LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@Darjeeling5656

DMARC p=rejectを実現するために実施したこと

Posted at

はじめに

前回の記事に関連して、DMARCの記事です。
BIMI(Brand Indicators for Message Identification)導入の前提として、筆者がDMARC p=rejectを実現するために実施した手順・流れについて備忘録として残しておく。

背景

筆者はBtoC企業の情シスとして勤務しており、顧客向けにメールを送信するのは日常茶飯事であった。
そんな中、2023年12月頃にGmail送信者ガイドラインというお達しがあり、メールが届かなくなるという可能性が出てしまったことから、至急DMARCの導入を進める必要があった。

■Gmail送信者ガイドライン
https://support.google.com/a/answer/81126?hl=ja

What's DMARC?

送信元ドメインの認証技術であるSPF(Sender Policy Framework ※1)とDKIM(DomainKeys Identified Mail ※2)を組み合わせ、メールの認証と送信元の信頼性を確認する規格。

※1 SPF:IPアドレスを使用し、送信元メールサーバの正当性を確認する規格。

※2 DKIM:メール送信時に電子署名を行い、受信時に検証することで、メールが改ざんされていないか、または不正なドメインから送信されていないかを確認する規格。

DMARC=passとなる条件

前提知識
・Envelope-From(エンベロープ フロム)
 簡単に言えば、SMTPサーバで認識するドメイン。
・Header-From(ヘッダー フロム)
 簡単に言えば、メール本文に記載されるドメイン。
・SPFはEnvelope-fromのドメインを認証する。
・DKIMは Header-From のドメインを認証する。

DMARC=passとなる条件
・SPF認証でpassかつアライメント(※3)がOK。
・DKIM認証でpassかつアライメントがOK。

※3 アライメント:メールに表示される送信元メールアドレス(Header-From)が、SPFやDKIMで認証したドメインと一致させること。
アライメントがOKということは、"Header-Fromが認証されている"ということ。すなわち、"本文の差出人は認証されている"ということを示す。
なお、SPFでチェックすることをSPFアライメント、DKIMでチェックすることをDKIMアライメントと呼ぶ。

調査を進める上でよく出会ったパターン
・"Envelope-from"と"Header-From"が異なり、SPFのみ登録されているパターン
例:Salesforce。
"Envelope-from"はSalesforceのドメインで、"Header-From"は自社のドメイン。SPFはSalesforceで登録済み。DKIMは登録しておらず。
SPFはpassされるが、SPFアライメントでNGとなり、"DMARC=fail"となる。

では、どのようにDMARCの導入を進めたか

①送信メールドメインと送信元サーバ(SMTPサーバ)の洗い出し
具体的には、rua(集約レポート)の分析で行う。以下のようなDMARCレコードをp=noneで指定し、report@hoge.comにレポートを送信させる。

_dmarc.hoge.com TXT "v=DMARC1; p=none; aspf=r; adkim=r;  rua=mailto:report@hoge.com"

送信させたruaレポートは、ツールを利用して分析する。
※筆者は有償のツールを利用したが、無料で利用できる優秀なツールが存在する。(DMARCvisualizer等)

次に洗い出した送信メールドメインと送信元サーバのIPアドレス以外に、以下についても調査した。

■基盤
メールサービスが稼働している基盤を確認する。SaaSの場合、DKIMを登録してくれない場合がある。

■利用目的
対顧客向け(BtoC)メール or ビジネス(BtoB)メールであること(すなわち、受信メーラーがOutlookやGoogle Workspace等でGmailではないこと)を確認する。
Gmailガイドラインによると、送信メール数が5000通を超える場合はSPF・DKIM両方対応する必要がある。

整理するとこんな感じ。
(例)

サービス名 送信ドメイン IPアドレス 基盤 利用目的
Aサービス @hoge.com xxx.xxx.xxx.xxx オンプレ BtoBメール
Bサービス @ex.hoge.com yyy.xxx.xxx.xxx IaaS BtoCメール
Cサービス @hoge.com zzz.xxx.xxx.xxx SaaS BtoCメール

整理した結果、どのように対応を進めるかを整理する。
・基本的にはSPF&DKIMは設定する。
・しかしながら、一部にはDKIMに対応していないサービスがある。
・その際は、Gmailガイドラインに準拠する必要があるかどうかを判断する。
・必要が無ければ、SPFのみの設定とする。
・準拠させる必要がある場合は、メールサービスの変更を検討する。

幸い筆者の場合はメールサービスの変更という最悪のパターンが発生することはなかった。

対応方針が確定したら、あとはひたすらにSPFとDKIMを登録を進める。

だいたい、DMARC=passが98%くらいでp=noneからp=rejectに変更した。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?