Amazon でのDMARC認証プロトコルへの準拠 SES - Amazon Simple Email Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon でのDMARC認証プロトコルへの準拠 SES

ドメインベースのメッセージ認証、レポート、および適合性 (DMARC) は、送信者ポリシーフレームワーク (SPF) と DomainKeys 識別メール (DKIM) を使用して E メールのなりすましやフィッシングを検出する E メール認証プロトコルです。に準拠するにはDMARC、 SPFまたは のいずれかでメッセージを認証する必要がありますがDKIM、両方を で使用するとDMARC、E メール送信に対して可能な限り最高レベルの保護が保証されるのが理想的です。

それぞれが実行する内容と、それらをすべてどのように結びDMARC付けるかを簡単に確認しましょう。

  • SPF – で使用されるDNSTXTレコードを通じて、カスタムMAILFROMドメインに代わってメールを送信できるメールサーバーを識別しますDNS。受信者メールシステムは、カスタムドメインからのメッセージが承認されたメッセージングサーバーからのものであるかどうかを判断するためにSPFTXTレコードを参照します。基本的に、 SPFはスプーフィングを防ぐように設計されていますが、実際にSPFは の影響を受けやすいスプーフィング手法があるため、 DKIMと一緒に も使用する必要がありますDMARC。

  • DKIM – E メールヘッダーのアウトバウンドメッセージにデジタル署名を追加します。受信 E メールシステムは、このデジタル署名を使用して、受信 E メールがドメインが所有するキーによって署名されているかどうかを確認できます。ただし、受信 E メールシステムがメッセージを転送した場合、メッセージのエンベロープはSPF認証を無効にする方法で変更されます。デジタル署名は E メールヘッダーの一部であるため、E メールメッセージとともに保持されるため、 は、メッセージがメールサーバー間で転送された場合でもDKIM機能します (メッセージの内容が変更されていない限り)。

  • DMARC – SPFおよび の少なくとも 1 つとのドメインアラインメントがあることを確認しますDKIM。SPF と DKIMだけでは、差出人アドレスが認証されることを保証しません (これは、受信者が E メールクライアントに表示する E メールアドレスです)。SPF は、MAILFROMアドレスで指定されたドメインのみをチェックします (受信者には表示されません)。DKIM は、DKIM署名で指定されたドメインのみをチェックします (受信者には表示されません)。DMARC は、 SPFまたは のいずれかでドメインの配置が正しいことを要求することで、次の 2 つの問題に対処しますDKIM。

    • がDMARCアラインメントSPFを渡すには、送信元アドレスのドメインがMAILFROMアドレス (リターンパスおよびエンベロープ送信元アドレスとも呼ばれます) のドメインと一致する必要があります。これは、転送された E メールではほとんど不可能です。これは、E メールが削除されるか、サードパーティーの一括 E メールプロバイダーを介してメールを送信する場合です。これは、プロバイダー (MAILFROM) が所有しているアドレスを使用して追跡するバウンスや苦情に Return-Path (SES) が使用されるためです。

    • がDMARCアラインメントを渡すDKIMには、DKIM署名で指定されたドメインが From アドレスのドメインと一致する必要があります。ユーザーに代わってメールを送信するサードパーティーの送信者またはサービスを使用する場合は、サードパーティーの送信者DKIMの署名が適切に設定され、ドメイン内に適切なDNSレコードが追加されていることを確認することでこれを実現できます。その後、受信メールサーバーは、ドメイン内のアドレスを使用する権限を持つユーザーから送信されたメールであるかのように、サードパーティーから送信されたメールを検証できます。

すべてと をまとめる DMARC

上記のDMARC調整チェックではSPF、、、および DMARCがすべて連携してドメインの信頼を高めDKIM、受信トレイに E メールを配信する方法を示しています。DMARC は、受信者が確認した送信元アドレスが SPFまたは によって認証されるようにすることでこれを実現しますDKIM。

  • 説明されている または DKIMチェックの一方SPFまたは両方が成功DMARCすると、メッセージは成功します。

  • 説明されている SPFまたは DKIMチェックの両方が失敗DMARCすると、メッセージは失敗します。

したがって、 SPFと の両方DKIMが、送信された E メールの認証を達成する最良の機会DMARCを得るために必要であり、これら 3 つをすべて活用することで、完全に保護された送信ドメインを確保できます。

DMARC では、設定したポリシーを通じてDMARC認証に失敗した E メールの処理方法を E メールサーバーに指示することもできます。これは、送信する E メールドメインでのDMARCポリシーの設定が SPFと の両方を通じてDMARC認証プロトコルに準拠するようにSESドメインを設定する方法に関する情報を含む、次のセクション で説明しますDKIM。

ドメインでのDMARCポリシーの設定

を設定するにはDMARC、ドメインDNSの設定を変更する必要があります。ドメインDNSの設定には、ドメインDMARCの設定を指定するTXTレコードが含まれている必要があります。DNS 設定にTXTレコードを追加する手順は、使用する DNSまたはホスティングプロバイダーによって異なります。Route 53 を使用する場合、Amazon Route 53 デベロッパーガイドの「レコードで作業」を参照してください。別のプロバイダーを使用する場合は、プロバイダーDNSの設定ドキュメントを参照してください。

作成するTXTレコードの名前は である必要があります。ここで_dmarc.example.comexample.comはドメインです。TXT レコードの値には、ドメインに適用されるDMARCポリシーが含まれます。以下は、DMARCポリシーを含むTXTレコードの例です。

名前 タイプ
_dmarc.example.com TXT "v=DMARC1;p=quarantine;rua=mailto:my_dmarc_report@example.com"

前述のDMARCポリシーの例では、このポリシーは E メールプロバイダーに次のことを行うように指示します。

  • 認証に失敗したメッセージについては、ポリシーパラメータ で指定されたスパムフォルダに送信しますp=quarantine。その他のオプションにはp=none、 を使用して何もしない、または を使用してメッセージを完全に拒否するなどがありますp=reject

    • 次のセクションでは、これら 3 つのポリシー設定をいつどのように使用するかについて説明します。間違ったポリシー設定を使用すると、E メールが配信されない可能性があります。「」を参照してくださいを実装するためのベストプラクティス DMARC

  • ダイジェストで認証に失敗したすべての E メールに関するレポート (つまり、イベントごとに個別のレポートを送信するのではなく、一定期間データを集計するレポート) を、レポートパラメータで指定されたとおりに送信します rua=mailto:my_dmarc_report@example.com (rua は Reporting URI for Aggregate reports を表します)。ポリシーはプロバイダーごとに異なりますが、通常、E メールプロバイダーは 1 日 1 回レポートを送信します。

ドメインDMARCの 設定の詳細については、 DMARCウェブサイトの「概要」を参照してください。

DMARC システムの完全な仕様については、「Internet Engineering Task Force (IETF) DMARC Draft」を参照してください。

を実装するためのベストプラクティス DMARC

残りのメールフローが中断されないように、段階的なアプローチでDMARCポリシーの適用を実装するのが最善です。これらのステップに従うロールアウト計画を作成して実装します。次のステップに進む前に、まず各サブドメインで、最後に組織の最上位ドメインでこれらの各ステップを実行します。

  1. 実装の影響をモニタリングします DMARC (p=none)。

    • まず、サブドメインまたはドメインのシンプルなモニタリングモードレコードから始めます。このレコードは、メール受信側組織が、そのドメインを使用して表示されるメッセージに関する統計を送信するようにリクエストします。モニタリングモードレコードは、ポリシーが なしに設定されているDMARCTXTレコードですp=none

    • を通じて生成されたレポートDMARCには、これらのチェックに合格したメッセージの番号とソース、および合格しなかったメッセージの番号とソースが示されます。正当なトラフィックがどの程度カバーされているか、またはカバーされていないかを簡単に確認できます。転送されたメッセージは失敗SPFし、コンテンツが変更されDKIMると、転送の兆候が表示されます。また、送信されている不正メッセージの数と送信元も表示されます。

    • このステップの目標は、次の 2 つのステップのいずれかを実装するときにどのような E メールが影響を受けるかを把握し、サードパーティーまたは承認された送信者に SPFまたは DKIMポリシーを調整させることです。

    • 既存のドメインに最適です。

  2. 失敗したメールを外部メールシステムに隔離するようリクエストします DMARC (p= 隔離)。

    • 正当なトラフィックのすべてまたはほとんどが SPFまたは のいずれかとドメイン整合性のあるトラフィックを送信していると確信しDKIM、 の実装の影響を理解したらDMARC、隔離ポリシーを実装できます。隔離ポリシーは、ポリシーが を隔離するように設定されたDMARCTXTレコードですp=quarantine。これにより、ドメインからのメッセージのうち、顧客の受信トレイではなく、スパムフォルダと同等のローカルDMARCに失敗するメッセージを配置するようにDMARC受信者に要求します。

    • ステップ 1 でDMARCレポートを分析したドメインの移行に最適です。

  3. 外部メールシステムが失敗するメッセージを受け入れないようにリクエストします DMARC (p=拒否)。

    • 通常、拒否ポリシーの実装が最後のステップです。拒否ポリシーは、ポリシーが を拒否するように設定されたDMARCTXTレコードですp=reject。これを行うと、DMARCチェックに合格しないメッセージをDMARC受信者に受け入れないように要求します。つまり、受信者はスパムフォルダや迷惑メールフォルダに隔離されることすらありませんが、完全に拒否されます。

    • 拒否ポリシーを使用すると、SMTPバウンスが発生するため、どのメッセージがDMARCポリシーに失敗しているかを正確に把握できます。隔離では、集計データは、、SPF、DKIMおよび DMARCチェックに合格または不合格の E メールの割合に関する情報を提供します。

    • 前の 2 つのステップを実行した新しいドメインまたは既存のドメインに最適です。

DMARC から への準拠 SPF

DMARC に基づいて E メールが に準拠するにはSPF、次の両方の条件を満たす必要があります。

  • メッセージは、カスタムMAILFROMドメインDNSの設定に発行する有効な SPF (タイプ TXT) レコードに基づいてSPFチェックに合格する必要があります。

  • E メールヘッダーの送信元アドレスのドメインは、MAILFROMアドレスで指定されたドメイン、または のサブドメインと一致 (一致) する必要があります。とのSPF整合性を実現するにはSES、ドメインのDMARCポリシーで厳密なSPFポリシー (aspf=s) を指定しないでください。

これらの要件に準拠するためには、次のステップを実行します。

  • 「」の手順を実行して、カスタムMAILFROMドメインを設定しますカスタムの MAIL FROM ドメインを使用する

  • 送信側ドメインが の relaxed ポリシーを使用していることを確認しますSPF。ドメインのポリシーアラインメントを変更していない場合は、 と同様に、デフォルトで relaxed ポリシーが使用されますSES。

    注記

    コマンドラインで次のコマンドを入力し、 をドメインexample.comに置き換えSPFることで、 のドメインのDMARC配置を確認できます。

    dig TXT _dmarc.example.com

    このコマンドの出力の [Non-authoritative answer] から、v=DMARC1で始まるレコードを探します。このレコードに文字列 が含まれている場合aspf=r、またはaspf文字列がまったく存在しない場合、ドメインは に relaxed アラインメントを使用しますSPF。レコードに文字列 が含まれている場合aspf=s、ドメインは に対して厳密な調整を使用しますSPF。システム管理者は、ドメインDNSの設定のDMARCTXTレコードからこのタグを削除する必要があります。

    または、dmarcian ウェブサイトの DMARC Inspector やウェブサイトの DMARC Check Tool などのウェブベースのDMARC検索ツールを使用して MxToolBox、 のドメインのポリシーアラインメントを決定することもできますSPF。

DMARC から への準拠 DKIM

DMARC に基づいて E メールが に準拠するにはDKIM、次の条件の両方を満たす必要があります。

  • メッセージには有効なDKIM署名が必要で、DKIMチェックに合格します。

  • DKIM 署名で指定されたドメインは、From アドレスのドメインと一致 (一致) する必要があります。ドメインのDMARCポリシーで の厳密なアラインメントが指定されている場合DKIM、これらのドメインは完全に一致する必要があります (SES はデフォルトで厳密なDKIMポリシーを使用します)。

これらの要件に準拠するためには、次のステップを実行します。

  • 「」の手順を完了DKIMして Easy を設定しますAmazon SES のEasy DKIM。Easy を使用するとDKIM、Amazon SESは自動的に E メールに署名します。

    注記

    Easy を使用する代わりにDKIM、メッセージに手動で署名することもできます。ただし、Amazon SESは作成したDKIM署名を検証しないため、その場合は注意が必要です。このため、Easy を使用することを強くお勧めしますDKIM。

  • DKIM 署名で指定されたドメインが、送信元アドレスのドメインと一致していることを確認します。または、送信元アドレスのドメインのサブドメインから送信する場合は、DMARCポリシーが relaxed アラインメントに設定されていることを確認します。

    注記

    コマンドラインで次のコマンドを入力し、 をドメインexample.comに置き換えDKIMることで、 のドメインのDMARC配置を決定できます。

    dig TXT _dmarc.example.com

    このコマンドの出力の [Non-authoritative answer] から、v=DMARC1で始まるレコードを探します。このレコードに文字列 が含まれている場合adkim=r、またはadkim文字列がまったく存在しない場合、ドメインは に relaxed アラインメントを使用しますDKIM。レコードに文字列 が含まれている場合adkim=s、ドメインは に対して厳密な調整を使用しますDKIM。システム管理者は、ドメインDNSの設定のDMARCTXTレコードからこのタグを削除する必要があります。

    または、dmarcian ウェブサイトの DMARC Inspector やウェブサイトの DMARC Check Tool などのウェブベースのDMARC検索ツールを使用して MxToolBox 、 のドメインのポリシーアラインメントを決定することもできますDKIM。