Download - Mauticを使う上で、SPF, DKIM, DMARCを理解しよう。
You’ve got mail!
2017/02/06
目次:1. メール配信の仕組みを知ろう2. なりすましについて理解しよう3. なりすましに間違われない対策4. 最後に
1. メール配信の仕組みを知ろう!
1. メール配信の仕組みを知ろう!
メールを送信
MUA送信クライアント
MTA
SMTP
DNSドメインネームサーバー
[email protected] ね了解!
[email protected] のIP アドレス知ってる?
[email protected] のIP は 198.51.100.0 だよ
MTA受信メールサーバー POP/IMAP
MUA受信クライアント
メール送っても良い
TCP
照会 OK
新しいメール届いてる?あるよ
DNSドメインネームサーバー
example.jp198.51.100.0 を照会して
*DNS のルートサーバーなどの仕組みは割愛します。
example.jp送信メールサーバー192.0.2.0
1. メール配信の仕組みを知ろう!2. なりすましについて理解しよう
受信メールサーバー
受信クライアント
お問い合わせフォームmautic.net サーバー
照会 NG
DNSドメインネームサーバー
example.jp198.51.100.0 を照会して
example.jp の送信メールサーバー
[email protected] に送付送信元: [email protected]
198.51.100.0
192.0.2.0
DNSドメインネームサーバー
真正性の確認不可
登録 IP が違う
WEB アクセスなりすまし WEB サーバー
203.0.113.0
[email protected]なりすましメール迷惑メールフォルダーへ
何も対策してないとどちらも同じ扱いに![email protected] に送付送信元: [email protected]
example.jp203.0.113.0 を照会して
example.com
3. なりすましに間違われない対策
1. メール配信の仕組みを知ろう!
参照: https://support.google.com/mail/answer/81126?hl=ja
gmail の認証基準3. なりすましに間違われない対策
参照: https://support.google.com/mail/answer/2451690
3. なりすましに間違われない対策1.SPF(Sender Policy Framework)
2.DKIM(Domainkeys Identified Mail)
3.DMARC(Domain-based Message Authentication, Reporting & Conformance)
送信元アドレスのドメインから DNS を引き、 SPF レコードと呼ばれる情報から正規の送信元 IP アドレスを調べ、実際の送信元 IP アドレスを照合する送信ドメイン認証
送信側で電子メールに電子署名を付加し、受信側でその電子署名を照合する電子署名方式の送信ドメイン認証
SPF 、 DKIM といった既存の認証技術を利用して、詐称されたメールを受信側がどう扱うべきかの方針をドメインの管理者側が宣言するための仕組みです。
送信ドメイン認証
1.SPF3. なりすましに間違われない対策
受信メールサーバーお問い合わせフォーム
mautic.net サーバー
SPF マッチ
example.jp198.51.100.0 を照会して
example.jp の送信メールサーバー
[email protected] に送付送信元: [email protected]
198.51.100.0
192.0.2.0
DNSドメインネームサーバー
Mautic のSPF レコードを設定
198.51.100.0
SPF レコード OK
SPF レコードに記載のあるサーバからこのメールアドレスのメールは送られます
参考: http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/
受信クライアント[email protected]
【 SPF レコード設定方法】3. なりすましに間違われない対策・ DNS レコードに TXT レコードの形式で下記を追加します。
v=spf1 a:YOURDOMAIN.COM include:spf.mautic.net ~allSPF のバージョン 1 限定子機構
他のドメインの SPF レコードを参照( mautic.net に記述された SPF レコードで判定) DNS から取得した IP アドレスと送信元 IP アドレスを比較A レコード
参考: http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/
限定子
機構
SPF のバージョン 空白 定義 空白 定義
3. なりすましに間違われない対策
TXT レコードってどうやって追加するの?
3. なりすましに間違われない対策
DNS レコード設定から設定できます。
3. なりすましに間違われない対策ムームードメインの場合 https://muumuu-domain.com/?mode=guide&state=custom_setup
https://www.xserver.ne.jp/manual/man_domain_dns_setting.phpXSERVER の場合
・設定方法は各社で違うのでググってください。 (※ )設定できないレンタルサーバーや有料なサーバーもあります。
3. なりすましに間違われない対策・設定が正しくされているかの確認方法
1. ターミナルを起動します。
dig 確認したいドメイン名 txt2. 下記コマンドを実行します。
3. コマンドを実行します。
3. なりすましに間違われない対策・黒い画面嫌いという方は、 gmail 受信メールで確認することができます。
1.Mautic から gmail アカウントにメールします。2. 下記コマンドを実行します。
2.DKIM3. なりすましに間違われない対策
受信メールサーバー 受信クライアントお問い合わせフォーム
mautic.net サーバー
公開鍵を返答
example.jp の送信メールサーバー
198.51.100.0
192.0.2.0
DNSドメインネームサーバー
Mautic のDKIM の公開鍵を登録SPF レコードに記載のあるサーバからこのメールアドレスのメールは送られます
電子署名を付加
公開鍵を問い合わせ
電子署名を認証
参考: http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/
[email protected] に送付送信元: [email protected]
【 DMIK 公開鍵の設定方法】3. なりすましに間違われない対策
・ DNS レコードに TXT レコードの形式で下記を追加します。
公開キー情報公開鍵の形式( RSA 形式)
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXcWoDS4dF2M6Kt03SJFwOpvGO6MroQjLlHJlQvObKz/CW4GJvoCRODOX89sJ1YEcK7G0PtjLqvhstYjL6FY6ISg/2i7Bt6tmp76LERaon61bRydChGJlLkPyBDMw1xnwC8oLm+++pOBtgbwi2UHOMQQ37QVw9/eYVEF6IRMyX6QIDAQAB
v=DKIM1; k=rsa; p=MIGfMA……DKIM のバージョン
※SPF レコードと同様に DNS レコード設定から設定できます。
3. なりすましに間違われない対策・ gmail 等の受信メールで確認することができます。
1.Mautic から gmail アカウントにメールします。2. 下記コマンドを実行します。
3 .DMARC3. なりすましに間違われない対策
DKIM ・ SPF どちらの認証も通過しなかった場合にどうするかを決めるのが DMARC です。
受信クライアント
お問い合わせフォームmautic.net サーバー
送信メールサーバー
DNSドメインネームサーバー
DKIM/SPF 認証 NG このメールどうする?・ none・ quarantine・ reject
?受信メールサーバー
none - 何もしません。該当メールを毎日のレポートに記録するだけです。quarantine - 該当メールに迷惑メールのマークを付けます。reject - SMTP 層でメールをキャンセルします。
【 DMARC の設定方法】3. なりすましに間違われない対策
・ DNS レコードに TXT レコードの形式で下記を追加します。集計レポートの報告先となる URIドメインポリシー
none - 何もしない。該当メールを毎日のレポートに記録するだけです。v=DMARC1; p=none; rua=mailto: レポート送付先メールアドレス
quarantine - 隔離。該当メールに迷惑メールのマークを付けます。レポートも送ります。v=DMARC1; p=quarantine; pct=5; rua=mailto: レポート送付先メールアドレス
reject - 拒否。 SMTP 層でメールをキャンセルします。レポートも送ります。v=DMARC1; p=reject; rua=mailto: メレポート送付先メールアドレス 1, mailto: レポート送付先メールアドレス 2
v=DMARC1; p=XXXX; rua=mailto:XXXXXDMARC のバージョン
※PCT は隔離するパーセンテージを表しています。
3. なりすましに間違われない対策・設定が正しくされているかの確認方法
1. ターミナルを起動します。
dig txt _dmarc. 確認したいドメイン名2. 下記コマンドを実行します。
3. コマンドを実行します。
google は reject を設定してあります。
4 . 最後に
私はサーバーの専門家ではありません。 今回、ここに記載した内容は、色々と調べたりテストをした結果をまとめもので、 SPF 、 DMIK 、 DMARC とは何かを理解するための資料です。この資料の記載内容については、環境含めて違いがあるため動作を保証するものではありませんのでご理解ください。もしご自身で SPF/DMIK, DMARC を設定する場合は必ず理解した上で自己責任で設定してください。設定を間違うとメール配信等に大きな影響が発生します。
4 . 最後に
ご清聴ありがとうございました。
稲葉智宏( Tomohiro Inaba )[email protected]: tom.zeroichiworks
WEB サイト制作、マーケティング、翻訳、イベント企画・サポート