ポスト

DMARCサブドメイン委任は、ドメイン所有者がDMARCに準拠した方法でサブドメインまたはトップレベルドメインをサードパーティに委任することを支援します。これにより、所有者のドメイン名が送信者のFrom:アドレスに反映されるようにすることができます。

サブドメインをサードパーティのDNSプロバイダーに委任すると、委任された組織は、それらのサブドメインに関連するすべてのDNSリクエストに対して責任を持つようになります。委任された組織は、サブドメインのMXレコードとTXTレコードにもアクセスできますが、特に設定されていない限り、これらの設定は表示されない可能性があります。

DNSゾーンデリゲーションとは何ですか?

DNS委任とは、DNSサーバーが他のDNSサーバーに、そのサーバーに代わって権威付けを行うことを承認するプロセスです。これにより、特に大規模な展開の場合、リソースをより効率的に使用することができます。

例えば、あなたの会社が多くの異なるサイトに何百台ものサーバーを持っている場合、それらのサーバーの権限を委譲して、1つのゾーン内のすべてのレコードに責任を持つサーバーを1台だけにすることができます。これにより、1つのサイトがダウンしても、他のサイトは問題なくネームサーバーを解決し、データにアクセスすることができます。

ゾーン・デリゲーションはなぜ重要なのか、あるいは有益なのか?

DNSゾーンデリゲーションは、DNSインフラストラクチャの重要な部分です。

DNSゾーン(ドメイン)は、特定のドメインに対して権限を持つ1つまたは複数のDNSサーバーの集合体です。DNSサーバーが1つの場合、プライマリDNSサーバーと呼ばれます。複数のDNSサーバーがある場合、それらはすべてセカンダリーサーバーと呼ばれます。

ゾーン委任は、1つまたは複数のネームサーバをゾーンのセカンダリサーバと して指定することを可能にする。ゾーン委任の主な目的は、マイクロソフトがその文書で指摘している通りである。 ゾーン委任に関する文書ゾーン委任の主な目的は、DNS環境に冗長性を持たせ、ネットワークの他の部分に影響を与えることなく、新しいネームサーバーを追加したり、設定を変更したりできるようにすることです。

サブドメイン委任とは何ですか?

サブドメイン委任は、ドメインの管理権限を他の個人や組織に委任する優れた方法です。サブドメイン転送、サブドメイン管理、サブドメインプロキシとも呼ばれ、さまざまな目的に使用することができます。

サブドメイン委任とはどういう意味ですか?

ドメインを委任すると、基本的にあなたの代わりにドメインを管理する許可を他の誰かに与えることになります。つまり、ドメインを受け取った人は、ドメインの追加やDNSの設定変更、削除など、自分の好きなことを何でもできるようになるのです。自分次第なのです。

サブドメイン委任はどのように機能するのですか?

サブドメインは、通常のドメインと同様に、名前とIPアドレスを持っています。ドメインとサブドメインの違いは、サブドメインは他のドメイン名(「example.com」のような)の下にあることです。サブドメインを効果的に使用するには、次の3つが必要です。オリジナルのドメイン名と一致するホスト名、オリジナルのドメインが作成されたときに割り当てられたものと一致するIPアドレス(現在のものと同じかどうかはわかりません)、そしてそれを管理する人によって与えられたアクセス権です。 

DMARC Subdomain Delegationは、あなたの生活をより快適にしてくれますか?

サブドメインをサードパーティプロバイダに委託したい理由はいくつかあります。以下に、そのいくつかを紹介します。 

  • ネームサーバーを経由して第三者が送信するメールに、あなたのドメインのアイデンティティと名前を反映させたい
  • お客様のメールは、お客様のドメインから発信されているように見えるため、DMARCに準拠します。また、サブドメインを完全に制御できるため、DNSを自由に変更することができます。
  • 委任されたサブドメインを持つネームサーバーから発信されるすべてのメールは、以下のようにパスします。 SPF認証を通過するため、DMARC
  • これにより、スムーズで中断のないメール配信を実現します。 

サブドメインをサードパーティプロバイダに委譲する方法は?

備考: サブドメインの委任には、現在ご利用のDNSプロバイダーに登録されているサブドメインと、第三者のネームサーバー情報が必要です。

  • DNSレジストラのコントロールパネルにログインします。 
  • DNSゾーンファイルに、新しいNS(ネームサーバー)レコードを作成します。 
  • Name」欄にサブドメイン名、「Value」欄にドット(.)の後にネームサーバー情報を入力し、TTLを1800または3600に設定してください。 
  • レコードの変更を保存し、DNSが変更を更新するのを待ちます。

同じ手順で、サードパーティプロバイダーのすべてのネームサーバーにサブドメインを委譲することができます。 

最後に、サブドメインの委任処理を終了するには、サードパーティプロバイダのDNSゾーンファイルにサブドメインを追加する必要があり、これで完了です。 

DMARCのコンプライアンスとサードパーティー 

サードパーティをDMARCに準拠させることは、誤認識がないことを確認するための良い方法です。DMARCプロトコルのサードパーティーのソースの設定が間違っているために、正当なメールが受信者側で配信されず、スパムと判定されることはよくあることです。 

私たちは、ブログ全体を通して サードパーティベンダーのDMARC準拠を実現するには.

詳しくは お問い合わせDMARCエキスパートとの無料コンサルテーションをご予約ください。

DKIMキーローテーションとは、あなたのDKIMキーを更新するプロセスです。正確な期間は重要ではありませんが、そのプロセス自体は重要です。なぜそうする必要があるのでしょうか?鍵のローテーションとは、新しい鍵を作成し、その新しい鍵でDNSレコードを更新することです。DKIMキーをローテーションする目的は、パスワードを定期的に変更する理由と似ています。これは、攻撃者があなたのドメインになりすまし、スパムやフィッシングメールを送信するのを防ぐためのセキュリティ対策です。

そもそも、なぜDKIMキーを使うのかを見てみましょう。

なぜDKIMキーを使用するのですか?

DKIMは、DomainKeys Identified Mailの略です。これは、あなたの電子メールサーバーにセキュリティの追加レイヤーを追加する方法で、あなたの電子メールがスパムとしてフラグを立てられ、スパムフォルダーに入ってしまわないようにするためです。DKIMについて考える最も良い方法は、メッセージに付けられた暗号化された識別子として、受信者がそのメッセージが実際にあなたから送られたものであることを確認できるようにする、というものです。この識別子、またはキーは、受信者がそれを確認することができるものです。

DKIMはどのように機能するのですか?

DKIMは、送信される各Eメールにこの識別子を追加することで機能します。誰かがこれらの電子メールを受信すると、メッセージのヘッダーまたはフッターをチェックし、数字と文字の文字列を見つけることができます。電子メールが受信者に送信される前に、送信者の電子メールサーバーはすべての電子メールにデジタル署名し、受信側の電子メールサーバーがそれを検証する。このプロセスにより、電子メールが何らかの形で改ざんされていないことが証明されます。 

電子メールを送信すると、署名はメッセージの末尾にヘッダーとして添付されます。受信サーバーは、公開鍵(DNSレコードを通じてドメイン所有者から提供される)を使用して、これらの署名を解読・検証します。

なぜDKIMキーローテーションがドメインのセキュリティに重要なのですか?

DKIMキーローテーションとは、メッセージの署名と認証に新しい秘密鍵/公開鍵ペアを使い始め、その後古い秘密鍵/公開鍵ペアの使用を止めることです。

なぜこれが重要なのか?もし誰かがあなたの秘密鍵にアクセスすることができたら、それを使ってあなたに見せかけた詐欺メールを送ることができるのです。このような悪質な行為を防ぐには、数ヶ月ごとに鍵を交換するのがベストです。

DKIMキーローテーションの重要性をより理解するために、この例を見てみましょう。 

例えば、あなたのお店でホリデーセールのためのメールキャンペーンを行ったとします。その際、DKIMキーを使って署名しますが、同じキーペアを使ったメールを何度も送信すると、各メッセージが同じ暗号ハッシュアルゴリズムを使っているため、悪質業者はいずれそのうちの一つを傍受して解読してしまうかもしれません。一度、あなたの公開鍵を手に入れたら、あなたに知られることなく、その鍵でフィッシングメールを署名し始めることができるのです!そのため、定期的なDKIM鍵のローテーションは、あなたのドメインのセキュリティにとって非常に重要なのです。

DKIMキーのローテーションはどのように行うのですか?

1.手動によるDKIMキーのローテーション

あなたのドメインに新しいキーを作成することで、DKIMキーを時々手動で回転させることができます。これを行うには、次の手順に従います。 

  • 私たちの無料の DKIMレコードジェネレーターツール
  • ドメインの情報を入力し、ご希望のDKIMセレクタを入力してください。 
  • 生成 "ボタンを押す 
  • 新しいDKIMキーのペアをコピーします。 
  • 公開鍵はDNSで公開され、以前のレコードを置き換えます。
  • 秘密鍵は、ESPと共有するか(メールをアウトソーシングしている場合)、メールサーバーにアップロードします(メールの転送をオンプレミスで処理している場合)。 

2.サブドメインDKIM鍵の委譲

ドメイン所有者は、第三者にDKIMキーローテーションを処理させることで、アウトソーシングすることができます。これは、ドメインの所有者が電子メールベンダーに専用のサブドメインを委任し、彼らに代わってDKIMキーペアを生成するよう依頼する場合です。これにより、所有者は、第三者に責任を委託することで、DKIMキーローテーションの手間を省くことができます。 

しかし、これはDMARCエントリーのポリシーオーバーライドの問題を引き起こす可能性がある。円滑でエラーのない展開を確実にするために、ローテートされた鍵はドメインコントローラーによって監視され、確認されることが推奨される。 

3.DKIM CNAME鍵の委譲

CNAMEはcanonical nameの略で、外部ドメインのデータを指すために使用されるDNSレコードです。CNAME委任により、ドメイン所有者は外部のサードパーティによって維持されているDKIMレコード情報を指すことができます。これはサブドメイン委任と似ていて、ドメイン所有者は自分のDNSにいくつかのCNAMEレコードを公開するだけでよく、DKIMインフラストラクチャとDKIMキーローテーションはレコードが指すサードパーティによって処理されるためです。 

例えば、こんな感じです。 

"domain.com "は発信元メールの署名が必要なドメイン、"third-party.com "は署名処理を行うベンダーを表します。 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

上記のCNAMEレコードは、ドメイン所有者のDNSで公開される必要があります。 

さて、s1.domain.com.third-party.comはすでにそのDNSでDKIMレコードを公開しており、これは次のようになる。 s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599......"。

この情報は、domain.comから発信される電子メールに署名するために使用されます。 

備考: 複数の 複数のDKIMレコード(推奨: 少なくとも3つのCNAMEレコード)をDNS上で公開し、DKIMキーローテーションを可能にする必要があります。これにより、ベンダーは署名中に鍵を切り替えることができ、代替オプションを提供することができます。

4.DKIMキーの自動ローテーション

ほとんどのメールベンダーとサードパーティメールサービスプロバイダーは、顧客向けにDKIMキーの自動ローテーションを可能にしています。例えば、メールのルーティングにOffice 365を使用している場合、MicrosoftがOffice 365のユーザー向けにDKIMキーの自動ローテーションをサポートしていることを知れば、嬉しくなるでしょう。 

Office 365の電子メールに対してDKIMキーローテーションを有効にする方法については、ナレッジベースで完全なドキュメントをカバーしています。 

DKIMキーの自動ローテーションのメリット

  • DKIMキーの自動ローテーションを許可しているベンダーであれば、あなたは何もする必要がありません。すべてベンダーが管理します。 
  • 手動で設定するため、ヒューマンエラーが発生しやすい。
  • 自動キーローテーションは、高速かつ効果的で、お客様の手を煩わせることはありません。 
  • DKIMの管理体制は完全にアウトソーシングされており、第三者が担当しています。

DKIMキーローテーション戦略の導入

私たちはこれを"DKIMキーローテーションの3つのD":

  • 議論する 
  • 決定する
  • デプロイ 

これが、あなたのドメインのための効果的なDKIMキーローテーションストラテジーを要約したものです。電子メールのためにサードパーティーのサービスを利用していて、ベンダーがローテーションを処理している場合、いつ、どれくらいの頻度で鍵をローテーションしたいかについて、オープンで透明性のある話し合いが行われていることを確認する。鍵のローテーションのタイミングや、選択鍵のサイズ(1024ビットと2048ビットのどちらがより安全か)についても発言権を持つ必要があります。 

話し合いの段階を経て、お客様とベンダーがお互いにどのような戦略をとるかを決め、最終的に導入を進める必要があります。