昨年、偽メールは企業や人々に100億ドル以上の損害を与えた。3秒に1回、誰かがフィッシング・メールをクリックしている。このような攻撃が起こるのは、電子メールには「誰でも他人のふりをすることができる」という大きな問題があるからです。
Eメールを送信する際、それが本当にあなたからのものであることを証明する方法は組み込まれていません。詐欺師はこの弱点を利用して、毎日何百万通もの偽メールを送っています。彼らは銀行や企業、あるいはあなたの上司のふりをしています。
適切な保護がなければ、メールプロバイダーは本物のメールと偽物のメールを見分けることができません。SPF、DKIM、DMARCはこの問題を解決します。SPF、DKIM、DMARCは、あなたが送信するすべてのメールに対する3つのIDチェックだと考えてください。
この記事では、DMARC、SPF、DKIMがどのように連携して送信メールを検証し、メッセージが常に届くようにするのかを説明します。
SPF、DKIM、DMARCは本当に必要ですか?
そう、この3つすべてが必要なのだ。これがもうオプションではない理由がここにある。
2024年2月から、グーグルとヤフーは、1日に5,000通以上のメールを送信する人に、これらのプロトコルを義務付けた。しかし、たとえ月に10通しかメールを送らないとしても、認証は必要です。適切なメール認証がなければ、正当なメールの最大76%がスパムフォルダに振り分けられたり、完全に拒否されたりする可能性があります。
数字が語るのは恐ろしい話だ。FBIの「2024年インターネット犯罪報告書」によると、ビジネスメール詐欺(BEC)の被害額は昨年だけで29億ドル。これは米国内だけの話だ。このような攻撃が行われるのは、ほとんどのドメインがいまだに適切なEメールセキュリティを使用していないためです。
SPF、DKIM、DMARCが設定されていないと、犯罪者はあなたからのメールとそっくりのメールを送ることができます。SPF、DKIM、DMARCのそれぞれの役割と、どれを欠いてもいけない理由を説明します:
- SPFはサーバーのなりすましを防止します。 SPFは、あなたのドメインのメール送信を許可するサーバーのリストを作成します。しかし、SPFはメールが転送されると壊れてしまいます。これが第一の問題だ。
- DKIMは署名を追加します。 すべてのメールには、変更されていないことを証明する一意の暗号化された署名が付与されます。しかし、DKIMだけでは、誰かがあなたのドメイン名を使うのを止めることはできません。これが2つ目の問題だ。
- DMARCはすべてをつなぐ。DMARCは、SPFやDKIMが失敗したときにどうすべきかを受信サーバーに指示する。DMARCがなければ、他の2つはサーバーが無視できる提案に過ぎない。
結論は?メール認証は、ルールに従うことやスパムフォルダを避けることではありません。あなたのビジネス、評判、そしてあなたのメールを信頼するすべての人を守ることなのです。
SPF、DKIM、DMARCレコードはどこに追加しますか?
SPF、DKIM、DMARCの設定は、見る場所がわかれば15分ほどで完了します。この3つはすべて、ドメインのDNS設定でTXTレコードとして追加されます。ウェブサイトのネームサーバーやその他のレコードを管理するのと同じ場所です。
DNSレコードの検索は30秒で完了します:
- ドメイン+ホスティングを一緒に購入した場合: ホスティングアカウント(Bluehost、SiteGround、HostGatorなど)にログインします。コントロールパネルで「DNS Zone Editor」または「DNS Management」を探してください。
- 別々に購入した場合 ドメインレジストラ(GoDaddy、Namecheap、Google Domains)にアクセスします。ドメインのダッシュボードで「DNS設定」または「DNS管理」を見つけます。
- Cloudflareなどを使用している場合: Cloudflareのダッシュボードにアクセスし、ドメインを選択し、左メニューの「DNS」タブをクリックします。以下はCloudflareの例です:
セットアップの順番は重要である(ほとんどの人はこれを間違えている):
まずSPFを追加→1時間待つ→DKIMを追加→1時間待つ→DMARCを追加
なぜこのオーダーなのか?
DMARCはSPFとDKIMが機能しているかどうかをチェックします。DMARCを先に追加すると、即座に失敗し、メールがブロックされる可能性があります。多くのプロバイダーは、SPFが検証を通過するまでDMARCを追加することさえ許可しません。
実際に加えるもの
- SPF: "v=spf1 "で始まる1つのTXTレコード(所要時間2分)
- DKIM: 長い文字列のTXTレコードが1つまたは2つ(3分かかる)
- DMARC: "_dmarc.yourdomain.com "に1つのTXTレコード(2分かかる)
働くまでの時間:
- SPF: 5~30分で有効
- DKIM: 1-4時間でアクティブになる
- DMARC: 1-24時間以内にアクティブになる(ただし、SPF/DKIMが先に動作する必要がある)
すべてを壊してしまう、よくあるセットアップの間違い:
- SPFレコードを2つ持つ(1つにまとめる)
- DKIMセレクタ名が間違っている(メールプロバイダーの正確なフォーマットを確認してください)
- DMARCをp=rejectで開始する(常にp=noneで開始し、その後p=noneを増やす)
- 間違ったサブドメインにレコードを追加する
- レコード値に余分なスペースや引用符がある
セットアップ後のクイックテスト:
Gmailにテストメールを送信し、メッセージのヘッダーを確認します(3つの点をクリックし、Show originalをクリックします)。以下の行を探してください:
- SPF: パス
- DKIM: PASS
- DMARC: PASS
DMARC、SPF、DKIMとは?
DMARCとは?
DMARCは、ドメインのなりすましを防止し、不審な動きが検出された場合にメールレポートを生成するのに役立つ。DMARCとは、Domain-based Authentication, Reporting, and Conformanceの略で、そのヒントは名前の一部にある。
基本的なレベルでは、DMARCレコードはSPFレコードとDKIMレコードの間の接着剤として機能します。そして3つのことを行います:
- SPFとDKIMを調べることで、送信IPとそのドメインの認証済み送信者を比較します。このように、これら3つのレコードがすべて連携して、WordPressのメールがスパムに流れるのを阻止しているのです。
- このチェックが失敗した場合、メールサーバーに何をすべきかを指示する。例えば、メールは拒否されたり、隔離されたりする。
- DMARCは、適切に認証されていないメールを検出した場合、メールレポートを生成することもできます。DMARCレコードでは、これらのレポートを受け取るメールアドレスを指定することができます。レポートはXMLファイルとして送信されます。
DMARCレポートが届いても、ご心配なく。DMARCレコードは本来の役割を果たしています。誰かがあなたのドメインを悪用してスパムを送信しているサインかもしれないので、レポートを無視しないことが重要です。内容を理解するのに助けが必要な場合は、メールサービスプロバイダにレポートを転送することができます。
DMARCレコードの追加方法
メールプロバイダーが特定のDMARCレコードを提供している場合は、それをDNSに追加する必要があります。プロバイダーが何を含めるべきか教えてくれない場合は、DMARCレコードとは何か、どのように作成するかについての記事をご覧ください。この記事には、コピー&ペーストできる一般的なDMARCレコードが含まれています。
唯一の時間は ダメダメ DMARCが必要なのは、あなたが管理していないドメインから送信する場合です。例えば @gmail.com メールアドレスにはDMARCは必要ありませんが、カスタムドメイン名のGoogle Workspaceアカウントには必要です。
SPFとは何か?
SPFレコードはDNSのTXTレコードです。この名前はSender Policy Frameworkの略です。SPFは、IPアドレスが送信ドメインからのメール送信を許可されているかどうかをチェックする役割を担っています。これは、手紙の返送先住所のようなものです。
SPFレコードがない場合、WordPressのメールはスパムとしてマークされる可能性が高いです。場合によっては破棄されることもあります。
例えば、GmailはSPF認証のないメールをブロックします。つまり、SPFレコードの欠落は、WordPressがメールを送信できない一般的な原因です。
実際、WordPressは何の問題もなくメールを生成 し、送信しているかもしれない。しかし、メールを検証するためのSPFレコードがないため、そのメールは破棄されている可能性が高い。
複数のSPFレコードを使用しない
SPFレコードを作成することは重要であり、プロバイダーはDNSに何を追加すればよいかを指示してくれる。
その際、ドメインにSPFレコードを1つだけ持つことも重要なので、まず既存のルールがないかチェックすることを念頭に置いてください。
例えば、メールマーケティングプロバイダー用のSPFレコードをすでに作成しているとします。例えば、メールマーケティング用のSPFレコードを作成済みで、トランザクション用のSPFレコードを追加したい場合、これらのSPFレコードを1つにまとめる必要があります。
最も簡単な方法は、複数のSPFレコードをマージする方法のガイドをご覧ください。
DKIMとは?
DKIMレコードは、キーを使用してドメインを検証する役割を担っています。DomainKeys Identified Mailの略です。
DKIMの主な目的は、送信者と受信者の間でコンテンツが変更されていないことを証明することです。つまりDKIMは、送信する各メールに自分の署名をつけるようなものです。
DNSには、DKIMレコードの一部分である公開鍵があります。そしてメールサーバーは、それに一致する秘密鍵を保持しています。この2つの鍵を比較することで、メールサーバーはそのメールが本当にあなたから送られたものかを確認することができます。
その後、DMARCレコードがこの検証をチェックし、メールが正当かどうかを判断する。
DKIMレコードの追加方法
DNSにDKIMレコードを追加するには、メールプロバイダに連絡して、何を含めるべきかを確認する必要があります。ほとんどのプロバイダーは、設定マニュアルにその手順を記載しています。
WP Mail SMTPを使用している場合は、サポートされているすべてのメールプロバイダの詳細な手順もあります:
| すべてのバージョンで利用可能なメーラー | WP Mail SMTP Proのメーラー |
|---|---|
| SendLayer | アマゾンSES |
| SMTP.com | マイクロソフト365 / Outlook.com |
| Brevo(旧Sendinblue) | Zohoメール |
| Googleワークスペース / Gmail | |
| メールガン | |
| 消印 | |
| センドグリッド | |
| スパークポスト | |
| その他のSMTP |
DKIMレコードを2行に分割する必要がある場合があります。DKIMレコードを分割する方法を説明したガイドがあります。
最後に、WordPressでDNSレコードをチェックする簡単な方法を見てみよう。
WP Mail SMTPでDMARC、SPF、DKIMをチェックする方法
WordPressからメールを送信する場合、DMARC、SPF、DKIMがドメイン上で正しく設定されていることを確認したいでしょう。WP Mail SMTPはこれを簡単にします。
WordPressのメールが機能していることを確認するために、いつでもテストメールを送信することができ、同時にこれら3つの重要なDNSレコードもチェックされます。
プラグインがDNSレコードの欠落や破損を検出した場合、すぐにお知らせします。
また、安心のために、サイトヘルス画面にドメインチェッカーのアラートが表示されます。以上です!これで、DMARC、SPF、DKIMがどのように連携してメール配信性を向上させるかがお分かりいただけたと思います。
SPF、DKIM、DMARCレコードに関するFAQ
DNSレコードとメール配信について、さらにご質問がおありですか?下記をご覧ください。
DMARCレコードの作成方法は?
DMARCレコードをコピー&ペーストして、ドメインのDNSゾーンに追加できます。DMARCレコードを作成し、ドメインに追加する方法については、DMARCレコードの例がガイドにあります。
WordPressとWP Mail SMTPにSPFレコードを追加するには?
まず、ドメインプロバイダー(GoDaddyやNamecheapなど)のDNS設定を確認します。ドメイン名をホストとして新しいTXTレコードを追加します。値には、"v=spf1 "で始まり、あなたのメールサーバーを含めます。
WP Mail SMTPの場合、正確なレコードはどのメーラーを選ぶかによって異なります。SendLayer使う場合は、"v=spf1 includesendlayer.net ~all "を追加します。Gmailの場合は"v=spf1 include:_spf.google.com ~all"。
多くの人が犯す間違いとは?SPFレコードを2つ追加すること。SPFレコードは1つだけです。複数のサービスが必要な場合は、次のように組み合わせてください:"v=spf1 includesendlayer.net include:_spf.google.com ~all"。レコードを保存し、約15分待ちます。これで完了だ。
なぜWP Mail SMTPはDKIM設定が必要なのですか?
WP Mail SMTPがDKIMを必要とするのは、WordPressがそれ自体で電子メールに署名しないからです。WordPressでメールを送信すると、署名されていない状態で送信されます。Gmailのようなメールプロバイダーは、署名されていないメールはたとえ本物であっても疑わしいと見なします。
DKIMは、あなたが送信するすべての電子メールに特別な署名を追加します。古い手紙の封蝋のようなものです。この署名は、そのメールが本当にあなたのウェブサイトから来たものであること、そして途中で誰も変更しなかったことの2点を証明します。
DKIMがないと、WordPressのメールの約30%がスパムフォルダに入る可能性があります。DKIMがあれば、配信率は95%以上に跳ね上がります。このプラグインはDKIMのセットアップを簡単にします。あなたのためにキーを生成し、DNSに追加するものを正確に教えてくれます。
WP Engineのホスティングで使用するSPFレコードは何ですか?
WP Engineの場合は、次のSPFレコードを使用します:"v=spf1 include:mail1.wpengine.com ~all"
ホスティングにWP Engineを使用しているが、別のサービスを通じてメールを送信している場合、代わりにそのサービスのSPFが必要になります。多くのWP EngineユーザーはSendGridやMailgunを通してメールを送信しています。その場合、WP EngineのSPFレコードではなく、それらのSPFレコードを使用することになります。
両方必要な場合は、組み合わせてください:"v=spf1 include:mail1.wpengine.com include:sendgrid.net ~all"。これをDNSのTXTレコードとして追加します。WP Engineのコントロールパネルには追加しないでください - ドメインレジストラのDNS設定に追加します。
SPFとDKIMの両方を使わずにDMARCを使うことはできますか?
はい、DMARCはどちらか一方だけでも機能しますが、危険です。DMARCは、SPFかDKIMのどちらかがパスし、あなたのドメインと一致すればパスする。つまり、技術的には1つだけあればいいのです。
しかし、それがなぜ良くないのか、ここに理由がある:SPFはメールが転送されると壊れてしまいます。DKIMは、メールサービスがメッセージを変更すると壊れる可能性があります。DMARCが1つしかなく、それが壊れている場合、DMARCは完全に失敗します。あなたのメールは拒否されます。
SPFだけに頼っていたために、何千ドルもの損失を被った企業を見てきた。顧客が請求書を経理に転送したところ、SPFが破られ、請求書が届かなかったのだ。SPFとDKIMの両方から始め、DMARCを追加する。全部で20分程度で済み、後で大きな頭痛の種を避けることができる。
SPF、DKIM、DMARCの違いは?
SPFは、あなたのドメインにメールを送ることを許可されたサーバーのリストです。つまり、"これらの郵便局だけが私のメールを送ることができる "と言っているようなものだ。問題は?SPFはサーバーをチェックするもので、実際の送信者をチェックするものではありません。
DKIMはメールが変更されていないことを証明する署名です。各メールには一意の暗号化されたスタンプが押されます。しかしDKIMは、誰かがあなたのドメイン名を別のサーバーで使うことを止めることはできません。
DMARCは、SPFまたはDKIMが通過したかどうかをチェックし、失敗した場合にどうすべきかを受信サーバーに指示するボスである。DMARCがなければ、他の2つは単なる提案に過ぎない。サーバーはそれらを無視することができる。
SPFは誰が送信できるかを示し、DKIMはメールが本物であることを証明し、DMARCはルールを強制します。この3つが必要なのは、それぞれが他のものが見逃しているものを修正するからです。
SPF、DKIM、DMARCが正しく機能しているかどうかをテストするには?
あなたが管理しているGmailアカウントにテストメールを送信します。メールが届いたら、メールを開き、3つの点のメニューをクリックします。Show original」を選択すると、技術的な詳細が表示されます。
この3本の線に注目してほしい:
- SPF: PASS (あなたのドメインで)
- DKIM: PASS (あなたのドメインで'header.d'を表示する)
- DMARC: PASS
FAILと表示されたものがあれば、問題がある。SPFの失敗は、サーバーの設定が間違っていることを意味します。DKIMの失敗は、DNSレコードまたはキーが間違っていることを意味します。DMARCの失敗は、SPFとDKIMが「From」ドメインと一致しない場合に起こります。
迅速なテストのために、WP Mail SMTPのメールテスト機能を使用することができます。任意のテストアドレスにメールを送信し、即座に結果を得ることができます。
SPFとDKIMの両方で認証する必要があるのか、それとも片方だけでいいのか?
技術的には、基本的な認証は1つで十分ですが、両方を設定する必要があります。グーグルとヤフーは、毎日5,000通以上のメールを送信する場合、両方の認証を要求している。しかし、小規模の送信者であっても、両方を使用することは有益である。
1つだけだとどうなるか:SPFだけでは、誰かがあなたのメールを転送したときに失敗します。DKIMだけでは、どのサーバーがメールを送信したかを証明できません。DKIMとSPFの両方がある場合、どちらか一方が失敗しても、メールは転送されます。
実際の例:あるクライアントはSPFしか持っていなかった。ニュースレターは、購読者が友人に転送し始めるまではうまく機能していた。転送されたメールはすべてバウンスバックしました。DKIMを追加するとすぐに直りました。
WordPressでDMARCの失敗を修正するには?
WordPressでDMARCが失敗するのは、たいてい「From」アドレスがあなたのドメインと一致しないためです。WordPressのデフォルトは "[email protected] "ですが、あなたのサイトは "[email protected] "から送信しているかもしれません。これはミスマッチです。
WP MailのSMTP設定で修正してください。送信元メールアドレス」を独自ドメインのアドレスに設定してください。決してGmailやYahoo、その他のフリーメールアドレスを送信者として使用しないでください。次に、SPFレコードに実際のメールサーバーが含まれていることを確認してください。SMTP.comを使用している場合、SPFレコードには "include:smtp.com "が必要です。
DKIMが有効で、DNSレコードが正しいことを確認してください。セレクタ(通常は "default "またはサービス名)は正確に一致しなければならない。1文字でも間違えるとすべてが壊れてしまいます。
次に、PTRレコードをチェックする
DNSをチェックするついでに、PTRレコードもチェックしておくとよいでしょう。PTRレコードは特殊なタイプのレコードで、スパムを防ぐ役割も果たしています。詳しくは、PTRレコードとは(そしてPTRレコードは必要か)の記事をご覧ください。
メールを修正する準備はできていますか?最高のWordPress SMTPプラグインで今すぐ始めましょう。メールを修正する時間がない場合は、追加購入としてWhite Glove Setupのフルサポートを受けることができます。
この記事がお役に立ちましたら、Facebookや TwitterでWordPressのヒントやチュートリアルをご覧ください。
