送信ドメイン認証
【参考】
- DNSレコードの登録ルールにつきましては、「DNSレコードの登録ルール(バリデーションルール)」もご参照ください。
DNSアウトソースサービスでは、TXTレコードにSPFレコードまたはDKIMレコードを登録することにより、送信ドメイン認証が利用できます。
DNSアウトソースサービスで利用できる送信ドメイン認証は以下のとおりです。
- SPF(Sender Policy Framework)
送信元メールアドレスのドメイン名と、メールを送信するメールサーバの情報(送信サーバの情報)の整合性を確認することにより、メールが正当なメールサーバから送信されたかどうかを判別する技術です。送信サーバの情報は、DNSサーバのTXTレコード(SPFレコード)に登録します。SPFの仕様は、RFC4408で標準化されています。 - DKIM(DomainKeys Identified Mail)
メール送信時に秘密鍵で署名を行い、メール受信時に公開鍵で署名を検証することにより、正当なメールであるかどうかを判別する技術です。公開鍵は、DNSサーバのTXTレコード(DKIMレコード)に登録します。 DKIMの仕様は、RFC4871及びRFC5672で標準化されています。 - ADSP(Author Domain Signing Practice)
DKIMの機能の1つです。メール受信時にDKIM署名が有効ではない(認証結果のスコアが「dkim=pass」ではない)メールの取り扱いを、メールの送信者側が設定できます。DKIM-ADSPの仕様は、RFC5617で標準化されています。
1.IIJサービスオンラインのURLにアクセスします。
- IIJサービスオンラインのURLは「https://help.iij.ad.jp/」です。
IIJサービスオンラインのログインページが表示されます。
2.「マスターID」及び「マスターパスワード」を入力し、「ログイン」ボタンをクリックします。
- マスターID及びマスターパスワードは、『IIJインターネットサービス登録完了のお知らせ』に記載されています。
IIJサービスオンラインの「HOME」ページが表示されます。
3.「設定と管理」>「サービスの設定と管理」>「DNSアウトソース」を選択します。
「DNSアウトソースサービス」ページが表示されます。
4.DNSレコードを編集するサービスコードを選択します。
選択したサービスコードの「サービストップ」ページが表示されます。
5.「DNSレコードの編集」を選択します。
「DNSレコードの編集」ページが表示されます。
6.TXTレコードに以下の例のように入力します。
操作方法は、「DNSレコードを操作する」または「DNSレコードを一括で編集する」をご覧ください。
SPFの設定例
送信元メールサーバが「192.168.XXX.XXX」のネットワークからメールを送信する場合の例:
"v=spf1 ip4:192.168.XXX.XXX/24 ~all"
送信元メールサーバの情報が他のTXTレコード(SPFレコード)(例:spf.example.jp)に登録されている場合の例:
"v=spf1 include:spf.example.jp ~all"
複数の include を利用する場合の例:
"v=spf1 include:spf1.example.jp include:spf2.example.jp ~all"
ip4 や a などの他の機構を含めて登録する場合の例:
"v=spf1 ip4:xxx.xxx.xxx.xx a:mta.example.jp include:spf.example.jp ~all"
example.jpからメールを送信しないドメイン名の場合の例:
example.jp. IN TXT "v=spf1 -all"
DKIMの設定例
送信ドメイン(例:example.jp)のDNSにDKIM用の設定を追加する場合の例:
<セレクタ>._domainkey.example.jp. IN TXT "v=DKIM1; k=rsa; p=<公開鍵>"
左辺には、「selector.(ドット)_(アンダライン)domainkey.ご契約ドメイン」を設定します。
送信ドメイン(例:example.jp)のDNSにADSPレコードを記述する場合の例:
_adsp._domainkey.example.jp. IN TXT "dkim=<ADSPレコード値>"
左辺には、「_(アンダライン)adsp.(ドット)_(アンダライン)domainkey.ご契約ドメイン」を設定します。
ADSPレコード値には、以下のいずれかを設定します。
ADSPレコード値 意味 dkim=unknown DKIM署名していないメールも送信している dkim=all 送信するメールはすべてDKIM署名している dkim=discardable DKIM署名されていないメールまたは不正な内容のDKIM署名がされているメールが届いた場合は、すべて破棄してよい
- TXTレコードをSPFレコードとして利用する場合は、右辺全体の文字数を約450文字以内で設定してください。右辺全体の文字数が多すぎると、DNSの応答メッセージが正しく届かない可能性があります。文字数が多い場合は、includeなどを使用してください。
- SPF及びDKIMの導入により、直ちに迷惑メールがなくなるものではありません。
- IIJのメールサービス(IIJポストオフィスサービス及びIIJセキュアMXサービス)における送信ドメイン認証については、IIJサービスオンライン(https://help.iij.ad.jp/)にログインして、各サービスの詳細情報をご覧ください。
- DNSアウトソースサービスでは、SPFレコードの記述内容およびご利用されることによる影響につきましては、お客様の運用方法等により異なりますので、サポートいたしておりません。ご了承ください。