treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

DMARCの導入ができたので実際にメール送信し確認してみる

サーバ セキュリティ 運用管理

前回<DMARCの導入までの作業概要を記録しておく - treedown’s Report>までで、メールサーバやDNSサーバ(のTXTレコード)を設定し、既存のSPFの他にDKIMやDMARCの有効化を実施してみました。これが有効になったことを確認するために、実際にメール送信し確認してみます。

ドコモメールで表示を確認

今回の発端となったドコモメールでの表示を確認してみます。

この表示が問題でした。

DMARCの導入後に送信されたメールには、前述の「このメールは送信ドメイン認証が行われておりません」表示が消えています。

この警告表示がなくなったメールのヘッダ情報を確認すると、

このようにすべての「認証結果」欄が「OK」となっており、以前のようにNG項目がなくなっていました。

ちなみに,DKIM認証に対応した後にドコモメールに送信してみたメールでは、

このようになっていました。DMARCの導入までが完了しているかをステップ毎に確認できるので、ドコモメールに送信して判定するというのは結構良いかもしれません。

ヘッダ情報を確認してみる

ドコモメールでヘッダ情報を確認してみました。

ヘッダ情報は、受信したメールが選択されている状態で、メニューバーの「その他」から表示されるメニューの「ドメイン認証説明」という箇所をクリックして選択することで、警告がないメールでもメールヘッダや認証情報の検証結果を確認する画面を開くことができます。

このヘッダ情報から、「Authentication-Results: docomo.ne.jp;」の行に続いて、DKIMの情報が確認できました。

「DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=hoge.co.jp;
 s=dkim; t=0000000000;」
以降の行でDKIM認証が有効になっている公開鍵データが表示されていることが見て取れます。

また、DMARCの導入後のヘッダ情報では(「Authentication-Results:」以降の行で)

「dmarc=pass header.from=hoge.co.jp dmarc_spf=pass dmarc_dkim=pass aspf=relaxed adkim=relaxed;」

と新たに設定されたDMARCレコードの有効化がヘッダ情報にも反映されていることが確認できました。
これは以前(DMARCの有効化前までは)

「dmarc=none header.from=hoge.co.jp dmarc_spf= dmarc_dkim= aspf= adkim=;」

だった表記が「dmarc=pass」となっていることからもDMARCが正常に有効化され、警告表示が抑制されたことが実感できました。

Gmailで確認してみる

ドコモメールで表示が抑制されたことである程度DKIMやDMARCの導入が正常に完了した実感は持てたものの、確認作業というのは二重でやっておいても損はありません。

元々SPFが有効だったのが、DKIMの設定後に有効化されてgmailで受信したメールでは以下のようになっていました。

DKIMの項目が「PASS」として増えて、ヘッダ情報はDKIM-Signature行が記録されるようになり、公開鍵データの記録がメールヘッダに挿入されるようになりました。
※ヘッダ内の「Authentication-Results: mx.google.com;」部分以降がDKIMに関する記述です。

       dkim=pass header.i=@hoge.co.jp header.s=dkim header.b=VNtvXxxxx;
       spf=pass (google.com: domain of mailuser@hoge.co.jp designates 000.xxx.xxx.000 as permitted sender) smtp.mailfrom=mailuser@hoge.co.jp

この記述付近にあった「Received-SPF: pass」と併せて、gmailでもSPFレコードとDKIM認証の有効化が実施されていることがヘッダから確認できました。

さらにDMARCを有効化したあとのgmailのヘッダ情報では、

このように「アライメント」という項目で指摘されていた箇所が「DMARC: PASS」に置き換わっており、必要な三種の認証が全て完了できていることが分かります。

※アライメントってなに?⇒アライメント、というのは、ヘッダのFromにあるアドレスが、各レコードの(SPFとかDKIMとかで指定した)ドメインと一致するかどうかの判定結果です。

ヘッダ情報の記載でも「Received-SPF: pass」以降にある「Authentication-Results: mx.google.com;」記述以降に

       dkim=pass header.i=@hoge.co.jp header.s=dkim header.b=VJ9XX000;
       spf=pass (google.com: domain of mailuser@hoge.co.jp designates 000.xxx.xxx.000 as permitted sender) smtp.mailfrom=mailuser@hoge.co.jp;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=hoge.co.jp

と、「dmarc=pass」行が新たに加わり、動作ポリシーである「p=NONE sp=NONE」の表記がヘッダ情報に記録されていることが分かります。

この表記があることで、ドコモメール同様にgmailでもSPF/DKIM/DMARCの三種が全て認識されていることが確認できました。

いったん対処完了

ここまでで、いったん対処完了としました。

ただ、今後DMARCのポリシーがp=noneから「quarantine(隔離)/reject(拒否=破棄)」ポリシーへ追々移行していったり、サブドメインは個別にしているのをドメイン内で統一したポリシーでDMARCが有効になるようにサブドメイン環境でも対応を進めていったり、今回のをスタートとして徐々に進めて行くことはありそうです。