SPF・DKIM・DMARC解説
メールの「From」アドレスは簡単に偽装できます。3つのDNSレコードにより、受信サーバはメッセージが本当にあなたのドメインから来たかを検証できます。
3つのレコード
| レコード | 答える問い | 公開場所 |
|---|---|---|
| SPF | この送信IPはドメインの代理送信を許可されているか | ドメインの TXT |
| DKIM | このメッセージはドメインによる電子署名があるか | <selector>._domainkey.<domain> の TXT |
| DMARC | SPF/DKIM失敗時にどうするか、報告先は | _dmarc.<domain> の TXT |
連携の仕組み
DMARCはSPFとDKIMを、見える From: ドメインに結びつけます(これをアラインメントと呼びます)。SPFまたはDKIMのどちらかが通り、かつアラインしていればDMARCは合格です。DKIMの方が堅牢で、SPFを壊すメーリングリストや転送を経ても署名が残ります。
安全な導入
- 実際の送信元を列挙したSPFを
~allで終えて公開。 - メールプロバイダでDKIMを有効化し公開鍵を公開。
- DMARCを
p=noneとrua=報告先で開始。 - 集計レポートを読み、失敗する正規送信元を直してから
p=quarantine、最終的にp=rejectへ。
任意のドメインは当サイトの メール認証チェッカー で確認できます。関連: DNSレコードの種類 と DNSSEC。
メモ: いきなり
p=rejectにしないこと。報告期間なしでは、自社のメルマガ・チケットシステム・外部送信を黙って落とす恐れがあります。