本日もメール配信システム「ワイメール」の公式コラムをご覧いただき、ありがとうございます。
先日公開したワイメールVer2.27において、DKIM作成者署名作成時のセレクタ名を、任意に決定できるよう改善されました。
これにより、ワイメールを複数環境ご利用いただいている場合や、ワイメールのデフォルトのセレクタ名がすでに使用されている場合でも、DKIM作成者署名が行えるようになりました。
今回は、この改善がもたらすメリットについて、改善に至った経緯を確認しながら解説いたします。
目次
これからのDMARC認証に必須なDKIM作成者署名
以前のコラムでご紹介したように、Gmailの送信者ガイドラインの改定に伴い、メールを1日5,000件以上送信する場合、DMARCメール認証が必須になりました。
結果として、1日5,000件以上配信するメールでDMARC認証をパスするためには、FROMアドレスがSPF認証されたエンベロープFROMと一致しているか、FROMアドレスによるDKIM認証のいずれかをパスする必要があります。
DKIMの条件を使用する場合、契約ドメイン以外のドメインをFROMアドレスに指定すると、自動的に第三者署名でのDKIM認証が適用されるため、この条件が満たされません。
よって(第三者署名ではなく)作成者署名によるDKIM認証をパスする必要があります。
なお、Gmailの英語版FAQによると、1日5,000件以上配信する場合、FROMアドレスがSPF認証されたエンベロープFROMと一致せず、かつ作成者署名によるDKIM認証に失敗すると、以下の一時的エラーが返却される場合があると記載されています。
|
1 2 3 |
4.7.32 The domain in the From: header of your messages isn’t aligned with either the SPF domain or the DKIM domain. This is a requirement for bulk senders. |
セレクタ名の固定による弊害と改善
以上のような理由で、作成者署名によるDKIM認証はこれからますます重要となりますが、DNSに登録する際の作成者署名のレコードの名前は、”セレクタ名”._domainkey.”ドメイン名(FQDN)” という形で構成されます。
このセレクタ名は、本来目的に応じて動的に指定されるべきもの(RFC6376 3.1. Selectors)ですが、今までワイメールで使えるセレクタ名が “selector” で固定されていたため、作成者署名をしたいドメインですでに “selector” というセレクタ名が使用されている場合に、衝突してしまうという問題がありました。
具体的には、ワイメールを複数環境契約している場合、同じFROMアドレスのドメインで双方の作成者署名設定を行うことができない、ワイメール以外の環境から配信するメールのFROMアドレスに作成者署名を施す際、”selector” というセレクタ名が使えない、などといった弊害が挙げられます。
今回のGmailガイドライン更新によって、DKIMの作成者署名が事実上義務化したことで、セレクタ名を利用者側で自由に指定できるようにする機能の追加は急務と判断し、改善に至りました。
セレクタ名の指定方法と認証方法
1. 管理画面から作成者署名を行うメールアドレスを登録
<FROMアドレスのドメインを変更してDKIM認証を行うにはどうすればよいですか?>を参考に、作成者署名を行うメールアドレスを登録します。
なお、セレクタ名を特に指定しなかった場合、セレクタ名はデフォルトで “selector” となります。
※今回のバージョンアップに伴い、上記ヘルプページの内容もCNAMEレコードを使用する方法に改訂されています。CNAMEを使用しない作成者署名の認証方法につきましては旧版をご参照ください。
2. CNAMEレコードの登録
以下のヘルプページの要領に沿って、作成者署名用のDNSレコードを登録します。
- 任意のドメインのCNAMEレコードを編集できる権限をお持ちの場合-DKIM(作成者認証)設定
- お客様ご自身で既存のドメインのDNSを管理されていて、DNSレコードの編集権限をお持ちの場合-DKIM(作成者認証)設定
3. DMARCレコード(TXTレコード)の登録
さらにDMARC認証をパスさせる場合、DMARC用のTXTレコードをDNSに登録してポリシーを公開します。登録方法は上記2と同じ要領ですので、ここでは登録する内容のみ説明します。
レコードの名前は「_dmarc.”ドメイン名”」、タイプは「TXT」、内容は「v=DMARC1; p=”ポリシー”; sp=”サブドメインのポリシー”」で構成します。
ポリシーは運用の段階に応じて、現在以下の3種類があります。
none : 経過を観察する(保護機能を持たない「監視のみ」のポリシーで、導入の初期段階に適しています)
quarantine : 迷惑メールのマークを付ける(不正なメールにフラグを立てたり、隔離したりします)
reject : 拒否する(不正なメールの受信トレイへのアクセスをブロックします)
サブドメインのポリシーはメインドメインと同じポリシーであれば省略可能です。以下は、”y-ml.com”のDMARCポリシーの設定例です。
SPF、DKIM作成者署名、DMARCがすべて認証されていれば、Gmailで受信したメールのソースを表示すると、以下のようにPASSと表示されます。
最後に
今回は少し専門的な内容になってしまいましたが、GmailやGoogle Workspace(旧GSuite)を採用している組織のメールアドレス宛ての配信が多いご利用者におかれましては、今一度、システムご担当者様と一緒に、認証方法の確認を行っていただくことをお勧めいたします。
免責事項
当コラムの内容は、コラム執筆時点での内容です。今後のバージョンアップ等により、仕様やインターフェイスが変更になる場合がございます。
DKIM認証においては、作成者認証と第三者認証のいずれも暗号強度などに違いはありません。
SPF/DKIM/DMARC認証はあくまで送信元のなりすましを防ぐための機構であり、迷惑メールフォルダ行きの可能性を低減させることを保証するものではありません。