MailData

DMARC aspfタグ 説明ガイド

DMARC aspfタグ 説明ガイド

SPFアライメントチェックの厳格性を定める

2025年1月6日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 DMARC aspf Tag Explanation Guide の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

DMARCのaspfタグは、DMARCのオプションタグであり、SPF(Sender Policy Framework)のチェックが「From」アドレスとどの程度厳密に一致する必要があるかを指定します。
これは、RFC7489セクション3.1.2で説明されている、DMARC識別子のアライメントチェック過程において重要な部分です。
このガイドでは、DMARCフレームワーク内でのaspfタグの役割、よくあるミス、そして効果的なaspfタグの実装のためのベストプラクティスについて説明します。

重要なポイント

DMARC aspfタグの理解

DMARC aspfタグ

DMARCのaspfタグはオプションのタグで、SPFアライメントモードを示します。
aspfタグの値は以下のいずれかです。

デフォルトでは、自動的にrelaxed(aspf=r)に設定されます。
アライメントが一致していることを確認するには、「Envelope From」のドメインが「From」アドレスのドメインと完全に一致している必要があります。

DMARCにおけるaspfタグの役割

以下は、DMARCポリシーにaspfタグを追加または修正するための手順ガイドです。

1. DNS管理にアクセスする
まず、ドメイン登録業者またはDNSホスティングプロバイダにログインしてDNS管理にアクセスします。
2. DMARCレコードを特定する
DNS設定で現在のDMARCレコードを見つけます。
通常の形式は以下の通りです。 

_dmarc.yourdomain.com
3. DMARCポリシーを編集する
aspfタグを編集し、aspf=s(strict)からaspf=r(relaxed)に変更します。
更新後の形式は以下のようになります。 

v=DMARC1; p=none; sp=none; aspf=r;
4. 新しいDNS設定を保存する
最後に、新しいDNS設定を保存します。これで完了です!

DMARCのアライメントモードの例

緩和(relaxed)アライメントの例

v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=r; adkim=r
厳格(strict)アライメントの例

v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; adkim=s

aspfタグとSPFレコード

DMARCレコード内のaspfタグとSPF(送信者ポリシーフレームワーク)は連携して、メール認証を強化することができます。

aspfタグは、セキュリティニーズを満たしつつ、スムーズなメール配信を可能にします。

DMARC aspfタグ

前述のとおり、aspfタグは2つの主要なカテゴリに分けられます。
relaxedとstrictです。
それぞれに特徴、利点、欠点があり、以下のセクションで詳しく説明します。

緩和アライメントと厳格アライメントを選択することによる影響

緩和アライメントモードでは、特定の条件下でDMARCアライメントが一致していると見なされます。
これは、Mail Fromコマンド内のドメインと他のヘッダー内のドメインが組織的に一致する場合に発生します。

SPFアライメントに関連するヘッダーにはEnvelope Fromヘッダー(バウンス用メールアドレス)が含まれ、DKIMアライメントにはDKIM署名ヘッダーが含まれます。
その結果、このアライメントモードでは、サブドメインもDMARCに対して整合していると見なされます。

これは、ヘッダードメインがいずれかのアライメント要件と一致している場合、DMARC認証に合格することを意味します。
この認証はメール受信者側で行われます。

SPFとDKIMの両方における厳格なアライメントでは、特定の条件下でメールがDMARC認証に合格します。
Fromヘッダー内のドメインと他のヘッダー内のドメインが完全に一致している必要があります。

関連するヘッダーは、SPFの場合はEnvelope From(送信元メールアドレス)、DKIMの場合はDKIM署名ヘッダーです。
その結果、厳格なアライメントでは、サブドメインはDMARCに対して整合していると見なされません。

緩和モードの主な利点は柔軟性です。
厳格なアライメントモードは、精度とより強固な保護メカニズムを提供するという理由で一部の人々に支持されています。

一般的なミスとトラブルシューティング

DMARCのaspf(Alignment SPF)タグは、SPFチェックで使用されるドメインがメールヘッダーの「From」アドレスとどの程度厳密に一致する必要があるかを指定します。
このタグの設定ミスにより、DMARC適用が失敗したり、意図しないメール拒否が発生する可能性があります。
以下は、aspfタグ使用時に一般的に見られるミスです。

1. aspfタグを指定しない

DMARCレコードにaspfタグを含めない場合、デフォルトのアライメントモードはrelaxedになります。
これは、セキュリティ要件に合わない可能性があります。たとえば、「From」ヘッダーと他のドメイン(SPFの場合はEnvelope From、DKIMの場合はDKIM署名ヘッダー)との間に完全一致が必要な場合があります。

影響
ドメインが部分的に一致しているメールもアライメントチェックを通過し、なりすましのリスクが高まる可能性があります。
解決策
組織の要件に基づいてアライメントモードを明示的に定義します。relaxedまたはstrictモードを選択できます。

2. 誤ったアライメントモードを使用する

aspf=s(厳格なアライメント)を設定し、その影響を十分に理解していない場合です。

影響
SPF認証済みドメインが「From」ドメインと完全一致しないメールはDMARCチェックに失敗し、正当なメールが拒否される可能性があります。
解決策
セキュリティ要件とメール配信目標に合致する適切なアライメントモードを使用してください。

3. アライメントルールの誤解

厳格モードではサブドメインが自動的にアライメントされると誤解している場合です。

影響
aspf=sが設定されている場合、サブドメインから送信されたメールはSPFアライメントチェックに失敗します。
サブドメインはSPFのアライメントルールを継承しません。
解決策
実装前にアライメントルールをよく学んでください。
また、プロセスを専門的に処理してくれる専門家に相談することも可能です。

aspfタグ実装のベストプラクティス

DMARCレポートの監視
DMARCレポートを監視することで、エラーを特定し、不正な動作を早期に発見できます。
PowerDMARCなどのプラットフォームを使用すると、実行可能な洞察を得られるわかりやすいレポートを利用できます。
ポリシーの段階的な適用
初期段階では緩和されたポリシーを使用することで、柔軟性を確保できます。
これにより、誤検知が原因でメール配信に悪影響が出ることを防ぎます。
アライメントルールを理解し、段階的に厳格なアライメントに移行する
緩和ポリシーで軽く開始し、徐々に厳格なポリシー適用へ移行します。
これにより、スムーズかつ問題のない移行を実現しながら、セキュリティを強化できます。
専門家の助言を受けることで、より効果的かつ確実にセキュリティ目標を達成できます。
新しい送信元やサードパーティベンダーに合わせてSPFレコードを更新する
SPFレコードは一度設定したら終了ではありません。
新しい送信元やサードパーティベンダーに合わせてSPFレコードを更新する必要があります。
これにより、旧来および新規を問わず、正当な送信元と不正な送信元を区別できます。

まとめ

結論として、DMARCのaspfタグは、メール認証において重要でありながら、しばしば誤解されがちな要素です。
そのタグ(厳格アライメントと緩和アライメント)を理解し、ベストプラクティスを実施することで、強力なセキュリティとスムーズなメール配信のバランスを取ることができます。
一般的な落とし穴を避け、DMARCレポートを監視し、SPFレコードを定期的に更新することで、最適なパフォーマンスを維持しましょう。