ドメイン認証とは？認証の仕組みとSPF・DKIM・DMARCの違い、設定方法を解説

ドメイン認証は、インターネット上でWebサイトやメールアドレスを識別し、その安全性を判定するシステムです。なかでもメールアドレスのドメイン認証は、送信されたメールの内容が危険ではないか、詐欺メールではないかをチェックするのに欠かせません。

今回は、ドメイン認証の仕組みや設定する目的、SPF・DKIM・DMARCそれぞれの認証方法の設定手順をわかりやすく解説します。エラーが発生した際の解決方法も紹介するので、ぜひ最後までチェックしてください。

Cloud Mail SECURITYSUITEのサービス資料を受け取る

ドメイン名とは？

ドメイン名は、インターネット上で特定のWebサイトやメールアドレスを識別するための住所代わりになる名前で、IPアドレスを人間がわかりやすいように任意の名前に変換したものです。

例えば、「example.com」といったドメイン名が付けられます。ドメイン名は英数字やハイフンで構成されており、「.（ドット）」の右側をトップレベルドメイン（TLD）、左側をセカンドレベルドメイン（SLD）といいます。

インターネット上で通信を行う際には、IPアドレスとドメイン名を相互に変換する操作が必要です。この操作を行うシステムを「DNS（ドメインネームシステム）」といいます。メールの送受信においては、ドメイン名の有無が送信元の信頼性を証明する1つの要素になります。

ドメイン認証とは？

ドメイン認証は、メールの送信元のドメインが正当な所有者によって使用されているかどうかを証明するシステムです。送信ドメイン認証ともよばれ、なりすましメールや詐欺メール、ランサムウェアなどから受信者を守るために活用されます。

ドメイン認証では、送信元のサーバ情報とDNSに設定されたドメイン情報を照合し、送信元の身元が正しいかを判定します。

2023年にはGoogleのメール送信者ガイドラインが更新され、1日に5,000件以上のメールを送信するドメインに対してドメイン認証が義務付けられました。これにより、今日ではビジネスメールを使用する多くのユーザが、ドメイン認証を行っています。

ドメイン認証の必要性

ドメイン認証は、インターネット上の脅威からユーザを守るために必要不可欠なシステムです。近年はフィッシング詐欺による個人情報の流出や、詐欺メールによる被害が頻発しています。

特に、ユーザに対してランサムウェアを仕掛ける手口では、偽装されたメールが入口となるケースが多く、ドメイン認証による対策の必要性が高まっています。ドメイン認証を適切に導入することで、メールの送信元を正確に識別でき、第三者によるなりすましや詐欺メールの被害を防止できます。

認証対象となるドメイン

ドメイン認証の対象となるのは、普段メールの送信に使用しているドメインやサブドメインです。ドメインを複数使用している場合は、全てのドメインで認証を行う必要があります。

また、メールの送信に使用しないドメインを所持している場合も、第三者による悪用を防ぐために、「このドメインはメールの送信に使用しません」とDNS上ドメインを保護するで認証することが推奨されています。

ドメインを認証する方法

DNSを利用してドメインを認証する方法は複数あり、それぞれ認証を行う仕組みが異なります。セキュリティを万全にするためには、複数の認証方法を組み合わせて利用することが推奨されています。

SPFを使用して認証する

SPF（Sender Policy Framework）はIPアドレスを使用した認証システムです。メールを送信する際、送信元のメールアドレスは書き換えや改ざんが行えるため、SPFによって正当なメールアドレスからメールを送信しているかどうか判断する必要があります。

SPFでは、メールの送信者があらかじめDNSサーバに「SPFレコード」と呼ばれる送信元情報を登録します。メールの受信者は、DNSサーバーに問い合わせて、送信元のメールアドレスの正当性を確認します。SPFを活用することで、メールの送信元がメールアドレスを偽装することを防止できます。

DKIMを使用して認証する

DKIM（DomainKeys Identified Mail）は、電子署名によって送信メールの正当性を証明する認証システムです。DKIMを利用することで、第三者が不当にメールデータを改ざんしていないかを確認できます。

送信者はメールの一部情報（ヘッダや本文のハッシュ値）に対して秘密鍵で電子署名を付与し、受信者はメールの情報からドメインを特定したうえでDNSサーバに署名を照合するための公開鍵の問い合わせを行います。公開鍵を取得したら電子署名の照合を行い、問題なければ正当なメールとして判定されます。

DMARCポリシーを適用する

DMARC（Domain-based Message Authentication, Reporting & Conformance）は、SPFまたはDKIMの認証でエラーが発生した場合に利用されるシステムです。

メールの送信者は、受信者が認証に失敗した場合の対応方法をあらかじめ定めておきます。これを「DMARCポリシー」といい、「検証を失敗した場合は破棄する」「メールを隔離する」などの指示を設定できます。

メールの受信者は、認証エラーが発生した際、該当メールの受信可否をDMARCポリシーで判断します。DMARCは、SPFやDKIMと組み合わせて活用することが前提のシステムです。

SSL証明書を使用したドメイン認証との違い

SSL証明書によるドメイン認証は、おもにWebサイトの実在性を証明する際に利用される認証方法です。サイトとしての正当性が証明されたWebサイトにはSSL証明書が付与され、通信内容が暗号化されます。

SSL証明書を利用したドメイン認証はWebサイト向け、SPF・DKIM・DMARCを利用したドメイン認証はメール向けという点で、両者の目的は明確に異なります。

DNSサーバ上でドメイン認証を設定する方法

ドメイン認証を行うためには、DNSサーバへ各認証方法で使用するレコードを設定する必要があります。設定を行う前に、使用している送信メールサーバがSPF・DKIM・DMARCに対応しているかどうかを確認しましょう。

設定を行う際は、SPF・DKIM・DMARCそれぞれのルールに則ったレコードを生成する必要があります。自身で考えて生成してもかまいませんが、無料のレコード生成ツールを使用する方法もあるため、必要に応じて活用してください。

設定ミスがあるとドメイン認証に失敗する原因になるため、慎重に設定することが求められます。

【ドメイン認証設定の流れ】

1. 1.DNSサーバの管理パネルを開く
2. 2.レコード設定を行うドメインを選択する
3. 3.SPF・DKIM・DMARCそれぞれのレコードを設定する
4. 4.送信メールサーバにDKIM署名設定を実施する。
5. 5.テストメールの送信を行い、問題なければ設定完了

ドメイン認証でエラーが発生した際の原因と解決方法

ドメイン認証では、さまざまな原因によってエラーが発生することがあります。エラーが発生した際は、各認証方式ごとに原因を突き止め、すみやかにエラーを解消しましょう。

SPFの認証エラー

SPFの認証エラーは、DNSに設定されたSPFレコードに送信元のIPアドレスが含まれていない場合に発生します。

例えば、新しいメーラーを追加したのに、該当のIPアドレスをSPFレコードに追記していないケースが考えられます。また、1つのドメインに複数のSPFレコードを設定した場合も、認証時にエラーが発生します。

【SPF認証エラーの原因例】

• ・SPFレコードの記述に誤りがある
• ・SPFレコードに送信元のIPアドレスを記述していない
• ・1つのドメインに対して複数のSPFレコードが設定されている

DKIMの認証エラー

DKIMエラーの多くは、DNSに公開鍵が正しく登録されていない、または署名に使用された署名時の秘密鍵と、DNSに登録された公開鍵がペアでない場合に発生します。また、メールの本文が送信途中に第三者に変更された場合も、検証に失敗します。

【DKIM認証エラーの原因例】

• ・DKIMレコードの記述に誤りがある
• ・メールの本文が何者かによって改ざんされた

DMARCの認証エラー

DMARC認証に失敗した場合は、先にDKIMやSPFの設定状況や認証状況も確認しましょう。エラーが出た場合、DKIMやSPFの認証が有効化されていないケースが考えられます。

また、DMARCポリシーの記述が正確にできていない場合や、レコード内容に不備がある場合も認証エラーが発生します。

【DMARC認証エラーの原因例】

• ・SPF・DKIMの認証が有効化されていない
• ・DMARCポリシーの記述に誤りがある
• ・サードパーティのメーラーを使用しており、DNSサーバ紐付けが行われていない

まとめ

メールアドレスのドメイン認証は、SPF・DKIM・DMARCのそれぞれの認証方法を複合的に活用することで強固に行えます。送信元のメールアドレスの正当性を証明するために、正しい方法でドメイン認証を設定しましょう。

サイバーソリューションズの「Cloud Mail SECURITYSUITEのサービス」は、メールに関するあらゆるセキュリティサービスを低コストで提供しています。社内メールのウイルス対策を検討している人は、ぜひ以下より資料をチェックしてください。

Cloud Mail SECURITYSUITEのサービス資料を受け取る