メインコンテンツへスキップ
SOBOO:サブドメインの完全委任

SOBOO:サブドメインの完全委任

導入技術ガイダンス

「他者に代わって送信する(SOBOO)」シリーズの一部

この記事では、より包括的な記事『他者の代理としてDMARC準拠のメールを送信する方法』で説明されている「完全委任」アプローチについて詳しく解説します。ここでは、読者が他者の代理としてメールを送信しており、DMARCに準拠した方法でそのメールを送信したいと考えていることを前提としています。

完全委任とは、ドメイン所有者が自身のサブドメインの1つを、あなたのネームサーバーを指すように設定することです。これにより、そのサブドメイン(およびそのサブドメインのさらに下位にあるすべてのサブドメイン!)に関するDNSクエリは、解決のためにあなたのネームサーバーに転送されるようになります。

委任に関する補足説明と具体例:

委任を受け入れ、サブドメインを管理するには、独自のネームサーバーを運用する必要があります。設定が完了したら、サブドメインに関連するDNSクエリに対して応答するように、ネームサーバーを設定できます。

これにより、以下のことが可能になります:

  • メールの「From:」ヘッダーに、ドメイン所有者または顧客のトップレベルドメインを使用してメールを送信します。委任されたサブドメインは、DMARCのデフォルトの「アラインメントモード」が「relaxed」に設定されている場合、SPFおよびDKIMを使用したDMARC準拠の認証を提供します。
  • サブドメインを使用してメールインフラを維持します。RFC 5321のMailFromアドレス(バウンス/リターンパス/エンベロープアドレスとも呼ばれる)にサブドメインを指定し、サブドメインのMXレコードを公開することで(インターネット上のユーザーが、そのサブドメイン宛てのメールをどこに送信すべきか分かるようにするため)、サブドメインを使用してメールの送受信を行うことができます。
  • サブドメインを直接管理することで、自身が管理するサーバーのみを許可する、簡潔かつ正確なSPFレコードを公開・維持することができます。これにより、他者のSPFレコードや、それに伴う混乱に対処する必要がなくなります。
  • サブドメインを直接管理することで、DKIM署名を自由に設定できます。必要な数のDKIM署名キーを作成し、適宜ローテーションさせることができ、顧客やドメイン所有者との間でキーのやり取りや管理方法を調整する手間を省くことができます。
  • 委任されたサブドメインを使用すれば、ご自身のIPアドレスにサーバー名を割り当てることも可能です。これにより、ドメイン所有者や顧客に代わって送信するすべてのメールが、完全に「ホワイトラベル」化されます。

この委任方式は、設定が非常に簡単で、追加の設定も不要であり、委任されたサブドメインの管理も容易であるため、ドメイン所有者や顧客にとって有益です。

この委任方式は、他者の代わりにメールを送信する側であるあなたにとって、メールの送信方法やインフラの管理を完全に制御できるという点でメリットがあります。サーバーを移行したり、DKIMキーを更新したり、インフラを交換したりする場合でも、ドメイン所有者(あなたの顧客)は設定を変更する必要がありません。

ご質問やご意見がございましたら、[email protected] までお気軽にお問い合わせください。

私たちがサポートします
メールセキュリティのエキスパート集団であるdmarcianは、「ドメインセキュリティを通じて、メールとインターネットをより信頼できるものにする」というミッションを掲げ、お客様の組織のドメイン状況を評価し、長期にわたってDMARCの実装と管理をサポートいたします。


さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。