SOBOO:CNAME を使用したサブドメインの委任
この記事は、「他者の代理としてDMARC準拠のメールを送信する方法」というより包括的な記事で説明されている「CNAME」の手法について、さらに詳しく解説するものです。ここでは、読者が他者の代理としてメールを送信しており、DMARCに準拠した方法でそのメールを送信したいと考えていることを前提としています。
CNAME ベースの委任とは、ドメイン所有者が、自身のドメインを指す複数のCNAME レコードを作成することを指します。完全なサブドメインの委任とは対照的に、個々のサービスはそれぞれの CNAME によって委任されます。これにより、CNAME に関する DNS ベースの問い合わせはすべて、解決のために自身のドメインに転送されます。以下に、CNAME を使用した委任に関する追加の説明と例を示します:
- Amazon SES – CNAMEを使用してDKIM署名を有効にするガイド
- Mandrill – カスタム Return-Path アドレスに CNAME を使用する
- SendGrid – ドメイン認証の設定方法
CNAMEベースの委任を利用するのは、普段通りメールを送るのと同じくらい簡単です。ただし、以下のことが可能になります:
- メールの「From:」ヘッダーに、ドメイン所有者または顧客のトップレベルドメインを使用してメールを送信します。DMARCのデフォルトの「アラインメントモード」が「relaxed」に設定されている場合、CNAMEレコードはSPFおよびDKIMを使用したDMARC準拠の認証を提供します。
- RFC 5321のMailFromアドレス(バウンス/リターンパス/エンベロープアドレスとも呼ばれる)でCNAMEを使用し、既存のメールインフラを通じてCNAME指定のメールアドレス宛てのメールを受信できるようにすることで、CNAMEを利用してメールの送受信を行います(これにより、インターネット上のユーザーがCNAME指定のドメイン宛てにメールを送信できるようになります)。
- CNAME設定されたサブドメインを直接管理することで、自身が管理するサーバーのみを許可する、簡潔かつ正確なSPFレコードを公開・維持することができます。これにより、他者のSPFレコードや、それに伴う混乱に対処する必要がなくなります。
- CNAME設定されたDKIM公開鍵レコードを直接管理することで、DKIM署名を自由に管理できます。CNAME設定されたレコードの数だけDKIM署名鍵を作成し、必要に応じてローテーションさせることができ、顧客やドメイン所有者との鍵のやり取りや管理方法を検討する手間を省くことができます。
この形式の委任は、設定が比較的簡単で、追加の設定が不要であり、CNAMEのメンテナンスも容易に管理できるため、ドメイン所有者や顧客にとって有益です。
この委任方式は、他者の代わりにメールを送信する側であるあなたにとって、メールの送信方法やインフラの管理を自由にコントロールできるという点でメリットがあります。サーバーを移行したり、DKIMキーを更新したり、インフラを刷新したりする場合でも、ドメイン所有者(つまりあなたの顧客)は設定を変更する必要がありません。
ご質問がございましたら、[email protected] までお気軽にお問い合わせください。
私たちがお手伝いします
dmarcianは、メールセキュリティの専門家チームを擁し、「ドメインセキュリティを通じてメールとインターネットの信頼性を高める」ことを使命としています。私たちは、組織が保有するドメイン群の現状評価から、DMARCの導入、そして長期的な運用管理に至るまで、手厚くサポートいたします。
