この記事は、DMARCに準拠したメールを代理で送信する方法の記事で説明した “CNAME “アプローチを発展させたものです。前提として、読者は他人の代わりにメールを送信しており、DMARCに準拠した方法でそのようなメールを送信することを望んでいます。
CNAMEベースの委任とは、ドメイン所有者が自分のドメインを指す複数のCNAMEを作成することです。完全なサブドメイン委任とは対照的に、個々のサービスは各CNAMEによって委任されます。そうすることで、どのCNAMEに関するDNSベースの質問も、解決のために自分のドメインに参照されます。以下はCNAMEを使った委任の説明と例です:
- Amazon SES – DKIM署名を有効にするためのCNAME使用ガイド
- Mandrill – カスタムReturn-PathアドレスにCNAMEを使用する
- SendGrid – ドメイン認証の設定方法
CNAMEベースのデリゲーションを利用することは、通常行っているメールの送信と同じくらい簡単です。
- メールのFrom:ヘッダーにドメイン所有者/顧客のトップレベルドメインを使用してメールを送信します。CNAMEは、DMARCのデフォルトの “alignment mode “の “relaxed “が使用されている場合、SPFとDKIMを使用してDMARCに準拠した認証を提供します。
- RFC5321.MailFromアドレス(バウンス/リターンパス/エンベロープアドレスとしても知られる)でCNAMEを使用し、既存のメールインフラを通してCNAMEアドレスのメールを受け入れることにより、CNAMEを使用してメールを送受信する(インターネット上の人々がCNAMEアドレスのドメイン宛のメールを送信できるようにする)。
- CNAMEされたサブドメインを直接管理することで、あなたが管理するサーバのみを認可する、サブドメイン用の簡潔で正確なSPFレコードを発行し、管理することができる。他の人のSPFレコードやその結果生じる混乱を避けることができます。
- CNAMEされたDKIM公開鍵レコードを直接管理することで、DKIM署名を好きなように管理することができます。CNAME’dレコードの数だけDKIM署名鍵を作成し、適当にローテーションさせることができ、顧客/ドメイン所有者との鍵の通信/管理方法を考える必要がなくなります。
この形式の委譲は、ドメイン所有者/顧客にとって、セットアップが比較的簡単で、それ以上の設定が必要なく、CNAMEのメンテナンスが容易に管理できるという利点がある。
また、CNAMEのメンテナンスも簡単に管理することができます。この形式の委任は、メールの送信方法やインフラストラクチャのメンテナンスをコントロールすることができるため、他の人の代わりにメールを送信するお客様にメリットがあります。 サーバーを移動したり、DKIMキーを交換したり、インフラを入れ替えたりしても、ドメイン所有者(お客様)は何も変更する必要はありません。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください