到達率を最大化するSPF/DKIMの設定方法

到達率を最大化するSPF/DKIMの設定方法

SPF (Sender Policy Framework) の設定

SPFは、送信元IPアドレスを詐称した迷惑メールを防ぐための仕組みです。ドメインのDNSレコードに、そのドメインからメールを送信することを許可されたIPアドレスのリストを登録します。受信側サーバーは、メールを受信した際に、送信元IPアドレスがDNSレコードに登録されているかを確認し、偽装メールを排除します。

1. SPFレコードの基本構造

SPFレコードは、DNSのTXTレコードとして登録されます。基本的な形式は以下の通りです。

v=spf1 [修飾子] [メカニズム] ... [all]

  • v=spf1: SPFのバージョンを指定します。
  • [修飾子]: SPFレコードの解釈方法を制御します。主要なものに + (許可), - (拒否), ~ (ソフトフェイル), ? (ニュートラル) があります。
  • [メカニズム]: 送信元IPアドレスを特定するための条件です。ip4 (IPv4アドレス), ip6 (IPv6アドレス), a (Aレコード), mx (MXレコード), include (他のSPFレコードの参照) などがあります。
  • [all]: 上記のメカニズムに一致しなかった場合の処理を指定します。通常、-all (厳密に拒否) または ~all (ソフトフェイル) が使用されます。

2. 具体的な設定例

例1: 自社サーバーのみで送信する場合

自社サーバーのIPアドレスが 192.0.2.1 の場合。

v=spf1 ip4:192.0.2.1 -all

例2: Google Workspace (旧 G Suite) を利用して送信する場合

Google Workspaceからの送信を許可するには、Googleが提供するSPFレコードを include します。

v=spf1 include:_spf.google.com ~all

~all は、SPFレコードに一致しないメールを「不明」として扱うため、誤検知を防ぎつつ、SPF認証が失敗したメールを完全に拒否しない場合に有効です。ただし、到達率を最大化するためには、可能な限り -all を使用し、SPFレコードを正確に設定することが推奨されます。

例3: 複数の送信元(自社サーバーとサードパーティサービス)がある場合

自社サーバー (192.0.2.1) と、SendGrid (include:sendgrid.net) を利用する場合。

v=spf1 ip4:192.0.2.1 include:sendgrid.net -all

3. SPFレコード設定時の注意点

  • DNSルックアップの制限: SPFレコードの解析において、DNSルックアップは最大10回までという制限があります。includeredirect を多用しすぎると、この制限を超えてしまい、SPF認証が失敗する可能性があります。
  • 複数のSPFレコードの禁止: 同じドメインに対して複数のSPFレコードを定義することはできません。1つのTXTレコードにSPF情報を集約する必要があります。
  • -all~all の使い分け: -all は厳密な拒否であり、SPF認証に失敗したメールは破棄される可能性が高くなります。一方、~all はソフトフェイルであり、認証失敗メールは破棄されず、迷惑メールフォルダに振り分けられるなどの処理がされることが多いです。到達率を最大化しつつ、誤検知を防ぐためには、まず ~all で運用を開始し、問題がないことを確認した後に -all に移行するなどの慎重な運用が推奨されます。
  • PTRレコードとの連携: SPFは、送信元IPアドレスを認証する仕組みですが、逆引きDNS (PTRレコード) との連携も重要です。IPアドレスからドメイン名を解決できない場合、SPF認証が失敗することがあります。

DKIM (DomainKeys Identified Mail) の設定

DKIMは、メールに電子署名を付与することで、メールが改ざんされていないこと、および送信元ドメインが正規のものであることを証明する仕組みです。これにより、メールの送信元を偽装するスパムや、メールの内容が改ざんされることを防ぎます。

1. DKIMの仕組み

  1. 公開鍵と秘密鍵の生成: ドメイン管理者が、DKIM署名用の公開鍵と秘密鍵のペアを生成します。秘密鍵は送信サーバーが保持し、公開鍵はDNSレコードとして公開されます。
  2. メールへの署名: 送信サーバーは、メールのヘッダー情報と本文の一部(または全体)に対して、秘密鍵を用いて電子署名を生成し、メールのヘッダーに付与します。
  3. 署名の検証: 受信サーバーは、メールのヘッダーに含まれるDKIM署名と、送信元ドメインのDNSレコードに公開されている公開鍵を用いて、署名の正当性を検証します。

2. DKIMレコードの設定方法

DKIM設定は、主に以下のステップで行います。

2.1. 鍵ペアの生成

多くのメール送信サービス(Google Workspace, Microsoft 365, SendGridなど)では、管理画面からDKIM鍵ペアを生成する機能が提供されています。生成された鍵ペアは、通常、セレクター(署名の識別子)とともに提供されます。

: セレクターが google の場合。

2.2. DNSレコードの登録

生成された公開鍵を、DNSのTXTレコードとして登録します。レコード名は「セレクター._domainkey.yourdomain.com」のような形式になります。

:
レコード名: google._domainkey.example.com
タイプ: TXT
値: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAn... (公開鍵のBase64エンコード文字列)

2.3. 送信サーバーでの設定

秘密鍵を、メール送信を行うサーバー(またはメール送信サービス)に設定します。これにより、メール送信時に自動的にDKIM署名が付与されるようになります。

3. DKIM設定時の注意点

  • セレクターの重要性: セレクターは、複数のDKIM鍵を使い分ける場合などに使用されます。通常、メール送信サービス側で推奨されるセレクターを使用しますが、独自に設定する場合もあります。
  • 公開鍵の正確性: DNSに登録する公開鍵は、生成されたものと完全に一致している必要があります。一文字でも間違っていると、DKIM認証は失敗します。
  • 鍵のローテーション: セキュリティのために、定期的にDKIM鍵をローテーションすることが推奨されます。
  • DKIM署名の対象範囲: DKIM署名は、メールのヘッダーの一部および本文のハッシュ値に対して行われます。通常、メール送信サービス側で最適な署名対象範囲が設定されています。

SPFとDKIMの連携による到達率向上

SPFとDKIMは、それぞれ異なる方法でメールの正当性を証明しますが、両方を適切に設定・運用することで、メールの到達率を大幅に向上させることができます。これは、受信側サーバーがメールの送信元をより確実に信頼できるようになるためです。

1. DMARC (Domain-based Message Authentication, Reporting & Conformance)

SPFとDKIMをさらに強力に連携させるのがDMARCです。DMARCは、SPFおよびDKIMの認証結果に基づいて、メールの処理方法(受信を許可する、隔離する、拒否するなど)をドメインの所有者が指示できるようにするポリシーです。

DMARCポリシーは、DNSのTXTレコードとして設定され、以下の情報を含みます。

  • v=DMARC1: DMARCのバージョン
  • p=[policy]: ポリシー(none, quarantine, reject
  • rua=[URI]: 認証結果レポートの送信先URI
  • ruf=[URI]: フォレンジックレポートの送信先URI

: v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com;

この例では、DMARC認証に失敗したメールは隔離(迷惑メールフォルダへ)され、その結果レポートが dmarc-reports@example.com に送信されるように設定されています。

2. SPFとDKIMが揃った場合のメリット

  • 送信元詐称の困難化: SPFでIPアドレス、DKIMでドメインの正当性が証明されるため、第三者がこれらの認証を突破してメールを送信することが極めて困難になります。
  • 受信側サーバーの信頼度向上: SPF/DKIM認証が成功したメールは、受信側サーバーにとって信頼性が高く、迷惑メールとして誤判定されるリスクが低減します。
  • ブランドイメージの保護: 自社ドメインを詐称した迷惑メールが減少することで、ブランドイメージの低下を防ぐことができます。

3. 設定・運用におけるベストプラクティス

  • 継続的な監視と改善: SPF, DKIM, DMARCの設定は一度行えば終わりではなく、定期的に設定内容を確認し、必要に応じて更新することが重要です。特に、メール送信環境(利用するサービス、IPアドレスなど)が変更された場合は、速やかにSPFレコードを更新する必要があります。
  • DMARCレポートの分析: DMARCレポートは、自社ドメインからのメール送信状況や、第三者による不正利用の可能性を把握するための貴重な情報源です。これらのレポートを分析し、設定の最適化や不正利用の早期発見に役立てましょう。
  • 段階的なDMARCポリシーの適用: 最初から reject ポリシーを適用すると、誤検知があった場合に大量の正当なメールが届かなくなるリスクがあります。まずは none または quarantine ポリシーで運用を開始し、SPF/DKIMの設定が安定していることを確認してから、徐々に厳しいポリシーに移行することが推奨されます。
  • SPFレコードのクリーンアップ: 過去に使用していたIPアドレスや、現在利用していないサービスの設定がSPFレコードに残っていると、SPF認証に失敗する原因となり得ます。定期的にSPFレコードを見直し、不要な設定は削除しましょう。

まとめ

SPF, DKIM, そしてDMARCは、メールの到達率を最大化し、送信元詐称やなりすましを防ぐための重要な技術です。これらの設定は、ドメインのDNSレコードを編集することによって行われます。各設定の仕組みを理解し、正確に設定・運用することで、メールが正しく受信者に届き、信頼性の高いコミュニケーションを実現することができます。

コメント

タイトルとURLをコピーしました