メ ー ル セ キ ュ リ テ ィ
02
A m a z o n S E S で の
各 種 設 定
Slide 14
Slide 14 text
メ ー ル セ キ ュ リ テ ィ
S P F
エンべローブFrom
と
Sender From
が一致してるか
D K I M D M A R C
DNSに公開鍵
と
Mail header from
に秘密鍵
SPFとDKIMを合わせ
て確認
Slide 15
Slide 15 text
S P F
02-a
S e n d e r P o l i c y F r a m e w o r k
Slide 16
Slide 16 text
Envelop From Header From SPF Result
amazonses.com amazonses.com pass
S P F
Amazon SES
一致してればオッケ
Slide 17
Slide 17 text
Envelop From Header From SPF Result
amazonses.com hod.htb.co.jp fail
S P F
Amazon SES
Amazon Route 53
hod.htb.co.jp
一致してないからダメ
Slide 18
Slide 18 text
S P F
Amazon SES
Amazon Route 53
hod.htb.co.jp
email.hod.htb.co.jp
TXTレコード
&
MXレコード
をRoute 53に登録
Record Name Value
TXT email.hod.htb.co.jp 10 feedback-smtp.ap-northeast-1.amazonses.com
MX email.hod.htb.co.jp "v=spf1 include:amazonses.com ~all"
コンソールからだと
ボタン一発
Slide 19
Slide 19 text
D K I M
02-b
D o m a i n K e y s I d e n t i f i e d M a i l
Slide 20
Slide 20 text
D K I M
Easy DKIM ってやつを使うと簡単!
いい感じにやってくれる
DNSサーバーに公開鍵を置いて
メールヘッダーなどにハッシュと署名とドメインを付ける
Slide 21
Slide 21 text
D M A R C
02-c
D o m a i n - b a s e d M e s s a g e A u t h e n t i c a t i o n ,
R e p o r t i n g , a n d C o n f o r m a n c e
Slide 22
Slide 22 text
D M A R C
Record Name Value
TXT _dmarc.hod.htb.co.jp v=DMARC1; p=none;
厳しくなる方向になるので、
さすがに、ちゃんと調べましょう
Amazon Route 53
今回のガイドラインに合わせるだけなら、
とっても簡単
Slide 23
Slide 23 text
D M A R C
SPFとDKIMに乗っかった仕様DMARC
そのままパスをすればいいってわけじゃない
認証だけじゃなく
アライメント
って概念が出てきます
Slide 24
Slide 24 text
D M A R C
アライメントは2種類のモード
Strict Relaxed
Slide 25
Slide 25 text
D M A R C
アライメントは2種類のモード
Strict Relaxed
SPF アライメント
SPF 認証の対象となるドメインと、ヘ
ッダーの From: アドレスに含まれる
ドメインが、完全に一致している必要
があります。
ヘッダーの From: アドレスに含まれる
ドメインが、SPF 認証の対象となるド
メインと一致しているか、そのサブド
メインである必要があります。
DKIM アライメント
関連する DKIM ドメインと、ヘッダー
の From: アドレスに含まれるドメイ
ンが、完全に一致している必要があり
ます。
ヘッダーの From: アドレスに含まれる
ドメインが、DKIM 署名の d= タグで
指定されたドメインと一致している
か、そのサブドメインである必要があ
ります。
Slide 26
Slide 26 text
D M A R C SPF/DKIMの認証とアライメントの組み合わせで結果が決まる
Slide 27
Slide 27 text
可 視 化 か ら の 対 策
03
レ ポ ー ト を 可 視 化 し て み よ う
Slide 28
Slide 28 text
D M A R C
DMARC が failした時のポリシー
p= Strict
none スルー
最初はここにしてレポート見る
(※BIMIはnoneだと使えない)
quarantine 迷惑メールに入る
reject
拒否
バウンスメール飛ぶ
最後はこれにする