In relaxed mode, the Organizational Domains of both the [DKIM]-
authenticated signing domain (taken from the value of the “d=” tag in
the signature) and that of the RFC5322.From domain must be equal if
the identifiers are to be considered aligned. In strict mode, only
an exact match between both of the Fully Qualified Domain Names
(FQDNs) is considered to produce Identifier Alignment.
relaxedモードでは、識別子アライメントが成立しているとみなすためには、[DKIM]認証した署名ドメイン(署名内の「d=」タグの値から得られる)とRFC5322.Fromドメインの組織ドメインは、同じでなければならない。strictモードでは、双方の完全修飾ドメイン名(FQDN)が完全一致する場合にのみ識別子アライメントが成立すると判断する。
To illustrate, in relaxed mode, if a validated DKIM signature
successfully verifies with a “d=” domain of “example.com”, and the
RFC5322.From address is “alerts@news.example.com”, the DKIM “d=”
domain and the RFC5322.From domain are considered to be “in
alignment”. In strict mode, this test would fail, since the “d=”
domain does not exactly match the FQDN of the address.
例えばrelaxedモードでは、認証されたDKIM署名が「example.com」の「d=」ドメインとの検証に成功し、かつ、RFC5322.Fromアドレスが「alerts@news.example.com」である場合、DKIM「d=」ドメインとRFC5322.Fromドメインは「イン・アライメント」であるとみなす。strictモードでは、「d=」ドメインがアドレスのFQDNと完全に一致しないため、判定は失敗となる。
However, a DKIM signature bearing a value of “d=com” would never
allow an “in alignment” result, as “com” should appear on all public
suffix lists (see Appendix A.6.1) and therefore cannot be an
Organizational Domain.
しかし、DKIM署名に「d=com」の値がある場合は、「イン・アライメント」であるという結果にはならない。これは、「com」が全パブリックサフィックスリスト(付録A.6.1を参照)に現れるべきであるため、組織ドメインになることができない。
Identifier Alignment is required because a message can bear a valid
signature from any domain, including domains used by a mailing list
or even a bad actor. Therefore, merely bearing a valid signature is
not enough to infer authenticity of the Author Domain.
識別子アライメントが必要であるのは、メッセージがメーリングリスト、さらには悪意のある者によって使用されるドメインを含むあらゆるドメインからの有効な署名を提示する可能性があるためである。したがって、単に有効な署名を提示できるということは、著者ドメインの信頼性を推察するには十分でない。
Note that a single email can contain multiple DKIM signatures, and it
is considered to be a DMARC “pass” if any DKIM signature is aligned
and verifies.
単一の電子メールが複数のDKIM署名を含む場合がある点に留意していただきたい。複数のDKIM署名の1つでもイン・アライメントであると検証された場合には、DMARCの結果は「成功」とみなす。
3.1.2. SPF-Authenticated Identifiers
DMARC permits Identifier Alignment, based on the result of an SPF
authentication, to be strict or relaxed.
3.1.2. SPF認証識別子
DMARCは、SPF認証結果に基づいて、識別子アライメントの判定モードをstrictまたはrelaxedにすることが可能である。
In relaxed mode, the [SPF]-authenticated domain and RFC5322.From
domain must have the same Organizational Domain. In strict mode,
only an exact DNS domain match is considered to produce Identifier
Alignment.
Note that the RFC5321.HELO identity is not typically used in the
context of DMARC (except when required to “fake” an otherwise null
reverse-path), even though a “pure SPF” implementation according to
[SPF] would check that identifier.
relaxedモードでは、[SPF]認証ドメインとRFC5322.Fromドメインの組織ドメインは同じでなければならない。strictモードでは、DNSドメインと完全一致した場合のみ、識別子アライメントが成立するとみなす。
RFC5321.HELOアイデンティティは、 [SPF] に従って「純粋なSPF」を実装すれば判定可能であるが、DMARCでは通常、使用しない(空(null)のreverse-pathを「偽造する」必要がある場合を除く)ことに留意していただきたい。
[Page 10]
《PREV》 |