SPF,DKIM,DMARCってどこで何すればいいの?
迷惑メール、スパムメール対策でSPF、DKIM、DMARC対策はマストになりました。主にGmailやYahoo!メールへの送信ですね。ここでは、あまり細かいことは気にせず、概要と対策を説明したいと思います。主に、GmailとYahoo!メールにメール送ったら届かないと言われたぞ!と上司から対策しろとだけ言われた情シスの方向け、理論は置いといて今そこにある危機をなんとかしたいSEさん向けです。
いろいろ調べたけど、まずSPFとは、から始まって、ご丁寧に図解があるけどそんなことよりもっと取ってりばやく解決したいんだ!って人向け。でも後で必ず理解しましょう。
はじめに言っておきますが、誤解を恐れずわかりやすいように端折ってますのであしからず。
まずSPFを対応する
SPFは、簡単に言うと「さっき送信したメール、知ってるよ」とFROMアドレスのドメインに言ってもらうということです。
例えば、WEBサーバがあったとします。URLはhttps://otopuri.jpです。IPアドレスは118.27.125.149です。このサーバからメールを送るとします。(メールを送るサーバのグローバルIPがカギ)
そのメールのFromアドレスはWEBサーバと異なるドメイン、info@example.comだったとしましょう。このとき、メールセキュリティの世界では、「otopuri.jpからexample.comとしてメール送信してるんだけど大丈夫なのかな?」と疑われるわけです。
そこでSPFの出番です。example.comのDNSに、118.27.125.149からメール送信されるの知ってるよと書いてもらうことで、安心するということです。これがSPFの役割です。
- SPFレコードを書くDNS:FromアドレスのドメインのDNS(example.com)
- SPFレコードに書くIPアドレス:送信するメールサーバのグローバルIP(118.27.125.149)
例:example.com. IN TXT "v=spf1 ip4:118.27.125.149 -all"
DKIMを対応する
DKIMのなんたるかを理解するには、公開鍵と秘密鍵を理解しなければなりませんが、いったん置いときましょうか。
役割は先程のSPFと似ています。メールを送信するサーバに暗号を教えて、メールに付与します。そしてFromアドレスドメイン側のDNSにも暗号を登録しておいて、「この暗号知ってるってことは許可したところから送っているということです!」と言わしめるためのものです。
DKIMの設定自体は少し複雑です。こちらで紹介しています。
DMARCを設定する
最後にDMARCの設定です。こちらはSPFとDKIMの合せ技で、さっき設定した迷惑メール対策、スパムメール対策知ってるよ、自分でやったものだよとFromアドレスのドメイン側のDNSに言ってもらうということです。
例:v=DMARC1; p=none;
この3つを設定したなら、あなたの迷惑メール対策、スパムメール対策の終わりはすぐそこです。あとはgmail対策ではSTARTTLS化や、メルマガのワンクリック解除など、対応しなければならない仕様は次々と出てきていますが、この世から悪いメールがいなくなることは、システム屋さんとしても本望なので、ぐっとこらえて対策しましょう。
こちらも合わせてどうぞ。