DKIMなしでDMARCを設定することは可能か
著者: Ahona Rudra
翻訳: 古川 綾乃
この記事はPowerDMARCのブログ記事 https://powerdmarc.com/dmarc-without-dkim/の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
DKIMなしでDMARCを設定することは可能か。
答えは「はい」です。DKIMがなくてもDMARCを構成することは可能です。
しかし、それは本当に適切な方法なのでしょうか?
この記事では、この疑問について解説します。
また、DKIMなしでDMARCを構成した場合の影響についても解説します。
主なポイント
- DMARCはDKIMなしでも構成できますが、この方法は一般的に推奨されていません。
- DMARCをSPFおよびDKIMと併用することで、メールの到達率と信頼性が向上します。
- 多くのメールクライアントでは、DKIMのないメールがスパムとして扱われる場合があり、送信者の評価を下げる可能性があります。
- SPFとDKIMは異なる目的を持つため、互いに依存することなく、単独でも併用でも使用できます。
- DMARCをDKIMとともに設定することで、特に転送時の誤検知やメール配信の問題を防ぐのに役立ちます。
DMARC認証標準の理解
DMARCは、特定のドメインから送信されるメールを認証するためのプロトコルで、一連のルールに基づいてメールが正当なものかどうかを判断します。
SPFとDKIMは、DMARCの文脈において認証目的で使用される他の2つのプロトコルです。
SPFはSender Policy Frameworkの略であり、メールプロバイダーが送信元の正当性を確認し、スパムを防止するための仕組みです。
DKIMはDomainKeys Identified Mailの略であり、送信時にメールへ電子署名を付与し、受信側が公開鍵でその署名を検証することで、内容が改ざんされていないかを確認する仕組みです。
DMARC、SPF、DKIMは、組み合わせて使用されることで、メール認証の3つの柱を形成します。
これらは、メールが第三者によって偽装されたり、改ざんされたりしないことを確認するための仕組みです。
DMARC評価アルゴリズム
DMARCの評価は、SPFおよびDKIMの認証結果に基づいて判定されます。
この判定により、メールを正当なものとして受け入れるかどうかが決まります。
判定結果は「Pass」と「Fail」の2種類に分かれます。
Pass(認証成功)
メールがSPFまたはDKIMのいずれかの認証に成功し、かつドメインアラインメントが一致している場合です。
この場合、DMARC上は正当なメールと判断されます。
判定結果は「Pass」と「Fail」の2種類です。
- DMARCがPassとなる基本条件
- DMARC認証 Pass = SPFが認証に成功し、かつドメインアラインメントが一致している場合。
または DKIMが認証に成功し、かつドメインアラインメントが一致している場合。 - DKIMが設定されていない場合
- DMARC認証 Pass = SPFが認証に成功し、かつドメインアラインメントが一致している場合。
- SPFが設定されていない場合
- DMARC認証 Pass = DKIMが認証に成功し、かつドメインアラインメントが一致している場合。
Fail(認証失敗)
メッセージがSPFとDKIMの両方の認証に失敗した場合です。
これは、送信元ドメインの認証に失敗したことを示します。
DKIMなしでのDMARC設定について
DMARCは、次の3つの状況でPassになります。
- SPFとDKIMの両方の認証に成功し、かつドメインアラインメントが一致している場合。
- DKIMなしで、SPFの認証に成功し、かつドメインアラインメントが一致している場合。
- SPFなしで、DKIMの認証に成功し、かつドメインアラインメントが一致している場合。
したがって、はい、DKIMなしでもDMARCを設定することはできます。
DMARCは認証の仕組みとしてSPFとDKIMを利用しますが、これらは互いに独立した技術です。
一般的に、SPFは「送信元認可」の仕組みであり、特定のドメインとしてメールを送信できるIPアドレスを許可する仕組みです。
一方、DKIMは「内容の完全性」を確認する仕組みであり、送信した内容が受信時に改ざんされていないことを確認できます。
つまり、これらは互いに依存していないため、単独でも併用でも使用できます。
ただし、より強固なDMARC認証を実現するためには、SPFとDKIMの両方をDMARCと併用することが推奨されます。
DKIMなしのDMARCは可能ではありますが、推奨される方法ではありません。
DKIMなしのメールの扱い
DKIMがないメールは、迷惑メールと判定される可能性が高くなります。
場合によっては、受信側のメールサーバによってフラグが付けられ、スパムとして扱われることがあります。
一部のメールサービスプロバイダーでは、送信したメールが本来のドメインとは異なる送信元から送られたように表示されることがあります。
たとえば、OutlookやGmailでは、DKIMなしのメールは受信トレイに正しいFROMアドレスで表示されますが、「sent by」や「via」といった表示により、別の送信元から送信されたように表示される場合があります。
これにより受信者が混乱し、実際の送信者が誰なのか誤解される可能性があります。
- 例1(Outlook)
- 図1 DKIMなし:
Outlookでは受信トレイに「sent by」アドレスが表示されます。
図2 DKIMあり:OutlookではFROMアドレスのみが表示されます。 - 例2(Gmail)
- 図3 DKIMなし:Gmailでは受信トレイに「via」アドレスが表示されます。
図4 DKIMあり:GmailではFROMアドレスのみが表示されます。
ただし、メールにDKIMが設定されている場合、上記の問題は発生しにくくなります。
送信元サーバの情報が強調表示されにくくなるため、スパムフォルダや迷惑メールフォルダに振り分けられる可能性も低くなります。
また、表示される情報がFROMアドレスのみとなるため、メールマーケティングなどで顧客との信頼関係を築きたい企業にとって、信頼性の高いメールとして認識されやすくなります。
DKIMありでDMARCを設定した場合と、DKIMなしでDMARCを設定した場合の影響
DKIMとともにDMARCを設定すると、メールがスパムフィルタによって誤って判定されたりブロックされたりするのを防ぐのに役立ちます。
一方、DKIMなしでDMARCを設定すると、誤検知の増加や、メール認証処理の遅延が発生する可能性があります。
このセクションでは、DKIMありでDMARCを設定した場合と、DKIMなしでDMARCを設定した場合の影響について説明します。
1.メールの信頼性を検証する場合
SPFのみを利用した場合、DMARCの保護は「エンベロープ送信者(MAIL FROM または Return-Path)」のドメインに限定されます。
これは、配信不能通知(バウンス)を受け取るために使用されるアドレスです。
しかし、SPFに加えてDKIMを使用すると、DMARCの保護は「Fromヘッダ」に表示される送信元アドレスにも適用されます。
その結果、SPFのみでDMARCを使用する場合よりも、メールの信頼性が向上します。
2. メールを転送する場合
SPF認証は、送信元IPアドレスが送信ドメインのSPFレコードに登録されているかどうかを確認することで機能します。
受信側サーバは、このIPアドレスが許可されているかを確認し、許可されていない場合は認証に失敗します。
メール転送が行われると、中継サーバのIPアドレスが送信ドメインのSPFレコードに含まれていない可能性があるため、SPF認証は失敗することがあります。
その結果、DKIM署名のない正当なメールでもDMARC認証に失敗し、誤検知が発生する可能性があります。
一方、DKIMが設定されている場合は、このような問題は発生しにくくなります。
なぜなら、DKIM署名(d=)はメールヘッダに付加され、送信時に秘密鍵で署名されるためです。
受信側はDNSに公開されている公開鍵を使用して署名を検証します。
メールが転送されても通常は本文が変更されないため、DKIM署名は保持され、DMARC認証も通過しやすくなります。
一方、SPFは送信元IPアドレスに依存するため、転送時には認証に失敗する可能性があります。
したがって、SPF認証はメール転送の影響を受けやすいのに対し、DKIMは影響を受けにくいと言えます。
3. IPアドレスを更新する場合
メールが送信されると、受信サーバは送信元情報を確認し、なりすましがないかを検証します。
このような場合にSPFが重要な役割を果たします。
SPFは、送信元IPアドレスが送信ドメインのSPFレコードに登録されているかを確認します。
IPアドレスが変更された場合は、SPFレコードを新しいアドレスに更新する必要があります。
この変更が反映されるまでには時間がかかり、通常は最大48時間程度でDNSに反映されます。
もしメールサービスプロバイダーが新しいIPアドレスを送信元として追加した場合、この反映遅延の影響によりメール配信が一時的に遅延する可能性があります。
しかし、SPFに加えてDKIMを設定していれば、DKIMの電子署名により、そのドメインから正当に送信されたメールであることを検証できます。
そのため、IPアドレスが変更された場合でも、DKIMによってメールが正当に送信されたことを確認できます。
DKIMなしでDMARCを使用する場合のOK/FAILの可能な状況
DKIMとSPFの仕組みを使用することで、なりすましを防ぐという同じ目的を達成するために、2つの異なる仕組みを組み合わせて利用していることになります。
これらはそれぞれ独立して機能しますが、それぞれ独立して認証に失敗する可能性もあります。
たとえば、SPFはDKIMとは無関係に失敗する可能性があり、DKIMもSPFとは無関係に失敗する可能性があります。
以下は、DKIMありまたはなしでDMARCを設定した場合の、4つのOK/FAILの状況です。
| 状況 | 意味 | メール配信状況 |
|---|---|---|
| SPF ok、DKIM ok | メールが正当な送信元から送信されたものであることを示します。 サーバは有効なSPFレコードと有効なDKIM署名を持っているため、メール送信の権限があります。 |
受信トレイに配信されます。 |
| SPF ok、DKIM fails | メールは認可されたサーバから配信されていますが、DKIM署名の検証に失敗しています。 | スパムフォルダまたは迷惑メールフォルダに配信されます。 |
| SPF fails、DKIM ok | メールのDKIM署名は有効ですが、送信サーバにはメール配信の認可がありません。 | スパムフォルダまたは迷惑メールフォルダに配信されます。 |
| SPF fails、DKIM fails | SPFとDKIMの両方が失敗した場合、メールはなりすましと見なされ、DMARC対応の受信メールサーバによって拒否されます。 | 配信されない/拒否されます。 |
DMARCを適切に実装することが重要です
SPFとDKIMは、メールのなりすましを防ぐためにDMARCと併用される最も一般的なメールを保護する仕組みです。
既存のメールインフラに適切なDMARC実装を適用すると、メールは意図したとおりに配信されやすくなります。
これにより、スパム苦情の減少、ブラックリスト登録のリスク低減、そして配信率の向上が期待できます。
PowerDMARCは、ドメイン向けにDKIM、SPF、およびDMARCポリシーを作成できるDMARC実装サービスを提供しています。
これにより、メールの信頼性向上が期待できます。
オンラインでDKIMレコードを生成することもでき、メールセキュリティ対策として無料のDMARCトライアルも利用可能です。
FAQ
- DKIMなしでもDMARCは認証に成功できますか?
- はい、DMARCはDKIMなしでも認証に成功する可能性があります。
DMARCは、メールがSPFまたはDKIMのいずれかの認証に合格し、その認証に成功したドメインがメールの「From」ドメインと一致していることを要求します。
したがって、メールがSPFチェックに合格し、SPFのドメインアラインメントが一致していれば、DKIMが設定されていない場合やDKIM署名が失敗した場合でも、DMARCは認証に成功します。 - SPFなしでもDMARCは認証に成功できますか?
- はい、可能です。
DMARCの要件は、少なくとも1つの認証方式に成功し、ドメインアラインメントが一致していることです。
メールが適切なアラインメントでDKIM認証に成功していれば、SPFがなくてもDMARCは認証に成功します。 - DMARCアラインメントとは何ですか?
- アラインメントとは、SPFまたはDKIMによって認証されたドメインが、受信者に表示される「From」アドレスのドメインと一致している状態を指します。
SPFまたはDKIMに単独で合格するだけでは不十分です。
DMARCが認証に成功するためには、送信元ドメインが表示されている送信者ドメインと一致している必要があります。