DKIM/DMARCは正しく設計しないと迷惑メール扱いされますよ(メールセキュリティ2/2)

DKIM/DMARC正しく設計されていますか?

DKIMについてググって調べると、
『「作成者署名」でなりすまし対策が出来ている』
と言う意味の事が書かれているところがあるところがあります。
SPFとDMARCとの組み合わせで、なりすましし対策が出来ると書いてあるところもあります。

これらは、間違いです。
厳密に言うと、出来る場合がある。です。

かつ、そこを誤解しているとDMARCの設計を間違えて、受信先で迷惑メール判定を受ける可能性が有ります。

スタート

DKIM署名のケース差から

図 DKIM署名のケース

DKIMの署名は↑図の２通りのケースがあります。
ケースA、とケースB 何が違うのか。

A 作成者署名とメリデメ

自社でインターネットへのメールゲートウェイを構築している場合、作成者署名を行うことが出来ます。
メリットはヘッダFROMと署名したドメイン名が等しくなるということです。
ただし、自社管理のメールゲートウェイは障害対策、災害対策などで構築コスト、インフラコスト、運用コストが高額になってしまいます。

B 第三者署名とメリデメ

メールゲートウェイに他社のクラウドサービスを利用している所は多いと思います。
その場合は必ず「第三者署名」になります。
メリットとしてコスト低減、障害対策や災害対策も契約しているクラウドサービスに委ねられます。
デメリットとしては、ヘッダFROMと署名したドメイン名が異なってしまうことです。
しかし本当にデメリットなのでしょうか?

第三者署名を使用している方は先へ読み進めてください

作成者署名では、今回テーマにしている迷惑メール判定を受ける可能性は低くなりますので、まずご自身の会社のメールゲートウェイが、自社で完結しているか、他社を使用しているか確認してください。
そして第三者署名を使用されていたら先へ読み進めてください。

迷惑メール判定

DKIMの仕様としては第三者署名を認めています。
つまり、ヘッダFROMと、署名したドメインが異なっていても良いのです。
では、ヘッダFROM偽装は見破れないということ?
基本的にはそうです。

ここでヘッダFROM偽装が判別できると言う説が流れているため、そう思われている方がいらっしゃるかなと。

しかし、しかしですね。
まず、この見破る見破らないに誤解があります。

DKIMの仕様を定めている「RFC 6376」はDKIMをどう解釈するかは受信システムに委ねる事になっています。
つまり、ヘッダFROMと、署名したドメインが異なっている場合、それをOKとするのかNGとするのかは、受信側のプログラムに任せるってことでして、決まりはありません。

送信側は、世界中のメール受信システムが、ヘッダFROMと、署名したドメインが異なっている場合をOKとしているか、NGとしているか確認することは不可能です。

個人的にはDKIMは改ざんチェックのみ機能させて、ヘッダFROMと署名したドメインの比較は検証しなくてよいと考えています。
多くの企業が第三者署名を使用していると考えられるからです。

送信者が意識すべDMARCポリシー

第三者署名を使用している場合、
受信先のDKIM検証によって、Failするか、Passするか判らない訳ですから、
Failした場合に備えて、
DMARCのポリシーは「none」にしておくべきです。
またレポートを有効にしておくことで、傾向を調べる事が出来ます。

しかし、DMARCポリシー「none」では、迷惑メールの到達可能性も高まりますね。
次を考えてください。

1. あなたのメールが届かない

2. 迷惑メールが届く

どちらが困りますか?

困るのは「1. あなたのメールが届かない」ですよね。

ですから、DMARCポリシーは「none」にしておきましょう。

参考リンク

RFC 6376 - DomainKeys Identified Mail (DKIM) Signatures 日本語訳

RFC 7489 - Domain-based Message Authentication, Reporting, and Conformance (DMARC) 日本語訳