TwitterがTwitter.comからのメールにDMARCを使いだした、という記事(http://japan.cnet.com/news/service/35028617/) を読んだのでメモ代わりに。
間違っているところがあればどんどん指摘していただきたいです
そもそもDMARCって?
DMARCとは、Domain-based Message Authentication, Reporting and Conformanceの略で、DMARCを宣言している送信元ドメインに対して、メール受信者がDKIMとSPFに関する送信ドメイン認証の結果を通知する為の仕組みです。
form http://www.dkim.jp/dkim-jp/faq/
簡単にいうと、メールでの「なりすまし」を防止する仕組み
DYKIMとは...
DomainKeys Identified Mail の略
電子署名法式の送信ドメイン認証技術
送信者側がメールのヘッダーに電子「署名」を追加し、それを受信者側で確認することによって、本当に正しい送信者からメールが送信されているのかを確認するもの
SPFとは...
Sender Policy Framework の略
あるドメインのメールを送信することの出来る正規のサーバのIPアドレスをリストにして管理する。そのドメインと無関係なメールサーバを利用して送信者を偽ったメールを送信しようとすると、受信側でそのことを検出して自動的に受け取りを拒否することができるというもの
まとめると
DKIMは送信するメールのヘッダーにデジタルな「署名」を追加して本当に正しいドメインからのメールなのかを確認するもの
SPFはIPアドレスを利用して、認証されているメールサーバからのメールなのかを確認するもの
どちらもカバーする範囲が違うので、これら両方を用いることでより強固に「なりすまし」を防止することができる。
どうやって使うの?
今回はGoogleAppsを使ってDMARCの設定をしてみます。
まず前提としてDMARCはDKIMとSPF両方を使うことが前提なので、その2つの設定をしていきます
まずDKIMの設定から
ここを参考にしてください(書くのがめんどくさい)
つぎにSPFの設定
ここで(書くのがめんどくさい)
そしたら、DMARCの設定です
ここを参考に(書くのがry )
注意したいのは、ポリシーを設定するときのポリシーに違反したメールの扱いについてです
署名が確実にされているかどうかを確認しながら、ポリシーないの違反しているメールの扱いを変えて行ったほうが良いです。
トラフィックを監視しながら、未署名のメール、偽装の疑いのあるメールがないかを確認し、問題(正しく送ったはずのメールが見署名になっていた、など)がなければ、ポリシーの設定を変更する、という形がよいです。
違反したメールの扱い種類は
「none(何もしない)」「quarantine(隔離)」「reject(拒否)」
の段階があるので、noneから徐々に、という感じ
雑なまとめで申し訳ないのですがこれで
参考リンク