弊社サービスを通じてメール配信を行なう場合の各種設定についてご案内いたします。
SPF
概要
差出元としてメールサーバを承認することで、「なりすましメール」であると誤解されることを防ぎます。
詳細
差出人メールアドレスからメールを送信する場合、通常はそのメールアドレスを管理しているメールサーバが行ないます。
しかし、ジェイシティメールのように他サービスから送信する場合、差出人メールアドレス(ヘッダFROM)とは関係のないメールサーバから行われます。
例えていえば、「メールサーバ=郵便局」「差出人メールアドレス=差出人住所」「メール=手紙」となり、以下のような違いがあります。
通常の送信
= 差出人住所を管轄する郵便局が、差出人住所の書かれた手紙を送る
= 差出人ドメインがホスティングされているメールサーバが、差出人メールアドレスの書かれたメールを送る
他サービス(外部サーバ)からの送信
= 他サービスを管轄する郵便局が、差出人住所の書かれた手紙を送る
= 外部メールサーバが、差出人メールアドレスの書かれたメールを送る
インターネット上の仕組み上、差出人メールアドレスは自由に申告することができるため、関係のない第三者が、勝手に差出人メールアドレスを騙り、他のサーバから送信することが可能です。
これを「なりすましメール」といいます。
この「なりすましメール」をドメイン(組織)が防ぐためのメール認証方式がSPFです。
エンベロープFromのドメイン(組織)が、外部メールサーバを承認します。
受信側は、送信元メールサーバのIPアドレスとエンベロープFromのドメインをもとに、組織の送信したメールであることを確認します。
例えていえば、「エンベロープFrom = 宛先不明の手紙を返送する住所」になり、
その住所に「この郵便局から送られたようだが間違いないか」という確認を行ないます。
※技術上、エンベロープFromと差出人メールアドレスは別物です。差出人メールアドレスは関係ありません。
利用時の実施項目
【ジェイシティメール利用時】
差出人(ご契約者様) |
■標準仕様時 エンベロープFromは弊社メールアドレスが指定されているため、 |
■エンベロープFromカスタマイズ時 エンベロープFromのドメインを管理するDNSに、SPFレコードとして送信元情報を登録します。
|
【ジェイシティフォーム利用時】
差出人(ご契約者様) |
差出人メールアドレスまたは弊社標準メールアドレスから選べます。 差出人メールアドレスを利用する場合、そのドメインを管理するDNSに、SPFレコードとして送信元情報を登録します。 |
DKIM
概要
【作成者署名の場合】
差出人メールアドレス(Fromヘッダ)のドメインと、送信時に付与した電子署名を使って、なりすましメールかどうかを検証します。
受信側がメールがそのドメインから送信されたものであり、メールの内容が改ざんされていないかを確認できます。
詳細
【作成者署名の場合】
送信元メールサーバに置いた秘密鍵を使って、メール送信時に電子署名を付与します。
受信側は[DKIMセレクタ]._domainkey.[ドメイン名]上のDNSにあるTXTレコードとして書かれた公開鍵をもとに、付与された電子署名が、本当にその差出人メールアドレスのドメイン(組織)から送られたのかを確認します。
受信側によっては、その確認ができない場合は迷惑メールとして扱う場合があります。
利用時の実施項目
【ジェイシティメール利用時 】
作成者署名 (2048 ビット推奨)
差出人(ご契約者様) | mmmg._domainkey.[ドメイン名]のDNS上にTXTレコードとして「公開鍵」を登録 |
送信元サーバ(ジェイシティ) |
送信元メールサーバに「暗号鍵」を登録 および 配信メールに署名を付与 手順:DKIM秘密鍵の設定 |
第三者署名
すでに適用されているため対応は不要です。
【ジェイシティフォーム利用時】
作成者署名・第三者署名
対応予定
DMARC
概要
なりすましメールの処理方針を宣言し、なりすましメールに対して受信者にはどのように処理してほしいか(受信/隔離/拒否)を知らせます。(よって、DMARC自体は到達率を上げる方法ではありません)
また、DMARCの認証結果をレポートをメールで受け取れるため、不審な送信がないかの監視やポリシーの見直しに役立てることができます。
※受信側のメールサービスでDMARCに対応している必要があります。
詳細
方針の種別
該当ドメインを使ったなりすましメールに対して、以下いずれかの方針を宣言することができます。
・何もしない
・隔離する(迷惑メールフォルダ等に振り分ける)
・拒否する(受信しない)
留意事項
特定の条件下で、転送やメーリングリストを利用するとDMARC認証が必ずfailになります。
具体的には、以下のような条件の場合に、差出人は貴社ドメインですが、実際には外部のサーバからメールが送信されるため、「SPFレコード認証の判定がfail」=「DMARCの判定がfail」となり、なりすましメールとして扱われます。
- 受信者がメールを転送している場合
元の受信メールアドレスでは問題ありませんが、転送先での受信に影響があります。
※ジェイシティメール等でDKIMの設定をしていれば、転送先でDKIM側がpass(認証成功およびアライメント一致)になるため、問題ありません(DMARC認証もpassとなります)。 - 外部メーリングリストに貴社メールアドレスから投稿した場合
メーリングリスト参加者全員の受信時に影響があります。 - 弊社以外のサービスで、該当ドメインを差出人に利用している場合
これもSPFレコード認証がfailになるため、DMARC認証がfailとなります。
ただし、事前に該当サービスの送信サーバIPアドレスをSPFレコードに追加することでfailの判定を回避できます。
「なりすましメール」の判断条件
DMARC認証をpass(合格)にするためには以下どちらかの条件が必要です。
どちらの条件にも当てはまらない場合にfail(なりすましメール)として判断されます。
- SPF認証成功(spf=pass) & DMARCのSPFアライメント検証一致
あるいは - DKIM認証成功(dkim=pass) & DMARCのDKIMアライメント検証一致
【DMARC認証に関する評価対象】
SPFの認証 | 前述の「SPF」を参照 |
SPFアライメント検証 | DMARCレコードのaspf値の指定にそって検証します。エンベロープFromとヘッダFromのドメインを比較します。 |
DKIMの認証 |
前述の「DKIM」を参照 |
DKIMアライメント検証 | DMARCレコードのadkim値の指定にそって検証します。 DKIM署名のドメイン欄(d=)とヘッダFromのドメインを比較します。 |
方針の宣言方法
この方針は、_dmarc .[Fromヘッダのドメイン]のDNS上にTXTレコードとして、DMARCレコード(パラメータを含めた1行のテキスト)を登録します。
通常、Fromヘッダ=差出人メールアドレスです。
よくあるご質問
- 【Q】DMARCがfailだと迷惑メールになりますか。
【A】DMARCはなりすましメール(と思われるメール)に対して受信者に処理してほしい方針を知らせるもので、その設定次第です。後述の 合格しなかったメール(=なりすましメールの可能性があるもの)について のとおり、転送等の問題があるため「p=none」にし、そのまま受信する旨を通知お願い致します。 - 【Q】ジェイシティのサービスでDMARCをpassさせたい。
【A】DKIMとして作成者署名を導入時のみpassすることができます。第三者署名を利用していてDMARCでpassさせたい場合は、SPFを設定のうえ(=SPF認証成功)、差出人アドレスとエンベロープFromを一致させる(=SPFアライメント検証一致)状態にしてください。
- 【Q】各認証がpassしても、DMARCはfailになる。
【A】アライメントがfailの場合はDMARCもfailになります。 - 【Q】DKIMで第三者署名を利用している場合はどうなるか。
【A】ドメインの不整合によりDKIMアライメントがfailになります。DMARCをpassにさせたい場合はSPF側で揃える必要があります。 - 【Q】エンベロープFromと差出人アドレスのドメインは完全一致する必要があるか
差出人アドレス(RFC5322.From)のドメインが親(example.com)であり、エンベロープFrom(RFC5321.MailFrom)のドメインが子(child.example.com)であり、かつ、DMARCのSPFモードがrelaxedであればSPFアライメントは合格します。(親子関係を逆にした場合は不合格になると言われています) ※RFC 7489より
MAIL FROM: <sender@child.example.com> From: sender@example.com the RFC5322.From parameter includes a DNS domain that is a parent of the RFC5321.MailFrom domain. Thus, the identifiers are in alignment if relaxed SPF mode is requested by the Domain Owner, and not in alignment if strict SPF mode is requested.
認証およびアライメントの結果 組み合わせ例
SPF認証 | SPFアライメント | DKIM認証 | DKIMアライメント | DMARC結果 |
---|---|---|---|---|
pass | pass | pass | pass | pass |
pass | pass | fail | fail | pass |
pass | fail | fail | fail | fail |
fail | fail | pass | pass | pass |
pass | fail | pass | fail | fail |
合格しなかったメール(=なりすましメールの可能性があるもの)について
受信側にどのように扱ってほしいかを「DMARCレコード」のパラメータ「p=」に記載します。
なお、受信側が転送を行っている場合、転送先でSPFはfailになります。
メルマガ等の配信に使うドメインであれば、推奨値は「p=none」(受信者はそのまま受け取り、レポートに記録)です。
利用時の実施項目
【ジェイシティメール・ジェイシティフォーム利用時】
差出人(ご契約者様) |
(1)_dmarc.[Fromヘッダのドメイン]のDNS上にTXTレコードとしてDMARCレコードを登録 |
参考資料
※本内容はGmailの新仕様(2024年2月以降適用)の対応前の内容です。
※A.com、B.com=ご契約者様の所有ドメインとします。
※DMARCでfailと判断されたメールは、DMARCレコードのp値に従って判断されます。(必ず迷惑メールになるわけではありません)
※ご契約者様側でSPFレコードを登録していない場合、赤文字のpassはfailに代わります。
※DKIMは作成者署名を前提とした表です。
※「差出人アドレス=エンベロープFromのサブドメイン」にしたい場合、緩和モードの指定を前提とします。
合格しているか確認する方法
Gmailであればメールのヘッダを表示し、以下の「SPF」「DKIM」「DMARC」項目をご確認ください。(設定が無い場合、行自体が表示されていないことがあります)