完全アライメント(Full Alignment)
完全アライメントとは、SPFとDKIMの両方が合格しFromドメインとアライメントする状態です。DMARC適用における真正性の最高基準を解説します。
メール認証における完全アライメントとは
DMARC における完全アライメント(Full Alignment)とは、SPF と DKIM の両方の認証チェックが合格し、かつメールの表示上の From ヘッダにあるドメインとアライメントしている状態を指します。これはドメインの身元検証の最高レベルを表し、メッセージが技術的に認証されているだけでなく、送信者のドメインと適切に結び付いていることを保証します。完全アライメントは、DMARC 適用下におけるメールの真正性の理想的な基準です。
メッセージが完全アライメントを達成すると、SPF と DKIM のチェックにそれぞれ合格し、かつ両方が From ヘッダで使われているのと同じドメイン名とアライメントします。このアライメントは、メッセージが正当であり、認可されたシステムから送信され、配信の途中で改ざんされていないことを受信メールサーバーに対して確認します。
完全アライメントの仕組み
DMARC では、SPF または DKIM のいずれかが合格し From ドメインとアライメントすれば、メッセージは認証に合格できます。完全アライメントは、両方が同時に合格しアライメントした場合に成立します。これを判定するため、受信メールサーバーは次のチェックを行います。
- SPF チェック: IP アドレスまたは送信サーバーが、Envelope From(MAIL FROM)のドメインのメールを送信することを認可されており、かつそのドメインが表示上の From ドメインと一致(アライメント)していることを確認します。
- DKIM チェック: 署名ドメイン(
d=タグ)のもとで DNS に公開された公開鍵を使ってメッセージのデジタル署名を検証し、かつそのドメインも From ドメインとアライメントしていることを確認します。
両方のチェックに成功し、ドメインが一致すると、メッセージは完全アライメントを達成します。
From: billing@example.com
Return-Path: mail.example.com
DKIM-Signature: d=example.comここでは、SPF と DKIM の両方が example.com とアライメントしており、DMARC の完全アライメントの条件を満たしています。
完全アライメントが重要な理由
完全アライメントは、メールコミュニケーションにおける真正性について最も強力な保証を提供します。これは、メッセージがドメインの認可されたメールインフラから発信され、同じドメインによって暗号的に署名され、受信者に一致するドメインを表示していることを確認します。この包括的な検証により、なりすまし、フィッシング、ブランド詐称のリスクが大幅に低減されます。
完全アライメントの利点は次のとおりです。
- メールボックスプロバイダーに対する、可能な限り高い信頼性と真正性のシグナル
- 受信トレイへの配置の改善と送信者レピュテーションの向上
- 認可されていないサードパーティ送信元に対するより強力な保護
- 厳格な DMARC ポリシーのもとでのメッセージ拒否リスクの低減
- 調査上の可視性とレポートの正確性の向上
DMARC を p=reject で適用する組織は、厳格な適用を行う前に、すべての正当なメールストリームで完全アライメントを達成することを目指すことがよくあります。これにより、すべての認可された送信元が適切に設定され、正当なトラフィックが誤って拒否されないようにします。
完全アライメントの達成
完全アライメントを実現するには、SPF、DKIM、DMARC レコードを連携させて設定する必要があります。ベストプラクティスは次のとおりです。
- すべての送信ドメインおよびサブドメインに有効な SPF レコードと DKIM レコードを用意する
- From、Return-Path、DKIM の
d=フィールドで一貫したドメイン名を使用する - サードパーティの送信元が自社のドメインではなく、あなたのドメインを使って認証するように設定する
- 最大限のセキュリティのため、DMARC レコードで strict アライメントモード(
adkim=sとaspf=s)を適用する - どのメール送信元がアライメントを達成しているかを確認するため、DMARC 集約レポートを定期的に確認する
strict な完全アライメントを適用する DMARC レコードの例:
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc-reports@example.comadkim と aspf の両方を s に設定すると、ドメインは完全に一致しなければならなくなります。これは、すべてのメッセージで一貫した完全アライメントを達成するための重要な要件です。
完全アライメントと DMARCeye
DMARCeye は、すべてのドメインおよび送信元について、認証結果とアライメント状況を詳細に可視化します。このプラットフォームは、どのメッセージが SPF、DKIM、またはその両方に合格しているかを浮き彫りにし、管理者が部分的なアライメントの欠落を特定して完全な準拠へ向かえるようにします。
DMARCeye の分析エンジンは、SPF と DKIM のアライメントデータを DMARC レポートと関連付け、サードパーティの設定、DNS レコードの欠落、セレクタの不一致などにより完全アライメントに失敗している送信元を突き止めます。実行可能な知見と視覚的なダッシュボードを通じて、DMARCeye は組織が到達性とドメインの完全性を維持しながら、監視から完全な適用へと自信を持って進めるよう支援します。
ご自身のドメインの保護状況が気になりますか?無料でDMARCをチェックしましょう:
DMARCeyeの無料トライアルに登録して、メールドメインを保護しましょう。
DMARCおよび関連用語について詳しくは、DMARCeye用語集をご覧ください。