D

DMARCアライメント(整合性)

DMARCアライメントとは、SPF・DKIMで認証されるドメインとFromヘッダのドメインの整合性です。relaxedとstrictの違いや重要性を解説します。


DMARCにおけるアライメントとは

DMARC におけるアライメント(整合性)とは、SPFDKIM の認証チェックで使われるドメインと、メールの From ヘッダに表示されるドメインとの関係を指します。メッセージが DMARC 検証に合格するには、これらのメカニズムのうち少なくとも一つが認証に合格するだけでなく、受信者に表示されるドメインともアライメントしている必要があります。アライメントは、ヘッダに示された送信者の身元が、認証されるドメインと正確に一致していることを保証し、無関係なドメインの不正な利用を防ぎます。

適切なアライメントがなければ、技術的な認証チェックが別のドメインに対して行われているにもかかわらず、メッセージが信頼できる組織から来たように見えてしまう可能性があります。この検証ステップは、メッセージが本当に主張どおりの送信者から発信されていることをメールボックスプロバイダーが確認するのに役立ち、なりすましフィッシングのリスクを低減します。

アライメントの仕組み

DMARC アライメントは、ドメインを比較する2つの独立したチェックを通じて機能します。

  • SPF アライメント: Envelope From(MAIL FROM)に使われるドメインと、表示される From ヘッダのドメインを比較します。
  • DKIM アライメント: DKIM 署名内のドメイン(d= タグ)と、From ヘッダのドメインを比較します。

SPF と DKIM のいずれかが合格しアライメントしていれば、そのメッセージは DMARC に準拠しているとみなされます。両方がアライメントに失敗した場合、メッセージは DMARC に不合格となり、ドメインのポリシー(nonequarantinereject)に従って処理されます。

例:

From: billing@example.com
Return-Path: mail.example.com
DKIM-Signature: d=example.com
 

このケースでは、SPF と DKIM の両方が example.com とアライメントしているため、DMARC は合格となります。

アライメントの種類

DMARC は、DMARC レコード内の aspf(SPF 用)タグと adkim(DKIM 用)タグで定義される2つのアライメントモードをサポートしています。

  • relaxed アライメント: サブドメインが組織ドメインとアライメントすることを許可します。例えば、mail.example.comexample.com とアライメントします。
  • strict アライメント: 完全なドメイン一致を要求します。この場合、mail.example.comexample.com とアライメントしません。

strict アライメントを設定した DMARC レコードの例:

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc-reports@example.com
 

relaxed アライメントは複数のサブドメインを使用する組織に柔軟性をもたらし、strict アライメントはなりすましに対してより高い保護を提供します。

アライメントが重要な理由

アライメントは、DMARC を SPF や DKIM 単体よりも効果的にする決定的な特徴です。SPF と DKIM はメッセージの完全性と送信の認可を検証しますが、認証されたドメインが受信者に見えるドメインと一致していることまでは保証しません。DMARC アライメントは、技術的な送信者ドメインと表示される送信者ドメインの一貫性を強制することで、このギャップを埋めます。

適切なアライメントは、次のことに役立ちます。

  • ドメインのなりすましや不正利用からブランドを保護する
  • メールコミュニケーションにおける信頼性と真正性を高める
  • 正しく認証されたメッセージの到達性を向上させる
  • なりすましやビジネスメール詐欺(BEC)攻撃の成功を減らす
  • メールボックスプロバイダーにフィルタリングとレピュテーション評価のためのより明確なシグナルを提供する

アライメントと DMARCeye

DMARCeye は、すべてのドメインおよびサブドメインにわたる SPF と DKIM のアライメントについて、詳細な知見を提供します。このプラットフォームは、アライメントしていない送信元、サードパーティのメールストリーム、アライメントに失敗したメッセージを浮き彫りにし、reject ポリシーを適用する前に組織が設定上の問題を特定できるよう支援します。

アライメントのデータを認証結果と並べて可視化することで、DMARCeye はセキュリティチームや到達性チームが、どこでアライメントが崩れているのか、どう修正すればよいのかを理解できるようにします。この可視性が、DMARC の完全な適用への道のりを加速し、ブランドを代表するすべてのメッセージが検証され信頼されることを保証します。

ご自身のドメインの保護状況が気になりますか?無料でDMARCをチェックしましょう:

 

 

DMARCeyeの無料トライアルに登録して、メールドメインを保護しましょう。


DMARCおよび関連用語について詳しくは、DMARCeye用語集をご覧ください。


Similar posts

新しいマーケティングインサイトに関する通知を受け取る

DMARC ポリシー戦略を構築または改善するための新しい情報をいち早く入手しましょう。