この記事は、より大きな「他者を代表してDMARC準拠の電子メールを送信する方法」記事で説明されている「完全な委任」アプローチを拡張しています。前提条件として、読者が他者を代表して電子メールを送信し、それをDMARCに準拠した方法で送信したいと考えていると仮定しています。
完全な委任とは、ドメインの所有者が自分のサブドメインを設定し、そのサブドメインをあなた自身の名前サーバーにポイントさせる場合を指します。これにより、サブドメインに関するDNSベースの質問(またはそのサブドメインのサブドメインに関する質問など)は、解決のためにあなた自身の名前サーバーに転送されるようになります。
委任についての補足説明と例
- DNS委任とは何ですか?
- MicrosoftのUnderstanding Zone Delegation
- DNS Made Easyのチュートリアル「サブドメインを作成して委任する方法
委任を受け入れ、サブドメインを管理するには、独自の名前サーバーを運用する必要があります。一度設定されると、サブドメインに関連するすべてのDNSベースの質問に対応するよう、名前サーバーを構成できます。
これにより、次のことが可能になる
- メールのFrom:ヘッダーにドメイン所有者/顧客のトップレベルドメインを使用してメールを送信します。委任されたサブドメインは、DMARCのデフォルトの「alignment mode」である「relaxed」が使用されている場合、SPFとDKIMを使用してDMARC準拠の認証を提供します。
- サブドメインを使用して電子メールインフラを維持します。RFC5321.MailFromアドレス(バウンス/リターンパス/エンベロープアドレスとしても知られている)でサブドメインを使用したり、サブドメインのMXレコードを公開したりすることで、サブドメインを使用して電子メールを送受信できます(インターネット上の人々がサブドメイン宛ての電子メールの送信先を知ることができるようになります)。
- サブドメインを直接管理することで、サブドメイン用の簡潔で正確なSPFレコードを発行し、管理することができます。他人のSPFレコードに対応する必要がなくなり、その結果混乱が生じることもありません。
- サブドメインを直接管理することで、DKIM署名を好きなように管理できます。必要な数だけDKIM署名キーを作成し、適当にローテーションさせることができ、顧客やドメイン所有者とのキーのやり取りや管理方法を考えなくて済みます。
- また、委任されたサブドメインを使用して、ご自身のIPアドレスにサーバー名を付与することもできますので、ドメイン所有者/顧客の代理として送信するメールはすべて、徹底的に “ホワイトラベル化 “されます。
この形式の委任は、セットアップが非常に簡単で、それ以上の設定は必要なく、委任されたサブドメインのメンテナンスも簡単に管理できるため、ドメイン所有者/顧客にメリットがあります。
また、委任されたサブドメインのメンテナンスも簡単に管理することができます。このような委任形態は、メールの送信方法やインフラストラクチャのメンテナンス方法を完全にコントロールすることができるため、他の人に代わってメールを送信するお客様にメリットがあります。 サーバーを移動したり、DKIMキーを交換したり、インフラを入れ替えたりしても、ドメイン所有者(お客様のお客様)は何も変更する必要はありません。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
