認証アライメントの問題：SPFとDKIMが正しく機能していない理由

hello@bimicertifications.com

+1 (734) 519-6975

日本語 - 日本

SPFとDKIMはメール認証プロトコルですが、DMARCに準拠するためには、単にパスするだけでは不十分です。アライメントとは、SPFまたはDKIMによって認証されたドメインが、受信者が目にする「差出人」アドレスのドメインと一致することを意味します。

SPFのアライメント：Return-Path（MailFrom）のドメインは、「From」アドレスのドメインと一致しなければならない。アライメントは「strict」（完全一致）または「relaxed」（同じ組織/ルートドメイン）にすることができる。
DKIMのアライメント：DKIMキーの署名に使用するドメインは、「From」アドレスのドメインと一致しなければならない。ここでも、厳格または緩和が可能である。

DMARCでアライメントが重要な理由

DMARCでは、SPFまたはDKIMの少なくとも一方が、認証を通過し、かつ「From」ドメインと整合している必要があります。整合性が取れていないと、認証済みのメールでもDMARCに失敗し、メッセージが拒否されたり、スパムに送信されたりする可能性があります。

なりすましやフィッシングの防止：認証された送信者のみがお客様のドメインを使用できるようにします。
配信性の向上：アライメントされたメールはスパムとしてマークされにくくなります。
最新のセキュリティ基準を満たしています：GoogleやYahooのような主要プロバイダーは、大量の送信者に対してアライメントを義務付けています。

アライメント不良の一般的な原因

ドメインの不一致：Return-PathまたはDKIMの署名ドメインが、目に見える "From "アドレスと異なる。これは、サードパーティの送信者（例：Mailchimp、SendGrid）が独自のドメインを使用している場合によくあることです。
転送の問題：転送先のサーバーがお客様のSPFレコードに登録されていないため、メールが転送されるとSPFが破壊され、アライメントに失敗することがよくあります。
厳格なアライメントモード：DMARCポリシーが厳格なアライメントに設定されている場合、サブドメインの違いでも失敗することがあります。
複数のSPFレコード：1つのドメインに複数のSPFレコードがあると、検証エラーやアライメントに失敗します。
DKIMの設定ミス：DKIM署名は、Fromアドレスと一致するドメインで生成する必要があります。

アライメントの問題を解決する方法

ドメインのSPFとDKIMを設定する：すべての送信サービスがReturn-PathとDKIM署名にお客様のドメインを使用するようにします。
カスタムReturn-Pathの設定：サードパーティのサービスでは、「From」ドメインと一致するReturn-Pathを使用するように設定を更新します。
正しいアライメントモードを選択します：relaxed "アライメントを使用して柔軟性を高め、サブドメインがルートドメインと一致するようにします。
複数のSPFレコードを避ける：ドメインごとにSPFレコードを1つだけ使用し、DNSルックアップの制限である10回以下に抑えましょう。
DMARCレポートで監視する：DMARCレポートを定期的に確認し、不整合や認証の失敗を特定する。
ベンダーとの調整サードパーティの送信者と連携し、ドメインのSPFおよびDKIMアライメントを確実にサポートする。

すべての送信元を定期的に監査する：すべてのプラットフォームとサービスが適切に認証されていることを確認する。
DMARCモニタリングツールを使用する：不整合の問題を迅速かつプロアクティブに検出し、解決する。
チームを教育する：Return-PathとDKIMシグネチャの両方に自社のドメインを使用することの重要性を強調する。
実施前に変更をテストする：厳格なポリシーを適用する前に、SPF、DKIM、DMARCの設定を検証する。

ステップバイステップの準備ガイドについては、BIMI導入前の電子メール認証監査の実施方法に関するFAQをご覧ください。

DMARCを通過させるためには、SPFとDKIMが「差出人」アドレスと一致している必要があります。

サードパーティの送信者Return-PathとDKIMをベンダーのドメインではなく、自社のドメインを使用するように設定する。

監視と調整DMARCレポートを使用して、配信性とセキュリティを向上させるためのアライメントの問題を迅速に発見し、修正します。