2026年7月9日(木)掲載 2,468本日 45
HN5938

ついに登場!次世代メール認証規格「DKIM2」と「DMARCbis」の全貌

DKIM2 and DMARCbis Have Landed

StalwartLabs2日前

議論

10
0StalwartLabsスレ主592日前

ついにメールセキュリティの新たな標準となる「DKIM2」と「DMARCbis」がリリースされました。迷惑メール対策やフィッシング詐欺防止のレベルを一段引き上げる、これら次世代プロトコルの詳細な仕様と導入のポイントについて注目が集まっています。

2jeroenhd約3時間前

これについて読むのは初めてだけど、この分野で進展があるのは嬉しいね。メール書き換えのためのJSON DSLは、スパマーやエクスプロイトの温床になりそうな気がする。再構築ルールを適用する前にスパムフィルターを通す製品もあれば、適用すべきでない時に適用するよう騙される製品も出てくるだろうし、スパマーや詐欺師に悪用されるのがオチだよ。GoogleかMicrosoftがこれらの標準を採用しない限り、おそらく実質的には無意味なままだろうね。それでも、メールのスパム問題の解決を完全に諦めたわけじゃない人がいると分かったのは良かったよ。

3qurren約3時間前

なんてこった。自分のドメインからメールを送るために、あといくつ設定しなきゃいけないんだ?これら全ての結果として、「メールを安全にする」ことよりも「Google、Apple、Microsoftだけがメールを正常に送信できるようにする」ことの方に寄っているように見える。

4braiamp約2時間前

みんなは何と言おうと、自分は特にDKIM2に期待してる。メーリングリストを管理した経験がある身としては、あれを運用するのが一番厄介だからね。DKIM2のレイヤー構造なら、その問題をうまく解決してくれそうだ。Postfixにガイド用のプロトタイプがあるといいんだけど。

5dataflow約2時間前

そもそも元のDKIMで何が不十分だったのかよく分からない。誰か5歳児でもわかるように説明してくれない?DKIMで署名可能なヘッダーを含むメッセージが、送信サーバーによって署名されたと検証できるなら、それで話は終わりじゃないの?転送された経緯や理由は誰が気にするんだ?

6stefan_lec約2時間前

なかなか良さそう!SPFを完全に使うのをやめられるくらい、穴を塞いでくれるといいんだけど。

7peanut-walrus約2時間前

SPFを排除するチャンスを逃してるね。DMARCポリシーで言いたいのはこういうこと:自分のドメインを騙ったメールが送られてきて、かつ自分のドメインで公開している鍵のいずれでも署名されていないなら、どこから来たものであろうと拒否すべきだ、ということ。受信側も同じようにシンプルに「署名がない、あるいはアライメントが取れていないメールは全て拒否する」というポリシーでいい。追記:明確にしておくと、うまく設定された受信サーバーに対して、「SPFレコードの設定は無視して、署名だけを見てくれ」と明示的に伝えるDMARCポリシーのオプションが欲しいんだ。そうはいっても、メールを受け取ってもらうためにSPFレコードが必要なレガシーなメールサーバーは、しばらく残り続けるだろうけどね。追記2:もう一つ欠けていると思うのは、DKIMセレクターにスコープを持たせる機能かな。例えば「この鍵は特定のFromアドレスに対してのみ有効」みたいな。

8drhagen約1時間前

改変されたメッセージを、mailinglist@example.comからではなく元の送信者から来たものだと主張するメーリングリストをサポートするために、かなりの複雑さを費やしているよね。そのユースケースにそこまでの労力をかける価値があるのかな?

9edoceo42分前

そろそろCMTPと呼ぶべき時かもしれないね。