DMARCとDKIM:主な違いと連携の仕組み
2025年2月4日
著者: Yunes Tarada
翻訳: 逆井 晶子
この記事はPowerDMARCのブログ記事 DMARC vs DKIM: Key Differences & How They Work Together の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
DMARCとDKIMは、組織がなりすまし攻撃やメールの侵害に対処するためのメール認証プロトコルです。
DMARCとDKIMは、ブランドの保護やメールの配信性の維持、メールを通じた脅威への対策において重要なツールです。
しかし、これらは互いの代替にはなりません。
DMARCとDKIMはメール認証において異なる目的を果たしており、両方を併用することで包括的なセキュリティを実現できます。
重要なポイント
- DMARCとDKIMは、なりすまし攻撃から保護するために異なる機能を果たす重要なメール認証プロトコルです。
- DMARCは認証に失敗した際の処理ポリシーを定義し、DKIMはメールの内容を改竄されないように認証します。
- DMARCとDKIMを併用することで、単独使用よりも大幅にメールセキュリティが向上します。
- DMARC、DKIM、SPFを組み合わせることで、メールを介した脅威に対する堅牢なセキュリティ基盤が確立され、メールの配信率やブランドの信頼性が向上します。
- これらの認証プロトコルの導入により、組織はメールトラフィックの監視やコンプライアンス対応を強化でき、ドメインの不正利用を抑制することが可能になります。
DMARCとDKIMの違い
| DMARC | DKIM | |
|---|---|---|
| 目的 | DMARCは、認証チェックに失敗したメールの処理方針を定義します。 | DKIMは、送信メッセージにデジタル暗号署名を付加し、メッセージの整合性を保ちます。 |
| 依存性 | DMARCは、機能するためにSPFまたはDKIMのいずれかの実装を必要とします。 | DKIMは単独で機能しますが、DMARCと併用することでセキュリティがさらに強化されます。 |
| ポリシー適用 | DMARCポリシーは、「p=reject」または「p=quarantine」に設定することで、不正なメールの拒否や隔離を可能にします。 | DKIMにはポリシー適用の機能はありません。 |
| レポート機能 | DMARCは、集計レポートおよびフォレンジックDMARCレポートの形式でレポート機能を提供します。 | DKIM自体にはレポート機能はありませんが、DKIM認証情報はDMARCレポートに表示されます。 |
DMARCとDKIMの理解
DMARCとは?その仕組みは?
DMARCとは、「Domain-based Message Authentication Reporting and Conformance」の略です。
DMARCは、SPFまたはDKIMの検証に失敗したメールに対して、メールサーバがどのように対応するか(配信するか、隔離するか、拒否するか)を指示します。
DMARCの基本機能は、メールを受信者に届けるかどうかを判断することです。
そのために、特定のドメインに設定されたDNSレコードを参照します。
DMARCレコードには、SPFまたはDKIMチェックに失敗した場合のメール処理方法が記載されています。
また、認証に失敗したメールのうち、どの程度を配送するかの指示も含まれます。
DMARCポリシーは以下の3種類です。
- p=none
- 失敗したメッセージも通常通り扱う。
- p=quarantine
- 一部のメッセージを警告付きで配送する。
- p=reject
- メッセージを完全に拒否する。
このようにして、DMARCはドメインの直接なりすましやフィッシング攻撃を防ぎ、メールの配信性を向上させる上で重要な役割を果たします。
DKIMとは?その仕組みは?
DKIMとは、「DomainKeys Identified Mail」の略です。
これは、暗号技術による認証を用いてメールの真正性を確認する方法です。
DKIMは、メールにデジタル署名を追加することで、受信者がそのメッセージが転送中に改竄されていないことを確認できるようにします。
この署名は、以下の情報を含むヘッダーによって追加されます。
- ドメイン名
- メール送信に使用されたドメイン名。
- DKIMセレクタ
- 複数のDKIMレコードがある場合にDNS内の公開鍵を特定します。
- 公開鍵
- 受信サーバがメッセージの一部を復号して確認するために使用します。
- ハッシュ値
- メッセージの一部からハッシュ値が生成され、その部分は認可されたアクセス権を持つ者によって検証できるようになります。
DKIM単独ではなりすましやフィッシング攻撃を防ぐことはできませんが、メールの改竄や中間者攻撃から保護する有効な手段です。
DMARCはDKIMを必要としますか?
DMARCはDKIMを必須とはしませんが、DKIMと併用することで最も効果を発揮します。
DMARCはSPFのみでも設定可能ですが、SPFとDKIMの両方を使用することで、より強固なセキュリティを実現できます。
以下にその方法を説明します。
SPFと組み合わせたDMARCの設定
ドメインにDKIMを設定せずとも、SPFと組み合わせることでDMARCを構成できます。
これは、DMARCの検証では、SPFまたはDKIMのいずれかで識別子のアライメントが一致していればよいためです。
DKIMなしでDMARCを実装する方法は以下の通りです。
- 認可されたすべての送信元を一覧化してください。
- 無料のSPFレコード生成ツールを使って、送信元すべてを含むSPFレコードを作成します。
- 生成されたレコードをDNSに登録します。
- 無料のDMARCレコード生成ツールを使って、ドメイン用のDMARC TXTレコードを作成します。
- このレコードをDNSに貼り付けて、DMARCを有効化します。
DKIM単独での構成
DMARCの構成をスキップしたい場合は、DKIMだけを実装することも可能です。
その場合、PowerDMARCのDKIMレコード生成ツールで以下の情報を入力します。
- 一意のDKIMセレクターキー(1024または2048ビットの英数字)
- ドメイン名(接頭辞を除いた形式、例:https://www.domainname.com の場合は domainname.com)
「レコードを生成」ボタンをクリックすると、AIがDKIMのTXTレコードを自動で作成し、それをDNSに設定する手順もあわせて表示されます。
DMARCとDKIMの連携の仕組み
DMARCとDKIMを組み合わせることで、ドメインを保護する強力なメール認証システムが構築されます。
この2つのプロトコルを連携させて実装すると、以下のような流れで処理が行われます。
- 送信するメールには、DKIMの秘密鍵を用いて署名が付加されます。
- メールが受信側のサーバに到達すると、そのサーバは DNSから取得した公開鍵を用いてDKIM署名を検証します。
- 署名の検証に成功した場合、メールは正当なものとして処理されます。
- 一方、署名の検証に失敗した場合は、送信ドメインで設定されているDMARCポリシーに従い、配信、隔離、または拒否のいずれかの処理が行われます。
DMARCとDKIMを組み合わせる利点
以下は、両プロトコルを組み合わせることによる主な利点です。
- より強力なメール認証
- フィッシングやなりすまし攻撃に対する防御力の向上
- ブランドとドメインのレピュテーションの改善
- メール配信率の向上
- ドメインとメールに対する管理能力の強化
- バウンスやスパムメールの削減
DMARCとDKIMを導入することで、組織は自社のメールドメインをより厳格に管理できるようになり、不正利用を減らすことができます。
例えば、CloudIntellectはこれらのプロトコルを導入することで、メールを通じた脅威を能動的に検出・対応できるようになり、お客様のメールセキュリティ体制を強化しました。
DMARCとDKIM:どちらを使うべきか?
DMARCとDKIMは、それぞれ異なる役割を担うメール認証プロトコルであり、どちらも重要です。
どちらを使うべきかは、目的や状況に応じて異なります。
使用する際の判断基準を以下にご紹介します。
DKIMを使用すべき場合
- メールの改竄防止を主な目的とする場合
- スパムを減らしたい場合
- 複数のサードパーティメールベンダーを利用している場合
- 厳格なポリシーを適用せず、メールの整合性のみを確認したい場合
- 1日に5,000通未満のメールを送信する場合
DMARCを使用すべき場合
- フィッシングやなりすまし攻撃を防ぐことが主な目的の場合
- メールの配信性やブランドのレピュテーションを向上させたい場合
- メールトラフィックと認証結果をモニタリングしたい場合
- 1日に5,000通以上のメールを送信する場合
- 決済カードデータを扱う、または処理する企業である場合
- メール認証を強制的に適用したい場合
DKIMとDMARCのどちらか一方を選ぶのではなく、両方を組み合わせて運用することが最善の方法です。
これにより、メールを利用したサイバー攻撃に対して包括的なセキュリティを確保できます。
また、メールチャネルの監視や可視性の向上にもつながります。
DMARC、DKIM、SPFの併用のメリット
PowerDMARCでは、メール認証に多層的なアプローチを採用することが非常に効果的であると考えています。
これは、ドメインの信頼性と情報セキュリティを大幅に向上させることができます。
そのため、DMARC、DKIM、SPFのすべてを併用することを推奨しています。
SPFおよびDKIMの認証要件にメールを適合させ、DMARCによってポリシーやレポート設定を行うことで、メール認証に適切に準拠した状態を実現できます。
この仕組みにより、組織のドメインに対する信頼性が高まり、堅固な基盤が構築されます。
最終的には、メールの配信性が保証され、向上します。
PowerDMARCのメール認証スイートは、SPF・DKIM・DMARCの設定プロセスを自動化し、スムーズな実装を可能にします。
このスイートにはSPFおよびDKIMの機能も含まれており、メールセキュリティを次のレベルへと引き上げます。
今すぐ無料のDMARCをお試しいただき、そのメリットをご確認ください。
よくある質問(FAQs)
- 1.メール認証において、DMARCとDKIMのどちらが優れていますか?
- DMARCはポリシー適用とレポート機能を、DKIMはメッセージの整合性維持を担い、どちらが優れているというものではなく、両者を併用することで最大の効果を発揮します。
- 2.DMARCに失敗してもDKIMに合格した場合、どうなりますか?
- SPFが失敗し、DKIMが合格しても、送信ドメインのアライメント設定とDMARCポリシーによっては、DMARCが不合格となることがあります。
- 3.メールプロバイダーはDMARCとDKIMの両方を要求しますか?
- DMARCはSPFまたはDKIMのいずれかが有効であることを必要としますが、一部のメールプロバイダではDMARCとDKIMの両方を必須としています。
- 4.DMARCとDKIMはメールマーケティングにどのような影響を与えますか?
- DMARCとDKIMの導入により、メール配信率の向上やスパムの削減が実現でき、メールマーケティングの効果が高まります。
- 5.技術的な専門知識がなくてもDMARCとDKIMを導入できますか?
- はい、Hosted DMARCやHosted DKIMなどのオンラインソリューションを利用すれば、専門知識がなくても簡単に導入できます。
- 6.複数のドメインでDMARCとDKIMを使用できますか?
- はい、各ドメインには固有のDKIMおよびDMARCレコードを設定できますが、1つのドメインに複数のDMARCレコードを設定するのは避けてください。