DMARC対DKIM対SPF：その違いは？

あなたのドメインをなりすましやフィッシングから守るために調べたことがあるなら、おそらくどこでも出てくるような3つの略語に遭遇したことがあるだろう：SPF、DKIM、DMARCです。

SPF、DKIM、DMARCです。一見すると似ているように聞こえますが（いずれもDNSベースのメール認証規格です）、それぞれが異なる問題を解決しています。これらの違いを理解し、どのように連携するのかを理解することは、お客様のドメインを保護し、メール配信性を向上させるために不可欠です。

それでは、1つずつ説明し、どのように組み合わせれば、詐欺メールに対する完全な防御壁を形成できるかを見ていきましょう。

メール認証の基本

電子メールは、サイバー犯罪やフィッシングが日常的に懸念されるようになるはるか昔、数十年前に設計されました。デフォルトでは、誰かがあなたのドメインを名乗るメールを送信することを阻止するものは何もありません。

認証標準は、メールサーバーに送信者の正当性を確認する方法を与えるために導入されました。SPF、DKIM、DMARCはその中でも最も重要なものです。

これらは異なる段階でのIDチェックのようなものだと考えてほしい：

• SPFはメッセージがどこから来たかをチェックする。
• DKIMはメッセージが改ざんされていないことをチェックします。
• DMARCは、メッセージがあなたのドメインと一致しているかどうかをチェックし、あなたのポリシーを実施します。

SPF: 送信者ポリシーフレームワーク

SPFの仕組み

SPF (Sender Policy Framework)は、あなたのドメインのメール送信を許可するサーバーのリストを公開することができます。誰かがあなたのドメインを使ってメッセージを送信すると、受信者のメールサーバーは送信IPアドレスをこのリストと比較します。

IPがリストにあれば、メッセージはSPFを通過します。そうでない場合は失敗します。

典型的なSPFレコードは以下のようになります：

• このレコードの意味は、Google WorkspaceとMailchimpがあなたのドメインのメールを送信することを許可します。
• 末尾の-allは、他の送信元を拒否するようメールサーバーに指示します。

長所と短所

SPFは実装が簡単で、強力な防御の第一層を提供します。しかし、主に2つの弱点がある：

1. SPFは封筒の差出人（技術的には "Return-Path"）を認証するだけで、ユーザーが目にするFromアドレスは認証しない。
2. SPFは、メールが転送されたときに失敗します。転送元のIPがあなたのレコードにリストされていない可能性があるからです。

つまり、SPFはメールの送信元を確認するものであり、必ずしも送信元が誰であるかを確認するものではありません。

DKIM: ドメインキー識別メール

DKIMの仕組み

DKIM（DomainKeys Identified Mail）は、暗号署名を使用して、メールが転送中に改ざんされておらず、本当にあなたのドメインから来たものであることを確認します。

その仕組みは次のとおりです：

• あなたのメールサーバーは、秘密鍵で各送信メッセージに署名します。
• 受信サーバーは、あなたのDNSレコードから公開鍵を取得し、署名を検証します。

署名が一致すれば、そのメールは信頼できるものとみなされます。

典型的なDKIMレコードは次のようになります：

長所と限界

DKIMは、メッセージが改ざんされていないという保証を提供します。しかし、DKIMだけでは、検証に失敗した電子メールに何が起こるべきかを述べていませんし、攻撃者が有効な署名なしであなたのドメインを使用してメッセージを送信することを防ぐこともできません。

これが、DMARCが提供する欠けているポリシーレイヤーです。

DMARC：ドメインベースのメッセージ認証、報告、および適合性

DMARCの仕組み

DMARCはSPFとDKIMの上に構築され、ドメイン所有者に真のコントロールを与えます。DMARCは3つのことを行います：

1. アライメント - 可視の "From "ヘッダーのドメインが、SPFまたはDKIMによって認証されたドメインと一致することをチェックします。

2. ポリシー - 認証されていないメッセージの処理（何もしない、スパムに送る、拒否する）をメールサーバーに指示します。

3. レポート -XMLレポート（RUAおよびRUF）を通じて、ドメインがどのように使用されているかをフィードバックします。

以下はDMARCレコードの例です：

これは、DMARCチェックに失敗したメールを隔離し、指定されたアドレスに集約レポートを送信し、メッセージの100%にルールを適用するよう受信者に指示します。

DMARCの特徴

SPFとDKIMは検証を提供しますが、強制はしません。DMARCは、認証結果をドメインの目に見えるアイデンティティにリンクし、何かが一致しない場合に取るべきアクションを定義することで、説明責任の欠けているレイヤーを追加します。

実際には、DMARCは、攻撃者があなたのドメインになりすまし、「あなたから」説得力のあるフィッシング・メッセージを送ることを防ぐものです。DMARCはまた、誰があなたの名前でメールを送信しているのかを正確に確認するのにも役立ちます。

SPF、DKIM、DMARCの連携方法

SPF、DKIM、DMARCは3つの部分からなる安全システムであり、それぞれが他の部分でカバーできない部分をカバーしていると考えることができます。

• SPFは、メールが認可されたサーバーから来たことを保証します。
• DKIMは、メッセージの内容が本物であり、変更されていないことを保証します。
• DMARCは、両方のチェックが可視ドメインと一致していることを保証し、一致していない場合はポリシーを適用する。

メッセージがSPFに不合格でもDKIMに合格していれば、DKIM署名が「From」アドレスの同じドメインと一致していることをDMARCが確認する限り、配信することができます。

両方が不合格の場合、DMARCは選択したポリシー（監視、隔離、拒否）を適用する。

このアライメントメカニズムが、DMARCを非常に強力なものにしている。DMARCは、技術的な送信者アイデンティティと、受信者が目にするブランドアイデンティティの間の点を結びつけます。

よくある誤解

経験豊富な管理者であっても、これらのプロトコルは時に混同されることがあります。ここでは、いくつかの根強い誤解を解きましょう：

• SPFだけでなりすましを防げる。
  そんなことはない。SPFは目に見える送信者ドメインを検証するものではない。メッセージを送信したサーバーだけだ。攻撃者はまだFromフィールドを偽造できる。

• SPFが機能していれば、DKIMはオプションである。
  そうでもない。DKIMは完全性を保証するために不可欠であり、SPFが失敗することが多い転送にメッセージを耐えるのに役立つ。

• DMARCは大組織のためだけにある。
  これも間違い。DMARCは無料のオープンスタンダードだ。中小企業からグローバルブランドまで、どんなドメイン所有者でもレコードを公開し、すぐに可視性を得ることができる。

• この3つを実装するのは複雑だ。
  大変に思えるかもしれませんが、SPFとDKIMが設定されれば、DMARCはTXTレコードを1つ増やすだけです。本当の課題は、レポートを監視し、長期にわたって整合性を維持することです（現在では自動化ツールによってはるかに容易になりました）。

認証を始める

DMARCをまだ導入していない場合、多くの組織が実践している方法を紹介しよう：

1. SPFレコードを発行する。 あなたのドメインにメールを送信するすべてのサービスを特定し、SPFレコードにリストアップする。例

   v=spf1 include:_spf.google.com include:sendgrid.net -all


2. DKIM署名を有効にする。
   ほとんどのメールサービス（Google Workspace、Microsoft 365、SendGridなど）は、DNS用の公開鍵を生成するDKIMセットアップウィザードを提供しています。

3. DMARCレコードを追加する。
   安全にデータを収集するために、モニタリングモードで開始する：

   v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com


4. 監視と調整
   数週間レポートを確認し、すべての正当な送信元が認証されていることを確認し、ポリシーを厳しくして隔離し、最終的には拒否する。

このプロセスは一晩で完了する必要はありません。段階的に導入することで、リスクを最小限に抑えつつ、着実に保護を向上させることができる。

グーグルとヤフーの新しいDMARC要件

2024年初頭、 GoogleとYahooは、両社のプラットフォーム全体でスパムとフィッシングを減らすことを目的とした新しい送信者要件を発表した。これらのルールは、大量のメール、特にマーケティング、トランザクション、ニュースレターメッセージを 送信するすべてのドメインに影響します。

これらの新しいポリシーの核心は、大量送信者にDMARCの実施を義務付けることです。

以下は、2つのプロバイダーが現在要求していることの要約である：

1. 有効なSPFレコードとDKIMレコードを発行すること。 メール送信に使用されるすべてのドメインは、1つだけでなく、両方の認証メカニズムを持っている必要があります。

2. 少なくとも "none "ポリシーでDMARCを実装すること。 GoogleとYahooは、すべての大量送信者（通常、1日あたり5,000通以上のメッセージと定義）に対し、ドメインレベルでDMARCレコードを発行することを要求しています。例

   • v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com

   監視のみ」のポリシー（p=none）でもベースライン要件は満たしますが、両プロバイダとも完全な保護のために隔離または拒否に移行することを推奨しています。

3. Fromドメインと認証ドメインの整合。 メッセージのFromヘッダーには、SPFまたはDKIMで認証されたドメインと一致する（または一致する）ドメインを使用する必要があります。不一致のドメインは拒否される可能性が高くなります。

4. 簡単な配信停止オプションを提供する。 グーグルとヤフーも、商用メッセージにワンクリックの配信停止リンクを義務付け、配信停止リクエストに2日以内に対応することを要求している。

5. 低いスパム率を維持すること。 Google Postmaster Toolsの指標によると、送信者はスパム苦情率を0.3%未満に保つ必要があります。

あなたが "大量送信者 "でなくても、GmailやYahooメールにメッセージを送るのであれば、これらの基準を遵守することはもはやオプションではなく、机上の空論です。

一度これに従えば、あなたのメッセージは一貫して受信トレイに届く可能性がはるかに高くなります。

簡単なまとめ

SPF、DKIM、DMARCは競合する技術ではなく、1つのシステムを補完するものです。

• SPFは送信インフラを検証します。
• DKIMはメッセージの完全性を検証します。
• DMARCは整合性を検証し、ポリシーを実施します。

これらを組み合わせることで、電子メールは脆弱で偽造が容易なチャネルから、最も信頼できるデジタルコミュニケーションの1つに変わります。

また、各レコードを公開するのは簡単ですが、複数のベンダー、サブドメイン、外部サービスが関与している場合は特に、可視性を維持し、結果のデータを理解するのはすぐに複雑になります。

そこで、自動化と分析が大きな違いを生むのです。

DMARCeyeがDMARCの実装と監視を簡素化する方法

SPF、DKIM、DMARCを正しく設定することは、始まりに過ぎません。DMARCレポートの解釈、未承認ソースの検出、メールインフラの進化に伴う整合性の維持など、真の課題はその後にやってきます。

DMARCeyeは、このプロセスを簡単に行えるように設計されています。DMARCeyeは、生のXMLレポートを直感的なダッシュボードに変換します。

DMARCeyeを使えば、以下のことが可能です：

• 全ドメインのSPF、DKIM、DMARCの結果を監視
• なりすましを即座に特定しブロック
• 正当な送信者と不正な送信者を明確に区別して表示
• 監視」から「実施」までの進捗を確実に追跡
• 配信性を維持しながらブランドの評判を保護

DMARCeyeは、1つのドメインを管理する場合でも、数百のドメインを管理する場合でも、複雑な生データにアクセスすることなく、組織のメールを安全に保つために必要な可視性と制御を提供します。