俺の名はメール。
今日も送信ボタンを押されて、旅に出る。届け先は、どこかの会社の担当者さんだ。「セミナーのご案内」という大事な任務を背負っている。
意気揚々と出発した俺だったが、この世界には恐ろしい関門があることを、まだ知らなかった。
第一の関門:出身地チェックの門番
受信サーバーに近づくと、屈強な門番が立ちはだかった。
「おい待て。お前、どこから来た」
俺は正直に答える。
「○○株式会社のサーバーから来ました」
「ほう。ならば○○株式会社のDNSに聞いてやる。『こいつは正規の使者か?』とな」
門番はDNSに問い合わせた。すると、SPFレコードというリストが返ってくる。
「...よし、リストに載っとるな。通ってよし」
これがSPFレコードの役割だ。
「うちの会社からメールを送っていいサーバーはこいつらです」と事前に届け出ておく仕組み。届け出がないと「なりすましの可能性あり」として、門前払いを食らう。
届け出てなかった場合?
「リストにない?怪しいな。迷惑メールフォルダ行きだ」
...つらい。
第二の関門:持ち物検査の鑑定士
第一の門を抜けると、今度は白衣を着た神経質そうな鑑定士が待っていた。
「出身は確認できた。だが、道中で中身をすり替えられていないという保証は?」
俺は胸を張って答える。
「出発時に暗号化された署名をもらってきました」
「見せてみろ」
鑑定士はDNSからDKIMレコード(公開鍵)を取り寄せて、俺の署名を検証し始めた。
「...署名は本物だな。中身も改ざんされていない。通ってよし」
これがDKIMの役割だ。
出発時にメールの中身をハッシュ化(※細切れにして元に戻せなくする処理。ハッシュドポテトみたいなもの)して、それを暗号化した「署名」を持たせる。届いた先で署名を検証して、中身が途中で書き換えられていないか確認できるというわけ。
署名がなかったら?
「署名なし?改ざんされてるかもしれんな。迷惑メールフォルダ行きだ」
...つらい。
第三の関門:最終判断を下す裁判官
2つの門を抜けて安心したのも束の間。最奥には黒いローブをまとった裁判官が座っていた。
「SPFとDKIMの結果は聞いた。だが、最終判断を下すのはこの私だ」
これがDMARCだ。SPFとDKIMの認証結果を総合的に見て、メールをどう扱うか決める偉い人。
しかもこの裁判官、ドメインの持ち主から「こういう場合はこう処理しろ」と事前に指示を受けている。
none:「まあ様子見で。届けていいけど記録は取っといて」
quarantine:「怪しいやつは牢屋(迷惑メールフォルダ)にぶち込め」
reject:「ダメなやつは門前払いしろ。届けるな」
つまりDMARCレコードは、認証に失敗したときの「処分方針」を宣言しておくもの。
「ふむ、SPF合格、DKIM合格。よかろう。通ってよし」
さらにこの裁判官、仕事熱心なことに「今日はこんなメールが来ましたよ」というレポートをドメイン管理者に送ってくれる。なりすまし被害に遭ってないか監視できるというわけだ。
DMARCがなかったら?
SPFとDKIMだけでも届くことは届く。ただ、受信側の判断に完全にお任せになるし、なりすまされても気づけない。
「方針も示さず、監視もせず?...まあ届けてやるが、無防備なやつだな」
...ちょっと馬鹿にされる。
無事に受信トレイへ
3つの関門を突破した俺は、ついに受信トレイという聖地に降り立った。
「セミナーのご案内」という任務、完了だ。
...まあ、ここから先は「開封されるかどうか」という別の戦いがあるんだけど、それはまた別の話。
独自ドメインでメールを送信するあなたへ
というわけで、独自ドメインでメールを送るならDNSの設定も忘れずに。
設定わからん!という方は、DNSを触れる人に相談しましょう。
〜 完 〜
