SPF は DKIM+DMARC とともにメリットをもたらしますか?

tag-icon tag-icon email spf dkim
SPF は DKIM+DMARC とともにメリットをもたらしますか?

Mailchimp と Google 経由でメールを送信するドメインがあります。両方に DKIM を設定し、DMARC レコードも追加しました (現時点ではテスト用)。DMARC の失敗に関するレポートを収集していますが、これらのレポートの圧倒的多数は SPF の失敗に関するものです。

私の理解では、SPF は電子メールを送信できる IP/ホストの許可リストであり、DKIM は送信者が電子メールに署名するために使用する必要があるキーです。私には、なりすまし防止には DKIM の方が適しているように思えます。

どこを検索しても、メール保護には SPF が不可欠だとしか書かれていませんが、私の場合はなぜそうなるのかわかりません。DKIM が設定されているため、Mailchimp と Google だけがメールを送信でき、DMARC により受信者は他の場所からのメールを拒否することになります。IP アドレスを制限しても、この状況に何も影響はないようです。

この場合、+all で SPF を無効にしても問題ありませんか? そうすると、どのようなシナリオで保護が弱まるのでしょうか?

答え1

SPF、DKIM、DMARC はすべて連携して、ドメインの信頼性と受信ボックスへのメールの配信を向上させます。ただし、覚えておくべき重要なことは、受信者のメール システムはメールを自由に処理できるということです。したがって、これらのメカニズムのいずれか 1 つ以上が適切に実装されていることは保証されません。

SPF と DKIM のみの最大の問題は、ヘッダーがfrom認証されているかどうかを保証する機能がないことです。これは、受信者のメール クライアントに表示される電子メール アドレスです。したがって、エンド ユーザーが目にするものが本物かどうかを判断するのに効果的ではありません。

SPF の場合、SMTP メッセージのヘッダー (別名 Envelope From) に指定されたドメインのみをチェックしますreturn-path。これはエンドユーザーに表示されるアドレスではありません。

d=DKIM の場合、ヘッダーのパラメータで指定されたドメインのみが対象となりますdkim-signature。この場合も、エンドユーザーにはこれが表示されません。

DMARCはこれを修正します。DMARCでは、SPFのどちらでも「アライメント」が正しいことが必要です。またはDKIMです。

  • SPF が「整合」するには、fromヘッダーのドメインがヘッダーのドメインと一致している必要がありますreturn-path。サードパーティのバルク メール プロバイダーを介して電子メールを送信する場合、これはほとんど不可能です。これは、return-pathプロバイダーが追跡するバウンスや苦情が送られる場所であり、サードパーティによって管理される電子メール アドレスであることが多いためです。これが、DMARC レポートで SPF の失敗が表示される理由です。
  • d=DKIM の場合、ヘッダーのフィールドで指定されたドメインは、ヘッダーdkim-signature内のドメインと一致する必要がありますfrom。これは、サードパーティの送信者 (Mailchimp など) が DKIM 署名用に適切に設定され、適切な DNS レコードがドメインに追加されていることを確認することで実現できます。

この「アライメント」チェックにより、エンド ユーザーが電子メール クライアントで見る内容が SPF または DKIM によって認証されていることが保証されます。合格した SPF レコードまたは DKIM レコードがヘッダーfrom(エンド ユーザーが見る内容) と一致している場合、メッセージは DMARC に合格します。一致していない場合、DMARC は不合格となります。

これらのプロトコルは、電子メール アドレスの「ドメイン名」部分のみを精査していることに注意してください。つまり、@記号の後の部分です。これらのいずれも、ユーザー名部分、つまり記号の前の部分の有効性をチェックしません@

したがって、DMARC が完全に機能するには、SPF と DKIM の両方が必要であることがわかります。3 つすべてが適切なメール フローに必要です。また、すべての受信者のメール システムが標準を同じ方法または正しく実装しているわけではありません。

システム管理者にとって大きなフラストレーションとなるのは、多くの送信者が依然として電子メールの送信時にこれら 3 つの標準を適切に設定していないことです。そして残念なことに、上記の基本原則が適切に説明されているところはほとんどありません。

答え2

はい、残念ながらすべてのサーバーが受信時に DKIM/DMARC をチェックするわけではありませんが、SPF チェックは現在より統合/展開されています。

一例として、オンプレミスの Exchange サーバーが挙げられます。SPF レコードは、AntiSpam ルールセットと、それ以降のバージョンの Edge Transport Role でチェックできますが、DKIM/DMARC を有効にするにはサードパーティの統合が必要です。

このような状態で SPF レコードを削除すると、そのような状況にある組織に偽装メールが届く可能性があります。

答え3

DKIM で署名できるのは承認されたサーバーのみですが、DKIM 標準には、ドメインからのメッセージは必ず DKIM で署名する必要があることを受信サーバーに通知できるものはありません。メール標準の観点から、受信サーバーは承認された送信サーバーと承認されていない送信サーバーを区別できません。

最終的に発生する問題は、DMARC テストを使用しない受信サーバーの場合、スパマーがなりすましが簡単であることに気付くため、ドメインがブラックリストに登録される可能性が高くなることです。

関連情報