弊社は、弊社に代わってメールを送信するサードパーティのクラウド サービスにアカウントを設定しています。弊社のマーケティング部門は、一部のクライアントに表示される「経由」または「代理」の部分を削除して、メールが弊社から直接送信されたように見せたいと考えています。この件に関するサードパーティのヘルプ ページを確認すると、サードパーティのサーバーのゾーンに DKIM レコードを挿入するように求められています。弊社では現在、メール サーバーに SPF を実装していますが、DKIM は実装していません。
- 第三者が組織に代わってメールを送信できるようにするには、DKIM TXT レコードだけで十分ですか (SPF ポリシーを更新したり、そのサーバーを参照するその他のレコードを追加したりする必要はありません)?
- 第三者が当社のドメインから正当なメールを送信することを許可しているという明らかな事実以外に、この DKIM レコードを挿入することで、システムの残りの部分 (セキュリティなど) に何らかの影響はありますか?
答え1
サービス プロバイダーのサーバーがメールを送信できないようにする SPF レコードがある場合、SPF のみ、または SPF と DKIM の両方をチェックする受信者は、SPF の失敗を快く思わないでしょう。サービス プロバイダーは、この問題に対処するために SPF 指示書などを
提供すると思います。includeいいえ、そうではありません。DKIM キーは、それに関連付けられたセレクター値に基づいて検索されます。ドメイン全体に対する一般的な DKIM レコードはなく、DKIM 署名メールに指定された特定のセレクターに対してのみ存在します。DKIM レコードを追加しても、署名されていないメールや、他のセレクターのキーで署名されたメールには影響しません。DKIM
レコードは、キーの所有者が、送信するメールがドメイン所有者によって承認されていることを、妥当なレベルの確実性*で示すことのみを可能にします。
*) DKIM レコードを含むゾーンが DNSSEC 署名されていない限り、レコード データの信頼性を検証する方法はありません。このような状況で取得されたキーに基づいて署名を検証すると、実際に証明されたものがかなり制限されることは明らかです。
答え2
各 ESP には、電子メール認証に関する特定の指示があります。マーケティング用のサブドメイン (em.example.com IN CNAME wl.sendgrid.net など) を構成するように要求する ESP もあれば、SPF 用の SPF.example.com と dkim テキスト レコードの組み合わせを要求する ESP もあります。
それぞれの指示に従ってください。ただし、必ず準拠してください。SPF の場合は DNS ルックアップが 10 回未満である必要があり、DKIM の場合はセレクターごとに 1 つのキーしか持てません。
ESP を投稿していただければ、詳細をお知らせします。