DMARC分析結果を見ているとSPFやDKIM認証に成功している様ですが、アライメント?のエラーDMARC認証に失敗しているものが沢山ありました。このアライメントというのはそもそも何でしょうか?また、認証を成功するにはどのような修正が必要ですか?
初心者の質問で恐縮ですが、よろしくお願いします。
ご質問ありがとうございます。DMARCのアライメントに関するご質問ですね。
まずはアライメントは何かという回答の後、対応策をご説明したいと思います。
DMARCアライメントとは
一言で言えば、アライメントとは「ユーザーが目にする送信元アドレス(ヘッダーFrom)」と「技術的な認証に使用されたドメイン」が、一致しているかを照合する仕組みのことです。
たとえ単体でSPFやDKIMの認証が「PASS」していても、このアライメントが成功しない限り、DMARC認証としては「合格」とはみなされません。これは、攻撃者が自分たちの所有するドメインでSPF/DKIM認証をパスさせ、表示上のFromアドレスだけを偽装する「なりすまし」を防ぐためです。
具体的な照合内容
- SPFアライメント: 「ヘッダーFrom」と「エンベロープFrom(Return-Path / 戻り先アドレス)」のドメインが一致しているか。
- DKIMアライメント: 「ヘッダーFrom」と「DKIM署名のドメイン(d=タグの値)」が一致しているか。
dmarcianのDetail Viewerで見るアライメントエラー
【SPFの失敗例】
dmarcianのDetail Viewerで見るとSFPのアライメントエラーはこのようになっています。
この例では、ヘッダーFromが
dmarcian.com であるのに対し、エンベロープFrom(Return-Path)は a〇〇.co.jp になっており、ドメインが一致していません。 その結果、SPF Alignmentの項目は “Fail-unaligned” となり、最終的なDMARCの判定も失敗、Action Taken(処理)は “Quarantine(隔離)” となっています。
同様にDKIMの失敗例を見て行きましょう。
こちらの例では、ヘッダーFromは dmarcian.com ですが、DKIM署名ドメイン(d=列)が test.〇〇.org となっており、不一致です。 DKIM Alignmentが “Fail-unaligned” となり、SPFと同様にDMARC認証が失敗、隔離(Quarantine)処理が行われています。
アライメントを成功させるための対応策
SPFアライメントへの対応
エンベロープFrom(Return-Path)がヘッダーFromと一致、あるいは組織ドメインを共有するように設定してください。 多くのメール配信サービスやSaaSでは、デフォルトでサービス提供元のドメインが使われるため、管理画面から「独自ドメイン利用」や「カスタムReturn-Path」の設定を行う必要があります。
一部のプロバイダーでは変更ができない場合もありますので、その際はプロバイダーへ問い合わせるか、dmarcianが運営する dmarc.io を活用して、各ベンダーのDMARC対応状況を確認してみてください。
DKIMアライメントへの対応
DKIM署名のドメイン(d=)を、ヘッダーFromと一致するように設定します。 よくあるケースとして、プロバイダー側の「デフォルト署名」が使われており、自社ドメインが署名に使われていないことが挙げられます。こちらも、各SaaSの仕様に基づき「自社ドメインでのDKIM署名」を設定してください。
最後に
アライメントの修正を終えたら、しばらくの間はモニタリングを続け、データを確認してください。SPFとDKIMのアライメントが綺麗に揃うと、管理者として非常に達成感があるものです。
DMARCの仕様上、「SPFとDKIM、どちらか一方の認証+アライメント」が成功していれば、DMARC認証は合格(PASS)となります。まずは実現可能な方から、着実にアライメントを合わせていくのが成功の秘訣です。
