これにより、受信者は、受信したメールがお客様のメールサーバーから送信されたものであり、偽造されたものではないことを確認することができます。これにより、配信能力が向上し、スパムを排除することができます。簡単に言うと、DKIMが有効なメールサーバーからのメールには、デジタル署名(正確には暗号署名)が含まれており、受信者のメールサーバーがこれを検証することができます。

DKIMは、DomainKeys(Yahooのもの)やIdentified Internet Mail(Ciscoのもの)といった既存の技術を組み合わせて作られたものです。現在ではDKIMと呼ばれる広く普及した認証方法に発展し、IETF(Internet Engineering Task Force)のRFC(Request for Comments)にも登録されています。Google、Microsoft、Yahooなどの主要なISPは、送信メールのメールヘッダーに埋め込むデジタル署名を作成し、受信メールを独自のポリシーで検証しています。

今回のブログでは、メールを認証するためにDKIMで使用されているメカニズムとその様々な利点を掘り下げ、独自ドメインにDKIMを設定する方法についてもご紹介します。

なりすましからドメインを守るためにDKIMを設定するには?

DKIM署名はMTAが生成し、リストドメインに保存されます。メールを受信した後、公開鍵を使ってDKIMを検証することができます。メッセージのアイデンティティを証明できる認証メカニズムとしてのDKIM。この署名は、メッセージが正当なサーバーによって生成されたものであることを証明します。

特に最近は、ドメイン・スプーフィング攻撃が増加しているので、これが必要です。

DKIM署名とは何ですか?

DKIMを使用するためには、署名に何を含めるべきかを決める必要があります。一般的には、メールの本文といくつかのデフォルトヘッダーが対象となります。これらの要素は一度設定すると変更できませんので、慎重に選択してください。電子メールのどの部分をDKIM署名に含めるかを決定したら、有効なDKIM署名を維持するために、これらの要素を変更しないでおく必要があります。

DKIMセレクターと混同されないように、DKIM署名は、「ハッシュ値」として知られる任意の文字列値のコンソーシアムにすぎません。お客様のドメインにDKIMが設定されると、送信側のメールサーバーは、お客様だけがアクセスできる秘密鍵でこの値を暗号化します。この署名により、送信したメールが送信後に変更されたり、改ざんされたりしていないことが保証されます。DKIM署名を検証するために、メール受信者はDNSクエリを実行して公開鍵を検索します。公開鍵は、ドメインを所有している組織から提供されます。これらが一致すれば、メールは本物として分類されます。

3つの簡単なステップでDKIMを設定するには?

PowerDMARCでDKIMを簡単に実装するために必要なのは、無料のDKIMレコードジェネレーターを使ってDKIMレコードを生成することだけです。DKIMレコードは、あなたのドメインのDNSで公開されるDNS TXTレコードです。次に、当社のDKIMレコードルックアップツールを使用して、無料のDKIMルックアップを行うことができます。この無料ツールは、ワンクリックでDKIMチェックを行い、お客様のDKIMレコードにエラーがなく、有効であることを確認します。ただし、レコードを生成するためには、まずあなたのDKIMセレクターを特定する必要があります。

自分のDKIMセレクターを確認するには?

ドメイン所有者からよく寄せられる質問に、「自分のDKIMを見つけるにはどうすればよいか」というものがあります。 あなたのDKIMセレクターを見つけるために、必要なことは以下の通りです。

1) gmailアカウントにテストメールを送る 

2) gmailの受信箱にあるメールの横にある3つの点をクリックする

SPFなしのDKIM

3) "show original "を選択 

SPFなしのDKIM

4) "Original Message "ページで、ページ下部のDKIM署名セクションに移動し、"s="タグの位置を確認してください。 

SPFなしのDKIM

DMARCとDKIM

よくある質問として、DKIMを実装するだけで十分なのかというものがあります。その答えは「ノー」です。DKIMは、送信者の正当性を検証するために、メールメッセージを暗号化して署名するのに役立ちますが、メール受信者がDKIMに失敗したメッセージに応答する方法を提供していません。ここで、DMARCの出番です。

DMARC(Domain-Based Message Authentication, Reporting and Conformance)は、SPF/DKIM認証に失敗したメッセージに対してドメイン所有者が対処できるようにするための電子メール認証プロトコルです。これにより、ドメイン・スプーフィング攻撃やBECの可能性を最小限に抑えることができます。DMARCとSPFおよびDKIMを併用することで、メールの配信能力が10%向上し、ドメインの評価が高まります。

今すぐPowerDMARCに登録して、DMARCアナライザーの無料トライアルをご利用ください。

SPFなしのDKIM

/によって

なぜSPFだけではなりすましを防げないのか?

DMARCサービスを提供している私たちは、よくこのような質問を受けます。"もしDMARCがSPFとDKIMの認証を使うだけなら、なぜわざわざDMARCを使う必要があるのか?不必要なものではないのか?"

表面的にはほとんど違いがないように見えるかもしれませんが、現実は大きく異なります。DMARCはSPFとDKIMの技術を組み合わせただけではなく、それ自体が全く新しいプロトコルなのです。DMARCにはいくつかの特徴があり、世界で最も先進的なメール認証規格の1つであり、企業にとっては絶対に必要なものです。

しかし、ちょっと待ってください。なぜDMARCが必要なのか、正確な答えが出ていません。SPFやDKIMにはない、DMARCの特徴とは?まあ、それはかなり長い答えで、1つのブログ記事には長すぎます。だから、それを分割して、まずSPFについて話しましょう。慣れていない方のために、簡単にご紹介します。

SPFとは?

SPF(Sender Policy Framework)とは、メール受信者をなりすましメールから保護するためのメール認証プロトコルです。SPFレコードは、お客様(ドメイン所有者)のチャンネルを通じてメールを送信することを許可されたすべてのIPアドレスのリストです。受信サーバーは、あなたのドメインからのメッセージを見ると、あなたのDNSで公開されているSPFレコードをチェックします。送信者のIPがこの「リスト」にあれば、メールは配信されます。そうでなければ、サーバーはそのメールを拒否します。

続きを読む

ご覧のように、SPFは、お客様のデバイスに害を及ぼしたり、組織のセキュリティシステムを危険にさらしたりする可能性のある、多くの好ましくない電子メールを排除するために、かなり良い仕事をしています。しかし、SPFは一部の人が考えているほど良いものではありません。それは、SPFにはいくつかの大きな欠点があるからです。ここでは、その問題点について説明します。

SPFの限界

SPFレコードは、Fromアドレスには適用されません。

メールには、送信者を特定するための複数のアドレスがあります。通常表示されるFromアドレスと、1~2回のクリックで表示される隠れたReturn Pathアドレスです。SPFを有効にすると、受信側のメールサーバーはリターンパスを見て、そのアドレスのドメインのSPFレコードをチェックします。

ここで問題となるのは、攻撃者がリターンパスのアドレスに偽のドメインを使い、Fromセクションに正当な(または正当に見える)メールアドレスを使うことで、これを悪用できることです。仮に受信者が送信者のメールIDを確認したとしても、まずFromアドレスを見て、一般的にはリターンパスをわざわざ確認することはありません。実際、ほとんどの人はReturn Pathアドレスというものがあることすら知らないのではないでしょうか。

SPFは、この単純なトリックを使うことで非常に簡単に回避することができ、SPFで保護されたドメインであってもほとんど無防備になります。

SPFレコードは、DNSルックアップの制限があります。

SPFレコードには、ドメイン所有者がメール送信を許可したすべてのIPアドレスのリストが含まれています。しかし、これには決定的な欠点があります。受信サーバーは、送信者が許可されているかどうかを確認するためにレコードをチェックする必要があり、サーバーの負荷を軽減するために、SPFレコードのDNSルックアップは10回までとなっています。

つまり、あなたの組織が複数のサードパーティベンダーを使用して、あなたのドメインを通じてメールを送信している場合、SPFレコードはその制限をオーバーシュートしてしまう可能性があります。適切に最適化されていなければ(自分でやるのは簡単ではありませんが)、SPFレコードには非常に制限の多い上限が設定されています。この制限を超えると、SPFの実装が無効であるとみなされ、メールはSPFに失敗します。これにより、メールの配信率が低下する可能性があります。

さらに詳しく

 

メールが転送されたときにSPFが機能しないことがある

SPFには、メール配信に支障をきたすもう一つの重大な障害点があります。お客様のドメインにSPFを実装している場合、誰かがお客様のメールを転送すると、転送されたメールがSPFポリシーによって拒否されることがあります。

これは、転送されたメッセージによってメールの受信者が変更されたが、メールの送信者のアドレスは同じままであるためです。これが問題になるのは、メッセージにはオリジナルの送信者のFromアドレスが含まれているのに、受信サーバーには別のIPが表示されているからです。転送先のメールサーバのIPアドレスは、オリジナルの送信者のドメインのSPFレコードに含まれていません。その結果、受信サーバーでメールが拒否されてしまうことがあります。

DMARCはこれらの問題をどのように解決するのでしょうか?

DMARCは、SPFとDKIMを組み合わせて電子メールを認証します。電子メールがDMARCを通過して正常に配信されるためには、SPFまたはDKIMのいずれかを通過する必要があります。さらに、SPFやDKIMだけの認証よりもはるかに効果的な重要な機能が追加されている。レポーティングです。

DMARCレポートでは、Eメールチャネルのステータスに関するフィードバックを毎日得ることができます。これには、DMARCアライメントに関する情報、認証に失敗したメールに関するデータ、なりすましの可能性に関する詳細が含まれます。

なりすましメールを受け取らないためにはどうしたらいいのかとお考えの方は、メールのなりすましを防ぐための5つの方法をまとめた便利なガイドをご覧ください。

SPFなしのDKIM

/によって