弊社サービスを通じてメール配信を行なう場合の各種設定についてご案内いたします。
SPF
概要
差出元としてメールサーバを承認することで、「なりすましメール」であると誤解されることを防ぎます。
詳細
差出人メールアドレスからメールを送信する場合、通常はそのメールアドレスを管理しているメールサーバが行ないます。
しかし、ジェイシティメールのように他サービスから送信する場合、差出人メールアドレス(ヘッダFROM)とは関係のないメールサーバから行われます。
例えていえば、「メールサーバ=郵便局」「差出人メールアドレス=差出人住所」「メール=手紙」となり、以下のような違いがあります。
通常の送信
= 差出人住所を管轄する郵便局が、差出人住所の書かれた手紙を送る
= 差出人ドメインがホスティングされているメールサーバが、差出人メールアドレスの書かれたメールを送る
他サービス(外部サーバ)からの送信
= 他サービスを管轄する郵便局が、差出人住所の書かれた手紙を送る
= 外部メールサーバが、差出人メールアドレスの書かれたメールを送る
インターネット上の仕組み上、差出人メールアドレスは自由に申告することができるため、関係のない第三者が、勝手に差出人メールアドレスを騙り、他のサーバから送信することが可能です。
これを「なりすましメール」といいます。
この「なりすましメール」をドメイン(組織)が防ぐためのメール認証方式がSPFです。
エンベロープFromのドメイン(組織)が、外部メールサーバを承認します。
受信側は、送信元メールサーバのIPアドレスとエンベロープFromのドメインをもとに、組織の送信したメールであることを確認します。
例えていえば、「エンベロープFrom = 宛先不明の手紙を返送する住所」になり、
その住所に「この郵便局から送られたようだが間違いないか」という確認を行ないます。
※技術上、エンベロープFromと差出人メールアドレスは別物です。差出人メールアドレスは関係ありません。
利用時の実施項目
【ジェイシティメール利用時】
| 差出人(ご契約者様) |
■標準仕様時 エンベロープFromは弊社メールアドレスが指定されているため、 |
|
■エンベロープFromカスタマイズ時 エンベロープFromのドメインを管理するDNSに、SPFレコードとして送信元情報を登録します。
|
【ジェイシティフォーム利用時】
| 差出人(ご契約者様) |
差出人メールアドレス=エンベロープFromとして設定されています。 差出人メールアドレスのドメインを管理するDNSに、SPFレコードとして送信元情報を登録します。 |
DKIM
概要
【作成者署名の場合】
差出人メールアドレス(Fromヘッダ)のドメインと、送信時に付与した電子署名を使って、なりすましメールかどうかを検証します。
受信側がメールがそのドメインから送信されたものであり、メールの内容が改ざんされていないかを確認できます。
詳細
【作成者署名の場合】
送信元メールサーバに置いた秘密鍵を使って、メール送信時に電子署名を付与します。
受信側は[DKIMセレクタ]._domainkey.[ドメイン名]上のDNSにあるTXTレコードとして書かれた公開鍵をもとに、付与された電子署名が、本当にその差出人メールアドレスのドメイン(組織)から送られたのかを確認します。
受信側によっては、その確認ができない場合は迷惑メールとして扱う場合があります。
利用時の実施項目
【ジェイシティメール利用時 】
作成者署名 (実装予定内容)※現在は非対応です。
| 差出人(ご契約者様) | mmmg._domainkey.[ドメイン名]のDNS上にTXTレコードとして「公開鍵」を登録 |
| 送信元サーバ(ジェイシティ) | 送信元メールサーバに「暗号鍵」を登録 および 配信メールに署名を付与 |
第三者署名
すでに適用されているため対応は不要です。
【ジェイシティフォーム利用時】
作成者署名・第三者署名
ともに対応しておりません。
DMARC
概要
なりすましメールの処理方針を宣言し、なりすましメールに対して受信者にはどのように処理してほしいか(受信/隔離/拒否)を知らせます。(よって、DMARC自体は到達率を上げる方法ではありません)
また、DMARCの認証結果をレポートをメールで受け取れるため、不審な送信がないかの監視やポリシーの見直しに役立てることができます。
※受信側のメールサービスでDMARCに対応している必要があります。
詳細
方針の種別
該当ドメインを使ったなりすましメールに対して、以下いずれかの方針を宣言することができます。
・何もしない
・隔離する(迷惑メールフォルダ等に振り分ける)
・拒否する(受信しない)
留意事項
特定の条件下で、転送やメーリングリストを利用するとDMARC認証が必ずfailになります。
具体的には、以下のような条件の場合に、差出人は貴社ドメインですが、実際には外部のサーバからメールが送信されるため、「SPFレコード認証の判定がfail」=「DMARCの判定がfail」となり、なりすましメールとして扱われます。
- 受信者がメールを転送している場合
元の受信メールアドレスでは問題ありませんが、転送先での受信に影響があります。
※ジェイシティメール等でDKIMの設定をしていれば、転送先でDKIM側がpass(認証成功およびアライメント一致)になるため、問題ありません(DMARC認証もpassとなります)。 - 外部メーリングリストに貴社メールアドレスから投稿した場合
メーリングリスト参加者全員の受信時に影響があります。 - 弊社以外のサービスで、該当ドメインを差出人に利用している場合
これもSPFレコード認証がfailになるため、DMARC認証がfailとなります。
ただし、事前に該当サービスの送信サーバIPアドレスをSPFレコードに追加することでfailの判定を回避できます。
「なりすましメール」の判断条件
DMARC認証をpass(合格)にするためには以下どちらかの条件が必要です。
どちらの条件にも当てはまらない場合にfail(なりすましメール)として判断されます。
- SPF認証成功(spf=pass) & DMARCのSPFアライメント検証一致
あるいは - DKIM認証成功(dkim=pass) & DMARCのDKIMアライメント検証一致
【DMARC認証に関する評価対象】
| SPFの認証 | 前述の「SPF」を参照 |
| SPFアライメント検証 | DMARCレコードのaspf値の指定にそって検証します。エンベロープFromとヘッダFromのドメインを比較します。 |
| DKIMの認証 |
前述の「DKIM」を参照 |
| DKIMアライメント検証 | DMARCレコードのadkim値の指定にそって検証します。 DKIM署名のドメイン欄(d=)とFromヘッダのドメインを比較します。 |
方針の宣言方法
この方針は、_dmark.[Fromヘッダのドメイン]のDNS上にTXTレコードとして、DMARCレコード(パラメータを含めた1行のテキスト)を登録します。
通常、Fromヘッダ=差出人メールアドレスです。
よくあるご質問
- 【Q】DMARCがfailだと迷惑メールになりますか。
【A】DMARCはなりすましメール(と思われるメール)に対して受信者に処理してほしい方針を知らせるもので、その設定次第です。後述の 合格しなかったメール(=なりすましメールの可能性があるもの)について のとおり、転送等の問題があるため「p=none」にし、そのまま受信する旨を通知お願い致します。 - 【Q】ジェイシティのサービスでDMARCをpassさせたい。
【A】現時点で弊社サービスはDKIMは第三者署名のみの対応(あるいはDKIM非対応)のため必ず認証失敗します。
DMARCでpassさせたい場合は、SPFを設定のうえ(=SPF認証成功)、差出人アドレスとエンベロープFromを一致させる(=SPFアライメント検証一致)状態にしてください。
- 【Q】各認証がpassしても、DMARCはfailになる。
【A】アライメントがfailの場合はDMARCもfailになります。 - 【Q】DKIMで第三者署名を利用している場合はどうなるか。
【A】ドメインの不整合によりDKIMアライメントがfailになります。DMARCをpassにさせたい場合はSPF側で揃える必要があります。
認証およびアライメントの結果 組み合わせ例
| SPF認証 | SPFアライメント | DKIM認証 | DKIMアライメント | DMARC結果 |
|---|---|---|---|---|
| pass | pass | pass | pass | pass |
| pass | pass | fail | fail | pass |
| pass | fail | fail | fail | fail |
| fail | fail | pass | pass | pass |
| pass | fail | pass | fail | fail |
合格しなかったメール(=なりすましメールの可能性があるもの)について
受信側にどのように扱ってほしいかを「DMARCレコード」のパラメータ「p=」に記載します。
なお、受信側が転送を行っている場合、転送先でSPFはfailになります。
メルマガ等の配信に使うドメインであれば、推奨値は「p=none」(受信者はそのまま受け取り、レポートに記録)です。
利用時の実施項目
【ジェイシティメール・ジェイシティフォーム利用時】
| 差出人(ご契約者様) |
(1)_dmark.[Fromヘッダのドメイン]のDNS上にTXTレコードとしてDMARCレコードを登録 |
参考資料
※A.com、B.com=ご契約者様の所有ドメインとします。
※DMARCでfailと判断されたメールは、DMARCレコードのp値に従って判断されます。(必ず迷惑メールになるわけではありません)
※ご契約者様側でSPFレコードを登録していない場合、赤文字のpassはfailに代わります。
※DKIMは作成者署名を前提とした表です。
※「差出人アドレス=エンベロープFromのサブドメイン」にしたい場合、緩和モードの指定を前提とします。