完全なDKIM、DMARC、およびSPF構文

少し前まで、ドメインのDKIM、DMARC、SPFレコードを登録しました。 これらはすべてのレコードの完全な構文をどこにも見つけることができなかったため、これは思ったよりも複雑でした。 次に、 Yana Lynovaと一緒に資料を収集しました。 実際、この記事はHabrのいくつかの記事を補足します（以下にリンクがあります）。

必要なレコードを登録するには、DNSにアクセスする必要があります。 DNSはドメインネームシステムの略です。 通常、会社の管理者、または極端な場合にはプログラマーは会社のDNSにアクセスできます。 それらの場合、DNSにレコードを追加できるTORを作成する必要があります。

それでは、DKIMとは何ですか？

DKIM（Domain Keys Identified Mail）は、送信者の信頼性を検証し、配信されたメッセージの整合性を保証するデジタル署名です。 署名はレターのサービスヘッダーに追加され、ユーザーには表示されません。 DKIMは、パブリックとプライベートの2つの暗号化キーを保存します。 秘密キーを使用して、すべての送信メールのヘッダーが生成され、公開キーはTXTファイルとしてDNSレコードに追加されます。

DKIM検証は、受信者側で自動的に行われます。 メッセージ内のドメインがメッセージの送信を許可されていない場合、受信者のポリシーに応じて、メッセージに疑わしいまたはスパムのマークが付けられる場合があります。

複数のDKIMレコードが存在する場合があります。たとえば、マンドリルサービスを同時に使用し、Gmail経由でレターを送信する場合、異なるセレクターを持つ2つのDKIMレコードがあります。

DKIM構文

必須要素：

「V」はDKIMのバージョンであり、常に値v = DKIM1を取ります。
「K」はキータイプで、常にk = rsaです。
「P」は、base64でエンコードされた公開キーです。
オプション要素：
"T = y" -テストモード。 結果を追跡するためにのみ必要です。
「T = s」 -レコードが属するドメインにのみ使用されることを意味します。 サブドメインが使用されている場合は推奨されません。
「H」は優先ハッシュアルゴリズムであり、値「h = sha1」および「h = sha256」を使用できます。
「S」は、DKIMを使用するサービスの一種です。 値は「s = email」 （電子メール）と「s = *」 （すべてのサービス）です。 デフォルトは「*」です。
「;」 -セパレータ。

さらに、署名のない文字をどうするかを指示するオプションのエントリを作成できます。

ここで、 「すべて」 -署名されていないメッセージの送信は禁止されています。 「破棄可能」 -署名されていないメッセージはすべて受信者側でブロックする必要があります。 「不明」 -署名されていないメッセージの送信が許可されます（デフォルト値）。

UPD：adspは2013年に廃止されました。

一部のホスティングプロバイダーは、255または200文字を超えるドメインレコードをサポートしていないことに注意してください。 この場合、翻訳で改行する必要があります。 ただし、ホスティング会社によってはこれが機能しない場合は、ホスティングサポートに連絡して事前に確認してください。

一部のホスティング会社は、すべてのレコードの見積もりを独自に作成しますが、このサポートについて質問したり、ドメインの他のTXTレコードが存在する場合はそれと類推することもできます。

ここで DKIMをチェックしてください 。

SPF

SPF（Sender Policy Framework）は、ドメインからメールを送信できるサーバーに関する情報を含む署名です。 SPFが存在することで、メッセージがスパムになる可能性が低くなります。

1つのドメインに対して1つのSPFレコードしか存在できないことに注意してください。 1つのSPFのフレームワーク内には、複数のレコードが存在する可能性があります（たとえば、複数のESPから文字が送信される場合-可能性は低いですが、それでも後の例があります）。 サブドメインには独自のレコードが必要です。

SPFレコードの例：

SPF構文

「V = spf1」-SPFバージョン、必須パラメーター、常にspf1、他のバージョンは機能しません。
「+」 -文字を受け入れます（デフォルト）。
「-」 -拒否。
「〜」 -「ソフト」拒否（手紙は受け入れられますが、スパムとしてマークされます）;
「？」は中立的な態度です。
「Mx」 -ドメインのMXレコードで指定されたすべてのサーバーアドレスが含まれます。
「Ip4」 -特定のIPアドレスまたはアドレスのネットワークを指定できます。
「A」は、AレコードのIPアドレスです。
「含める」 -指定したドメインのSPFレコードで許可されたホストを含​​めます。
「すべて」 -SPFレコードにリストされていない他のすべてのサーバー。
「Ptr」 -送信者のIPアドレスのPTRレコードを確認します（PTRレコードが指定されたドメインに向けられているすべてのIPアドレスへの送信が許可されます）（ RFC 7208による使用は推奨されません）。
「存在する」 -ドメイン名のヘルスチェックが実行されます。
「リダイレクト」 -受信者に、現在のドメインではなく、指定されたドメインのSPFレコードを確認するように指示します。

レコードは1つのみである必要があるため、インクルードを通じて、レターを送信するすべての可能なサーバーを登録する必要があります。

Mandrillサービスを同時に使用し、同時にGmail経由でレターを送信する場合のSPFレコードの例（前述のように、同じSPF内の複数のレコード）：


ここで SPFをチェックしてください 。

DMARC

DMARC（ドメインベースのメッセージ認証、レポート、および適合）は、受信サーバーがメッセージの処理方法を決定できるようにする署名です。 DMARCはDKIMとSPFを使用します。 送信されたメッセージがDKIMおよびSPFチェックに合格しなかった場合、DMARCにも合格しません。 メッセージが少なくとも1つのチェック（DKIMまたはSPF）に成功した場合、DMARCチェックも成功します。 DMARCは、SPFおよびDKIMエントリが構成された後にのみ追加されます。

DMARCレコードの例（配信に使用するサービスは関係ありません）：

DMARC構文

「V」 -バージョン。値は常に「v = DMARC1」 （必須パラメーター）です。
「P」 -ドメインのルール（必須パラメーター）。 「none」 、 「quarantine」 、 「reject 」の値を取ることができます。ここで、 「p = none」はレポートを準備するだけです。 「P = quarantine」はスパムメールを追加します。 「P = reject」はレターを拒否します。
spタグはサブドメインを担当し、 pと同じ値を取ることができます。
「Aspf」および「adkim」を使用すると、レコードのコンプライアンスを確認でき、値「r」および「s」を取得できます。 「r」は「緩和」 （ソフトチェック）、 「s」は「厳格」 （厳格なコンプライアンス）です。
「Pct」はフィルタリングされる文字の数に責任があり、パーセンテージで示されます。たとえば、 「pct = 20」は文字の20％をフィルタリングします。
「Rua」 -たとえば、 「rua = mailto：postmaster@your.tld」のように 、メールで日次レポートを送信できます。複数のメールアドレスをスペースなしのカンマ区切りで指定することもできます。
「Ruf」 -DMARCチェックに合格しなかったレターのレポート。
foタグは、メカニズムの1つが破損した場合にレポートを生成するために使用されます。 「Fo = 0」 （デフォルトで使用）-単一の認証ステップが渡されていない場合、レポートを送信します。 「Fo = 1」 -少なくとも1つの認証ステップが渡されなかった場合、レポートを送信します。 「Fo = d」 -DKIM認証が渡されなかった場合にレポートを送信します。 「Fo = s」 -SPF認証が渡されなかった場合にレポートを送信します。

DMARCレコードは、次のようにドメインとサブドメインのレコードにすることができます。 その中で、タグ"sp"のアクションを明示的に指定できます。 サブドメインに特定のエントリが必要な場合は、 「_ dmarc.your_subdomain.your_domain」という名前の別のエントリを作成できます。

ここで DMARCを確認してください。

この記事がレコードの構文を理解する助けとなり、システム管理者やプログラマーがこれらのレコードをDNSで作成できるように、TKを簡単に作成できるようになることを願っています。

使用した資料と出版物：

「SPFレコード-送信者の有効性を確認する」
DKIMはただ
DomainKeys識別メール
DKIM / SPF / DMARCレコードの設定またはなりすましに対する防御
DKIM、SPF、PTR：スパムにならないようにメールを設定する方法
SPF、DKIM、DMARC、FBLを構成する