■このページを読んでわかること
GmailのSPF,DKIM,DMARCの導入・設定方法
SPF,DKIM,DMARCの詳細について
■対象者
・Gmailを主に使用しており、メールセキュリティ向上のためSPF,DKIM,DMARCを導入したい担当者の方
・SPF,DKIM,DMARCについて知りたい方
■そもそも何故必要??
結論から言えば、メールのなりすまし対策になります。
メールアドレスの書き換えは簡単にできます。
そのため、相手がなりすましていないか確認する必要があります。
■SPF
〇SPF(Sender Policy Framework)とは
・電子メールの送信元ドメインの詐称を検知する技術
・DNSを利用して本当に送信元アドレスに記載のドメインから
送信されたメールかを調べることができる。
・認証失敗したメールの挙動は受信側の設定に依存する。
・SPFを利用するためにDNSサーバーの「TXTレコード」に下記の登録が必要
・SPFレコード・・・DNSで定義されるドメインについての情報の種類の一つ
電子メールの送信ドメイン認証を利用するためのもの。
・日本国内では約8割の企業が設定している。
■DKIM
■DKIM(DomainKeys Identified Mail)とは
・デジタル署名を利用して送信元のなりすましやメール内容の改竄を確認できる
・公開鍵暗号方式における公開鍵と秘密鍵を利用する
・この際使用する公開鍵、秘密鍵は送信メールサーバーごとに登録が必要
・認証出来なかったメールの挙動は、受信側の設定に依存する。
・DKIMを利用するために下記の登録が必要
・送信メールサーバーに秘密鍵
・ドメインのDNSサーバに公開鍵
・上記を登録後すべての送信メールにデジタル署名を追加できる
・受信側は署名を検証後、本当に正しいドメインからのメールか確認できる。
➡SPFと併用することで更になりすましメールを防ぐことが可能になる
・日本国内での普及率は約5割ほど。
■DMARC
■DMARC(Domain-based Message Authentication, Reporting, and Conformance)とは
・SPFやDKIM、送信ドメイン認証技術を利用する
・上記で認証失敗したメールの挙動を、送信側で設定できる。
・送信側で設定することで、自社ドメインになりすましたメールの受信を防ぐことができる。
・認証に失敗したメールについて、受信側から失敗レポートをもらうことができる。
レポートを調査することで、失敗メールの詳細となりすましメールが確認できる
・認証に失敗した際の挙動として下記の3つを設定できる
・何もしない(認証に失敗するメールもそのまま受信してもらう)
・隔離する(受信側の迷惑メールBOXに振り分けられる)
・拒否する(受信を拒否してもらう)
・国内企業での普及率は約2割ほど
※Internet Infrastructure Review「定期レポート」
➡一方で英国やアメリカでは適用を義務化している。
■それぞれの違い
それぞれの対策が何を基に認証しているか、誰が認証するのかということを基準に覚えましょう
SPF,DKIMは設定するのは送信側。認証するのは受信側になります。
DMARCは送信側の設定のみで可能です。
3つとも受信側の設定は特に不要です。
Google WordPless設定画面
・Gmailアカウントは既定で、SPF,DKIM設定がされています。
Google公式サイト手順
DMARCまで設定する方ように設定方法を記載しておきます。
管理画面>アプリ>Google Workspace>Gmail>メールの認証を開きます。
「選択したドメイン」で設定したいドメインを選ぶ。
TXTレコードの値をコピーして、プライマリードメインに貼り付けて完了となります。
■最後に
長くなってしまったので、Googleの設定方法は次の記事に記載します。