mauticを使う上で、spf, dkim, dmarcを理解しよう。

You’ve got mail!

2017/02/06

目次：1. メール配信の仕組みを知ろう2. なりすましについて理解しよう3. なりすましに間違われない対策4. 最後に

1. メール配信の仕組みを知ろう！

1. メール配信の仕組みを知ろう！

メールを送信

MUA送信クライアント

MTA

SMTP

DNSドメインネームサーバー

reciver@example.com ね了解！

reciver@example.com のIP アドレス知ってる？

reciver@example.com のIP は 198.51.100.0 だよ

MTA受信メールサーバー POP/IMAP

MUA受信クライアント

メール送っても良い

TCP

照会 OK

新しいメール届いてる？あるよ

DNSドメインネームサーバー

example.jp198.51.100.0 を照会して

*DNS のルートサーバーなどの仕組みは割愛します。

example.jp送信メールサーバー192.0.2.0

reciver@example.comに送って

sender@example.jp reciver@example.com

1. メール配信の仕組みを知ろう！2. なりすましについて理解しよう

受信メールサーバー

受信クライアント

お問い合わせフォームmautic.net サーバー

照会 NG

DNSドメインネームサーバー

example.jp198.51.100.0 を照会して

example.jp の送信メールサーバー

reciver@example.com に送付送信元： sender@example.jp

198.51.100.0

192.0.2.0

DNSドメインネームサーバー

真正性の確認不可

登録 IP が違う

WEB アクセスなりすまし WEB サーバー

203.0.113.0

reciver@example.jpなりすましメール迷惑メールフォルダーへ

何も対策してないとどちらも同じ扱いに！reciver@example.jp に送付送信元： sender@example.jp

example.jp203.0.113.0 を照会して

reciver@example.com

example.com

3. なりすましに間違われない対策

1. メール配信の仕組みを知ろう！

参照： https://support.google.com/mail/answer/81126?hl=ja

gmail の認証基準3. なりすましに間違われない対策

参照： https://support.google.com/mail/answer/2451690

3. なりすましに間違われない対策1.SPF(Sender Policy Framework)

2.DKIM(Domainkeys Identified Mail)

3.DMARC(Domain-based Message Authentication, Reporting & Conformance)

送信元アドレスのドメインから DNS を引き、 SPF レコードと呼ばれる情報から正規の送信元 IP アドレスを調べ、実際の送信元 IP アドレスを照合する送信ドメイン認証

送信側で電子メールに電子署名を付加し、受信側でその電子署名を照合する電子署名方式の送信ドメイン認証

SPF 、 DKIM といった既存の認証技術を利用して、詐称されたメールを受信側がどう扱うべきかの方針をドメインの管理者側が宣言するための仕組みです。

送信ドメイン認証

1.SPF3. なりすましに間違われない対策

受信メールサーバーお問い合わせフォーム

mautic.net サーバー

SPF マッチ

example.jp198.51.100.0 を照会して

example.jp の送信メールサーバー

reciver@example.com に送付送信元： sender@example.jp

198.51.100.0

192.0.2.0

DNSドメインネームサーバー

Mautic のSPF レコードを設定

198.51.100.0

SPF レコード OK

SPF レコードに記載のあるサーバからこのメールアドレスのメールは送られます

参考： http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/

受信クライアントreciver@example.com

【 SPF レコード設定方法】3. なりすましに間違われない対策・ DNS レコードに TXT レコードの形式で下記を追加します。

v=spf1 a:YOURDOMAIN.COM include:spf.mautic.net ~allSPF のバージョン 1 限定子機構

他のドメインの SPF レコードを参照（ mautic.net に記述された SPF レコードで判定） DNS から取得した IP アドレスと送信元 IP アドレスを比較A レコード

参考： http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/

限定子

機構

SPF のバージョン 空白 定義 空白 定義

3. なりすましに間違われない対策

TXT レコードってどうやって追加するの？

3. なりすましに間違われない対策

DNS レコード設定から設定できます。

3. なりすましに間違われない対策ムームードメインの場合 https://muumuu-domain.com/?mode=guide&state=custom_setup

https://www.xserver.ne.jp/manual/man_domain_dns_setting.phpXSERVER の場合

・設定方法は各社で違うのでググってください。　 (※ ）設定できないレンタルサーバーや有料なサーバーもあります。

3. なりすましに間違われない対策・設定が正しくされているかの確認方法

1. ターミナルを起動します。

dig 確認したいドメイン名 txt2. 下記コマンドを実行します。

3. コマンドを実行します。

3. なりすましに間違われない対策・黒い画面嫌いという方は、 gmail 受信メールで確認することができます。

1.Mautic から gmail アカウントにメールします。2. 下記コマンドを実行します。

2.DKIM3. なりすましに間違われない対策

受信メールサーバー 受信クライアントお問い合わせフォーム

mautic.net サーバー

公開鍵を返答

example.jp の送信メールサーバー

198.51.100.0

192.0.2.0

DNSドメインネームサーバー

Mautic のDKIM の公開鍵を登録SPF レコードに記載のあるサーバからこのメールアドレスのメールは送られます

電子署名を付加

公開鍵を問い合わせ

電子署名を認証

参考： http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/

reciver@example.com に送付送信元： sender@example.jp

reciver@example.com

【 DMIK 公開鍵の設定方法】3. なりすましに間違われない対策

・ DNS レコードに TXT レコードの形式で下記を追加します。

公開キー情報公開鍵の形式（ RSA 形式）

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXcWoDS4dF2M6Kt03SJFwOpvGO6MroQjLlHJlQvObKz/CW4GJvoCRODOX89sJ1YEcK7G0PtjLqvhstYjL6FY6ISg/2i7Bt6tmp76LERaon61bRydChGJlLkPyBDMw1xnwC8oLm+++pOBtgbwi2UHOMQQ37QVw9/eYVEF6IRMyX6QIDAQAB

v=DKIM1; k=rsa; p=MIGfMA……DKIM のバージョン

※SPF レコードと同様に DNS レコード設定から設定できます。

3. なりすましに間違われない対策・ gmail 等の受信メールで確認することができます。

1.Mautic から gmail アカウントにメールします。2. 下記コマンドを実行します。

３ .DMARC3. なりすましに間違われない対策

DKIM ・ SPF どちらの認証も通過しなかった場合にどうするかを決めるのが DMARC です。

受信クライアント

お問い合わせフォームmautic.net サーバー

送信メールサーバー

DNSドメインネームサーバー

DKIM/SPF 認証　 NG このメールどうする？・ none・ quarantine・ reject

?受信メールサーバー

none - 何もしません。該当メールを毎日のレポートに記録するだけです。quarantine - 該当メールに迷惑メールのマークを付けます。reject - SMTP 層でメールをキャンセルします。

【 DMARC の設定方法】3. なりすましに間違われない対策

・ DNS レコードに TXT レコードの形式で下記を追加します。集計レポートの報告先となる URIドメインポリシー

none - 何もしない。該当メールを毎日のレポートに記録するだけです。v=DMARC1; p=none; rua=mailto: レポート送付先メールアドレス

quarantine - 隔離。該当メールに迷惑メールのマークを付けます。レポートも送ります。v=DMARC1; p=quarantine; pct=5; rua=mailto: レポート送付先メールアドレス

reject - 拒否。 SMTP 層でメールをキャンセルします。レポートも送ります。v=DMARC1; p=reject; rua=mailto: メレポート送付先メールアドレス 1, mailto: レポート送付先メールアドレス 2

v=DMARC1; p=XXXX; rua=mailto:XXXXXDMARC のバージョン

※PCT は隔離するパーセンテージを表しています。

3. なりすましに間違われない対策・設定が正しくされているかの確認方法

1. ターミナルを起動します。

dig txt _dmarc. 確認したいドメイン名2. 下記コマンドを実行します。

3. コマンドを実行します。

google は reject を設定してあります。

４ . 最後に

私はサーバーの専門家ではありません。　今回、ここに記載した内容は、色々と調べたりテストをした結果をまとめもので、 SPF 、 DMIK 、 DMARC とは何かを理解するための資料です。この資料の記載内容については、環境含めて違いがあるため動作を保証するものではありませんのでご理解ください。もしご自身で SPF/DMIK, DMARC を設定する場合は必ず理解した上で自己責任で設定してください。設定を間違うとメール配信等に大きな影響が発生します。

４ . 最後に

ご清聴ありがとうございました。

稲葉智宏（ Tomohiro Inaba ）info@zeroichiworks.comfacebook: tom.zeroichiworks

WEB サイト制作、マーケティング、翻訳、イベント企画・サポート