Eメール認証の概要

Eメール送信ドメインをHubSpotに接続することで、主要なEメール受信トレイプロバイダー（GmailやYahoo!メール）によって施行される認証基準と送信ポリシーに準拠したマーケティングEメールを送信できるようになります。ドメインを接続するには、DNSプロバイダーの設定で3つのDNSレコードタイプ（DKIM、SPF、DMARC）をそれぞれ設定します。

この記事では、これらのレコードの概要と、レコードに関連付けられた認証プロトコルの仕組みについて説明します。

ご使用のEメール送信ドメインの認証準備が整ったら、HubSpotでDNS設定プロセスを開始するか、現在の認証ステータスを確認します。

注：担当のHubSpotアカウントマネージャーまたはHubSpotサポートチームは、HubSpotで認証を設定する方法やベストプラクティスを必要に応じてご案内いたしますが、ドメイン接続に関する意思決定やDNS設定の管理については対応いたしかねますのでご了承ください。Eメール認証の設定を完了するには、貴社のITチームまたはEメール管理者と連携いただく必要があります。必要な場合には、サードパーティーのDMARCコンサルティングサービスやレポート関連サービスのご利用もご検討ください。

Eメール認証のメリットを理解する

HubSpotアカウントに対するメリット

DKIM、SPF、DMARCはHubSpot経由でEメールを送信するために必ずしも必要なものではありませんが、DKIMを設定してご使用のドメインをHubSpotに接続していない場合、そのドメインの送信元Eメールアドレス（例：employee@example.com）からEメールを送信することはできません。この設定を行うと、そのドメインのEメールの到達可能性も向上します。

ご使用のアカウントでEメール送信ドメインとして接続されていないドメインは、HubSpotがホスティングする可変ドメインに変更されます。認証されていないEメールについては、こちらの記事をご参照ください。

Eメールのパフォーマンスに対するメリット

ほとんどのEメールプロバイダーでは、DKIMで認証されたEメールが高く評価されます。DKIM認証なしで送信されたEメールは、受信拒否や隔離が発生する、または迷惑メールに分類される可能性が高くなります。隔離されたEメールはHubSpotでは配信済みとして表示されますが、ほとんどの受信者には表示されないため、DKIMを設定して到達可能性を改善することを強くお勧めします。

注：HubSpotコミュニティーの記事（英語）でご紹介した通り、Google やYahoo!などの一部のEメールプロバイダーは、一括送信を行うドメインにDMARC、DKIM、SPFを完全に設定するようユーザーに要求しています。この要件を満たしていない場合、ご使用のドメインからのEメールは受信が拒否（バウンス）されます。これは「DMARC」または「ポリシー」のバウンスに分類されます。

DKIMの設定方法

DKIM（DomainKeys Identified Mail）とは、Eメールのなりすまし防止を目的とした認証方法です。Eメールのなりすましは、悪意のある行為者が送信元アドレスを偽装してEメールを送信する手法を指します。

HubSpotでDKIMを設定するには、指示に従って、DNSプロバイダーに2つのCNAMEレコードを追加します。HubSpotが提供する公開鍵を使用してDNSプロバイダーでDKIMレコードを設定すると、ご使用のドメインに関連付けられて送信されるEメールの署名が受信メールサーバー側（Gmailなど）で確認できるようになります。

このレコードを追加する方法については、こちらの記事をご参照ください。

DNSレコードを追加し、HubSpotとDNSプロバイダーによる確認が完了すると、送信されるEメールのヘッダーにDKIM署名が組み込まれるようになります。これが、設定したCNAMEエントリーと相互に関連付けられます。

SPFの設定方法

SPF（Sender Policy Framework）は、送信メールサーバーが特定のドメインの代理としてEメールを送信することを許可されているかどうかの確認に使用されるEメール認証規格です。

SPFは従来より、エンベロープのReturn-Pathドメイン（受信拒否エラーの送信先アドレス）に必要とされてきました。HubSpotでは、共有サーバー経由で送信されるマーケティングEメールに対して、すでにこの設定を行っています。専用IPをご利用のお客さまは、IPの初期設定の一環として、エンベロープのReturn-PathドメインでSPFを設定する必要があります。

また、送信者アドレスのドメインにもHubSpotのSPFレコードを追加することを強くお勧めします。HubSpotのドメイン設定プロセスで提供される値を使用して、DNSプロバイダーにTXTレコードとして設定します。このレコードによって、お使いの送信元アドレスドメインからHubSpot経由でマーケティングEメールを送信する際に使用されるIPアドレスの最新のリストが一定期間ごとに提供されます。

HubSpotをSPFレコードに追加する方法については、こちらのガイドをご参照ください。

SPFレコードを追加して確認プロセスが完了すると、送信したEメールをEメールサーバーが処理する際に、ご使用のドメインの有効な送信者許可リストにHubSpotが登録されていることが確認されるようになります。

DMARCの設定方法

DMARC（Domain-based Message Authentication, Reporting and Conformance）は、Eメールドメインの所有者をEメールのなりすましやその他のドメイン不正使用からさらに守るためのEメール認証プロトコルです。

DMARCレコードを設定すると、SPFとDKIMのチェックを通過しないドメインから送信されたEメールの処理方法が受信トレイプロバイダーによって確認されるようになります。また、ドメイン所有者はDMARCのレポートメカニズムを通じて、自分のドメインから世界中の受信者のサーバーに送信されたEメールが受信される頻度や、適切に認証されている割合を把握できます。

以下のセクションで、利用可能な値とポリシーの例を説明します。DMARCレコードを設定する準備ができたら、こちらの記事に従って進めてください。

ポリシーの値

DNSプロバイダーの設定にTXTレコードを追加することで、DMARCポリシーを定義できます。値には、以下のプロパティーをセミコロンで区切って指定します。

• v：DMARCのバージョン。
• p：通過しなかったEメールの処理方法の判断に使用するポリシーの種類。以下のいずれかを指定できます。
  
  • none：既存のフローに影響を与えることなく、フィードバックの収集とEメールストリームの監視に使用する。
  • quarantine：認証を通過しなかったEメールをフィルタリングして受信側で隔離する。
  • reject：認証に通らなかったEメールの受信を拒否する。
• sp：DMARCレコードのサブドメインにポリシーを適用するために使用する。
• pct：このポリシーを適用する、認証に失敗した一意の送信の合計の割合。例えば、DMARCレコードにp=reject; pct=25と指定していて、100通のEメールが認証に失敗した場合、そのうち25通のみに受信拒否が適用され、残りの75通は受信者に配信されます。
  
  • このプロパティーを定義して、認証ポリシーを徐々に強化することで、想定通りに動作していることを確認できます。
  • ただし、Eメールプロバイダーによってはこのパラメーターが無視されることがあるのでご注意ください。
• rufおよびrua：DMARCレポートデータを送信するEメールアドレスを指定する2つの任意パラメーター。いずれもURI mailto形式（例：mailto:reporting@example.com）で指定する必要があります。送信されるレポートデータはパラメーターによって異なります。
  • rua：ご使用のドメインの全てのトラフィックの集計レポート。
  • ruf：認証に失敗した個々のメッセージから機密情報を削除したコピーを含む失敗レポートデータ。
• adkimおよびaspf：DKIMとSPFのアラインメントモードを指定する。いずれもr（＝Relaxedのアラインメント）に設定する必要があります。Relaxedアラインメントを使用するには、DNSサービスのDMARCの既定に設定されていることが必要です。

DNSプロバイダーにDMARCレコードを追加して確認が完了すると、ご使用のドメインからの受信メールが全ての受信メールサーバーで認証され、指定のポリシーに従って失敗が処理されるようになります。

ポリシーの例

DMARCポリシーは個別のビジネスニーズに合わせてカスタマイズできます。以下に例を示します。

中立的なポリシー

v=DMARC1; p=none;

追加パラメーターを設定していない中立的なDMARCポリシーの例です。中立的なポリシーは、DMARCについて習得し始めたばかりの送信者にとって有用です。DMARCが機能するために必要最小限のポリシーとなります。

集計レポートを伴う厳格なポリシー

v=DMARC1; p=reject; rua=mailto:reporting@example.com;

この例では、認証に失敗したEメールの受信を拒否する厳格なDMARCポリシーを定義し、集計レポートデータを送信するEメールアドレスを指定しています。

失敗レポートを伴う隔離ポリシー

v=DMARC1; p=quarantine; pct=25; ruf=mailto:reporting@example.com;

この例では、認証に失敗したEメールの25%を隔離し、残りの75%のEメールは配信を許可するポリシーを定義しています。このポリシーには、Eメールが認証に失敗するごとに個別の通知Eメールを送信するレポート送信先アドレスも指定されています。

pctプロパティーの値を定義すると、DMARCに失敗したメッセージからサンプルを任意で抽出して検証し、正当なEメールが変わらず適切に配信されていることを確認できます。

注：DMARCレコードの設定について、HubSpotサポートではお手伝いいたしかねますのでご了承ください。推奨されるDMARCポリシーは、お客さまのビジネスニーズとご利用のDNSプロバイダーによって異なります。DMARC設定のサポートが必要な場合は、貴社のIT管理者またはDNS設定の管理者にご相談いただくようお願いいたします。また、サードパーティーのDMARCコンサルティングサービスやレポート関連サービスのご利用もあわせてご検討ください。