Posted inセキュリティ

DMARC、SPF、DKIMをマスターする:不可欠なメールセキュリティ設定ガイド

Security tutorial - IT technology blog
Security tutorial - IT technology blog

クイックスタート:5分でメールセキュリティを強化

かつて私は真夜中にSSHブルートフォース攻撃を受け、サーバーが攻撃された経験があります。その経験は私に重要な教訓を教えてくれました。セキュリティは後回しにするものではなく、最初のセットアップから不可欠な基盤となる要素であると。

この哲学はメールにも深く当てはまります。メールのなりすましやフィッシングの試みは驚くほど一般的ですが、DMARC、SPF、DKIMを正しく設定することで、ドメインと受信者を大幅に保護できます。これらの重要なプロトコルを迅速に稼働させる方法を説明します。

1. SPFレコード (Sender Policy Framework)

SPFは、スパマーがあなたのドメインを装ってメールを送信するのを防ぐのに役立ちます。これは、承認されたすべての送信サーバーをリストしたTXTレコードを公開することで行います。たとえば、メールにGoogle Workspace(旧G Suite)を使用している場合、SPFレコードは次のようになります。

yourdomain.com.  IN  TXT  "v=spf1 include:_spf.google.com ~all"

MailchimpやSendGridのような他のサービスからもメールを送信する場合は、単にそれらの「include」メカニズムを追加します。

yourdomain.com.  IN  TXT  "v=spf1 include:_spf.google.com include:servers.mcsv.net ~all"

アクション: ドメインのTXTレコードを作成します。すべての正当な送信サービスをリストした適切なSPFエントリを含めます。有効なメールを誤ってブロックしないよう、最初は~all(ソフトフェイル)から始めましょう。

2. DKIMレコード (DomainKeys Identified Mail)

DKIMは、送信するメールにデジタル署名を追加します。この署名により、受信側のメールサーバーは、メールが改ざんされておらず、実際にあなたのドメインから送信されたものであることを検証できます。メールサービスプロバイダー(ESP)は通常、これらの暗号鍵を生成してくれます。Google Workspaceユーザーの場合、このオプションは管理コンソールの「アプリ > Google Workspace > Gmail > メール認証」にあります。

google._domainkey.yourdomain.com.  IN  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDIn3sC2c4A..."

ここで、googleの部分は「セレクター」であり、p=の後の長い文字列は公開鍵です。

アクション: ESPでDKIMキーペアを生成します。その後、指定されたセレクター(例:google._domainkey)の下に公開鍵をTXTレコードとして公開します。

3. DMARCレコード (Domain-based Message Authentication, Reporting, and Conformance)

DMARCはSPFとDKIMを統合します。SPFまたはDKIMチェックに失敗したメールをどのように処理するかを受信サーバーに指示します。さらに重要なことに、メール認証に関する詳細なレポートも提供します。監視モードから始めましょう:

_dmarc.yourdomain.com.  IN  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;"
  • v=DMARC1: DMARCプロトコルのバージョンを指定します。
  • p=none: ポリシーを「none」に設定し、監視モードを示します。受信サーバーはメールを受け入れますが、認証結果の詳細を報告します。
  • rua=mailto:[email protected]: 集約レポート(XML形式の毎日の要約)のメールアドレスです。
  • ruf=mailto:[email protected]: フォレンジックレポート(詳細な失敗情報。プライバシーに関する懸念があるため、あまり一般的に使用されません)のメールアドレスです。
  • fo=1: SPFまたはDKIMのいずれかが失敗した場合にレポートを生成し、より広範な洞察を提供します。

アクション: _dmarc.yourdomain.comのTXTレコードをp=noneポリシーで作成します。レポート用にメールアドレスを使用することを忘れないでください。この設定により、正当なメールをブロックすることなく認証の問題を監視できます。

詳細解説:プロトコルを理解する

クイックスタートで保護は可能ですが、真に堅牢なメールセキュリティとトラブルシューティングのためには、SPF、DKIM、DMARCのより深い理解が不可欠です。

Sender Policy Framework (SPF) の解説

SPFは、ドメイン所有者が信頼できるIPアドレスまたはホスト名のリストをDNSに公開することで機能します。これらは、そのドメインに代わってメールを送信することを許可された唯一のソースです。受信メールサーバーがメッセージを受け取ると、送信者のドメインをこの公開されたSPFレコードと照合します。送信IPがリストにない場合、メールはスパムとしてフラグ付けされたり、隔離されたり、あるいは完全に拒否されたりする可能性があります。

  • v=spf1: これは常にSPFレコードの先頭に記述され、そのバージョンを示します。
  • a: ドメインの「A」レコード(メインIPアドレス)を許可します。
  • mx: ドメインの「MX」レコード(メール交換サーバー)を許可します。
  • ip4:192.0.2.1/24: 特定のIPv4アドレスまたは範囲を許可し、きめ細かな制御を提供します。
  • include:anotherdomain.com: このメカニズムは、GoogleやMicrosoft 365のようなESPで一般的な、別のドメインのSPFレコードを組み込みます。
  • メカニズムと修飾子:
    • + (Pass): このソースからのメールを明示的に許可します。修飾子が指定されていない場合のデフォルトです。
    • -all (Fail): この厳格なポリシーは、リストされていないサーバーを明示的に拒否します。不正なソースからのメールは拒否されます。
    • ~all (SoftFail): リストされていないサーバーを許可はしないが、疑わしいものとして扱います。これらのソースからのメールは、すぐに拒否されるのではなく、スパムとしてマークされたり、隔離されたりする可能性があります。これは、初期のSPF展開によく推奨されます。
    • ?all (Neutral): この修飾子は、サーバーが「Pass」も「Fail」もしないことを意味します。実際の保護はほとんど提供しないため、一般的に推奨されません。

重要: ドメインには常に1つのSPF TXTレコードのみが必要です。承認済みの送信元を追加する必要がある場合は、追加のincludeメカニズムを使用して既存のレコードに追記してください。たとえば、2つのマーケティングサービスを使用している場合、2つのincludeステートメントを持つことができます。

DomainKeys Identified Mail (DKIM) の解説

DKIMは強力な暗号化認証に依存しています。メールサーバーがメールを送信する際、メールのヘッダーと本文に対して一意のデジタル署名を生成します。この署名は、送信サーバーのみが所有する秘密鍵を使用して暗号化されます。対応する公開鍵は、ドメインのDNSにTXTレコードとして安全に公開されます。

受信者のメールサーバーがあなたのメールを受信すると、2つの重要な手順を実行します。

  1. DNSからあなたの公開鍵を取得します。
  2. この公開鍵を使用して、メールのデジタル署名を復号します。

復号された署名がメールの内容と一致する場合、これは2つの重要な事実を確認します。

  1. メールがインターネットを介した経路で改ざんされていないこと。
  2. メールが実際にあなたのドメインに関連付けられた承認済みサーバーによって送信され、なりすましを防ぐこと。

セレクター(例:クイックスタートの例のgoogle)は非常に役立ちます。

これにより、単一ドメインに対して複数のDKIMキーを維持できます。この柔軟性は、異なるESPを使用している場合や、すべての送信サービスを一度に中断することなくセキュリティ強化のためにキーをローテーションする必要がある場合に有利です。

DMARC の解説

DMARCはSPFとDKIMの基盤の上に構築されています。SPFまたはDKIMの認証チェックに失敗したメールをどのように処理するかについて、受信メールサーバーに明確な指示を提供します。重要なことに、DMARCはこれらの認証失敗に関する貴重なレポートをドメイン所有者に提供し、潜在的ななりすまし試行や設定ミスについて明確な可視性を与えます。

  • v=DMARC1: DMARCバージョンを識別する必須タグです。
  • p= (ポリシー): このタグは、受信サーバーが取るべきアクションを指示します:
    • none: これは「監視」モードです。サーバーはメール自体には何もしませんが、レポートを送信します。データを収集する初期のDMARC展開に最適な設定です。
    • quarantine: 認証に失敗したメールは疑わしいものとしてマークされます。受信サーバーはそれらをスパムフォルダに移動したり、レビューのためにフラグを立てたりする可能性があります。
    • reject: これは最も強力なポリシーです。認証に失敗したメールは完全にブロックされ、受信者の受信トレイには配信されません。
  • rua=mailto:[email protected]: 集約レポート(XML形式の要約、通常は毎日送信されます)が送信されるアドレスです。
  • ruf=mailto:[email protected]: フォレンジックレポート(詳細な個別の失敗レポート)のアドレスです。これには機密情報が含まれる可能性があり、あまり一般的に使用されないことに注意してください。
  • pct=100: DMARCポリシーが適用されるメールの割合を設定します。段階的な展開に非常に適しています。たとえば、pct=10に設定すると、最初はメールの10%にのみポリシーが適用されます。
  • aspf=s (厳格なSPFアラインメント): 「From」ヘッダーとSPF認証されたドメインとの間で正確なドメイン一致を要求します。
  • aspf=r (緩和されたSPFアラインメント): SPFのサブドメイン一致を許可します(例:yourdomain.comのmail.yourdomain.com)。これがデフォルト設定です。
  • adkim=s (厳格なDKIMアラインメント): 「From」ヘッダーとDKIM署名されたドメインとの間で正確なドメイン一致を要求します。
  • adkim=r (緩和されたDKIMアラインメント): DKIMのサブドメイン一致を許可します。これもデフォルト設定です。

DMARCの真の力は、その包括的なレポート機能にあります。これらのレポートは、SPFレコードで見落としていた可能性のある正当な送信元を特定したり、DKIMの実装に関する問題を特定したりするために不可欠です。DMARCレポートがないと、メール認証の状況に関して実質的に暗闇の中で運用していることになります。

高度な使用法:メール防御の微調整

複数のSPFインクルードと文字制限

SPFレコードで複数のincludeステートメントを使用することは一般的ですが、2つの重要な制限に注意する必要があります。それは、単一のTXTレコードの255文字制限と、SPFレコード全体に対する10回のDNSルックアップ制限です。これらを超過すると、SPFレコードの検証が失敗し、ドメインがなりすましに対して脆弱になる可能性があります。多くの送信サービスを管理している場合は、それらを統合するか、これらの制限内に収まるように専用のSPF管理サービスを検討する必要があるかもしれません。

DKIMキーのローテーションと複数のセレクター

DKIMキーを定期的にローテーションすることは、パスワードを頻繁に変更するのと同様に、健全なセキュリティプラクティスです。ほとんどのESPは、このための簡単なメカニズムを提供しています。メール送信に様々なサービス(例:マーケティング用、トランザクションメール用)を利用している場合、それぞれが固有のセレクターを持つ独自のDKIMレコード(例:google._domainkeysendgrid._domainkey)を必要とする可能性があります。関連するすべてのセレクターがDNSで正しく設定されていることを常に確認してください。

DMARCポリシーの進化:段階的アプローチ

p=noneからp=rejectポリシーへの移行は、完全なメール保護を達成するための重要な道筋です。これは段階的なプロセスとして取り組むのが最適です。

  1. p=noneから始める: 数週間DMARCレポートを監視します。この期間で、すべての正当なメール送信元がSPFとDKIMの両方の認証に成功していることを確認できます。
  2. p=quarantineへ移行する: 認証に自信が持てるようになったら、ポリシーをquarantineに切り替えます。数日間は低いpct(例:pct=10)から始め、徐々に100に増やしていくことを検討してください。このポリシーにより、認証に失敗したメールは受信者のスパムフォルダに移動されるようになります。
  3. 最終的にp=rejectへ移行する: しばらくの間、問題なくメールを隔離できた後、ポリシーをrejectにアップグレードします。この堅牢な設定により、認証に失敗したすべてのメールが完全にブロックされ、最大限の保護が提供されます。

生のDMARC集約レポートは、複雑なXML形式で提供されるため、分析が難しい場合があります。DMARCian、Valimail、PostmarkのDMARCツールなど、多くの優れたサードパーティサービスは、このプロセスを実行可能なダッシュボードに簡素化する専用のDMARCレポートアナライザーを提供しています

安全なメール環境のための実践的なヒント

  • DMARCレポートを継続的に監視する: p=rejectポリシーを達成した後でも、継続的な監視は不可欠です。新しい送信サービス、既存プラットフォームの変更、または単純な設定ミスが、正当なメールの認証失敗を引き起こす可能性があります。
  • すべての送信元を注意深く特定する: これは最も難しい部分であることがよくあります。マーケティングオートメーションプラットフォーム(HubSpotやMailchimpなど)、CRMシステム(Salesforceなど)、トランザクションメールサービス(SendGridやAWS SESなど)、さらにはメール通知を送信するウェブサイトの問い合わせフォームなども見落とさないでください。これらのすべてをSPFレコードに含める必要があり、サービスがサポートしている場合はDKIMも設定する必要があります。
  • DNS伝播時間を理解する: DNSを変更した後、これらの更新がインターネット全体に伝播するには時間がかかることを覚えておいてください。多くの場合、数分から数時間ですが、場合によっては最大48時間かかることがあります。DMARCレポートが最新の変更をすぐに反映しなくても慌てないでください。
  • サブドメインとDMARC: DMARCポリシーはデフォルトでサブドメインに適用されます。ただし、sp=タグ(サブドメインポリシー)を使用してサブドメインに異なるポリシーを指定できます。たとえば、p=reject; sp=none;はメインドメインのメールは拒否しますが、サブドメインのメールは監視のみを行います。
  • テスト、テスト、テスト: 設定後および変更後には、常にオンラインツールを使用してSPF、DKIM、DMARCレコードを確認してください。多くのメール認証テストサービス(例:MXToolbox、DMARC Analyzer)は、テストメールを送信し、それがどのように認証されるかを正確に表示できます。
  • レコードを簡潔に保つ: SPFレコードでは、可能な限り少ないincludeステートメントを使用することを目指してください。これにより、重要な10回のDNSルックアップ制限内に収まり、最適なパフォーマンスを維持できます。

DMARC、SPF、DKIMの実装は、一見複雑に見えるかもしれません。しかし、そのセキュリティ上の利点は計り知れません。ブランドの評判を保護し、メールの配信率を劇的に向上させ、悪意のあるアクターによるドメインのなりすましを効果的に防ぎます。サーバーのSSHアクセスと同様に、メールセキュリティも同じ注意と配慮をもって扱うことで、はるかに安全で信頼できるデジタルプレゼンスを構築できるでしょう。

Share:
Tags: