迷惑メールフォルダ振り分けや受信ブロックにつながる「なりすまし」判定について、送信側で行える主要な対策として、正当な送信者であることを示すドメイン認証が重要です。
ワイメールではRFC(国際標準)に基づき、なりすまし対策としてSPF/DKIM/DMARC認証を基本契約でご提供しています。
ワイメールご利用開始後、メールマガジンを作成すると、送信元アドレスのドメインにはデフォルトでお客様のご契約ドメインが入力されています。
このドメインでSPF/DKIM/DMARC認証に必要なDNSレコードを初期設定時に公開していますので、そのままご利用される場合は特にお客様に行っていただく操作などはございません。
※ご契約ドメインは、お客様がお申込みの際にご指定されたドメインです。マイページトップの基本契約状況に表示されているドメイン名から確認可能です。
送信元アドレスのドメインをデフォルトから変更して配信する場合、なりすまし回避のドメイン認証を有効にするため、以下の対策を行う必要がございます。
SPF
SPFは、エンベロープドメインのSPFレコードを使用して、IPアドレスが許可されているかどうかを判定する仕組みです。
エンベロープドメインとは、Fromアドレス(送信元アドレス)ではなく、配信環境自体のドメインを指します。
ワイメールでは初期設定時に配信環境のドメイン(ご契約ドメイン)にてご提供しているサーバーのIPアドレスを許可するSPFレコードを公開しており、送信元アドレスのドメインを変更しても常にPASSになるため原則的に対応は不要です。
キャリアアドレス向けの対応
国内の一部キャリアアドレスでは、受信設定にてなりすまし対策を高いレベルに設定している場合などに、FromアドレスのドメインのSPFレコード(SenderID)も参照する場合がございます。
キャリアアドレスが多く含まれる読者リストへの配信で不達が大量に発生する場合は、下記オンラインヘルプを参考に、送信元アドレスに設定したドメインにてワイメールの配信環境を許可するSPFレコードを公開してください。
DKIM
DKIM認証は、メールデータをハッシュ化した後に秘密鍵で暗号化して送信し、受信者がDNSにて公開された公開鍵で復号したハッシュ値と受信したメールデータから計算したハッシュ値が一致するかを確認することで行われます。
ハッシュ値の一致によって、メールデータが経路上で改ざんされていないこと、公開鍵を公開しているレコード(DKIMレコード)のドメインがFromアドレスのドメインと一致(作成者署名)することで正当な送信者からの送信であることを証明できます。
また、SPFは適切に設定されていても経路上で別ドメインのメールサーバーによる転送が行われることで失敗するリスクがありますが、DKIMはそれをカバーすることが可能です。
ワイメールでは、初期設定時にメールサーバーに保存された秘密鍵と対応する公開鍵を、ご契約ドメインのDKIMレコードで公開しているため、送信元アドレスを変更した場合は、DKIM署名ドメインとFromアドレスドメインが一致しない、第三者署名でDKIM署名がPASSします。
第三者署名でも改ざん検知性に違いはありませんが、後述のDMARCレコードが機能しないため、下記オンラインヘルプをご参考に、作成者署名設定を行うことを推奨いたします。
DMARC
DMARCはSPF認証またはDKIM認証の結果をもとに、SPFアライメント、DKIMアライメントと呼ばれるチェックのいずれかをパスしたメールを認証します。
FromアドレスのドメインのDMARCレコードによって公開されたDMARCポリシーを介して、認証失敗したメール(なりすましメール)をどのように処理するべきかを正規の配信者が指示することが可能です。
SPFアライメントはSPF認証に成功かつ、エンベロープドメインとFromドメインが一致している場合に合格し、DKIMアライメントはDKIM認証が作成者署名で成功している場合に合格します。
送信元アドレスを変更した場合、メールの仕組み上SPFアライメントには合格しなくなるため、上記のDKIMの説明の通り、作成者署名設定を行っていただく必要がございます。
また、ワイメールでは、初期設定時にご契約ドメインでDMARCレコードを公開しておりますが、送信元アドレスを変更した場合は弊社管理のドメインではなくなるため、お客様側でDMARCレコードの設定が必要になります。
DMARCレコードの設定方法は、下記オンラインヘルプをご参照ください。
バージョン2.28以降のシステムをご利用の場合
基本設定の編集画面で、ドメイン認証チェックボタンをクリックすると、送信元アドレスに設定されたドメインの各レコードを取得し、SPF/DKIM/DMARC認証が成功するかを確認できます。
参考: ドメイン認証チェックでDKIM/DMARCがPASSになりません。
※SPF/DKIM/DMARC認証はあくまで送信元のなりすましを防ぐための機構であり、その他の原因による迷惑メールフォルダ行きの可能性を低減させることを保証するものではありません。