用語解説
ドメイン管理・メール認証・DNS・SSL に関する用語をわかりやすく解説します。
DMARC(Domain-based Message Authentication, Reporting and Conformance)
SPF と DKIM の認証結果を統合し、なりすましメールの処理方針をドメイン所有者が宣言する仕組み。Google・Yahoo が大量送信者に義務化。
DNS over HTTPS(DoH)
DNS クエリを HTTPS 経由で暗号化して送信し、通信の傍受や改ざんを防ぐプロトコル。Chrome・Firefox が標準対応。
DNS over TLS(DoT)
DNS クエリを TLS で暗号化して専用ポート 853 で送信し、通信の傍受を防ぐプロトコル。
DNS キャッシュ
DNS リゾルバーが問い合わせ結果を一時保存し、応答を高速化する仕組み。TTL の設定がキャッシュ期間を左右する。
DNS キャッシュポイズニング(DNS Cache Poisoning)
再帰リゾルバーのキャッシュに偽の DNS レコードを注入し、ユーザーを不正なサーバーへ誘導する攻撃手法。DNSSEC が根本対策。
DNS ゾーン
特定の権威ネームサーバーが管理する DNS 名前空間の区画。ドメイン管理の委任単位となる。
DNS フォワーダー(DNS Forwarder)
受け取った DNS クエリを別のリゾルバーに転送し、自身では再帰解決を行わない DNS サーバー。社内 DNS で外部クエリを集約する際に使われる。
DNS レコード
ドメイン名と IP アドレスやサービス情報を紐づける DNS データベースのエントリ。A・MX・TXT など用途別に型が分かれる。
DNS 伝搬(DNS Propagation)
DNS レコードの変更が世界中のリゾルバーに反映される過程。実態はキャッシュの期限切れであり、TTL の事前短縮で待ち時間を短縮できる。
DNSBL(DNS Blocklist)
スパム送信元の IP アドレスを DNS で公開し、受信サーバーがリアルタイムで参照するブロックリスト。Spamhaus が代表的なプロバイダー。
DNSKEY レコード
DNSSEC で署名を検証するための公開鍵を格納する DNS レコード。KSK と ZSK の両方が格納される。
DNSSEC(Domain Name System Security Extensions)
DNS 応答にデジタル署名を付与し、データの完全性と出自を検証可能にするセキュリティ拡張。キャッシュポイズニング対策として RFC 4033-4035 で標準化。
DS レコード(Delegation Signer)
子ゾーンの DNSSEC 鍵を親ゾーンに登録し、信頼の連鎖を構築する DNS レコード。DNSSEC 有効化の際にレジストラへの登録が必要。
DV 証明書(Domain Validation)
ドメインの管理権限のみを確認して発行される SSL/TLS 証明書。Let's Encrypt で無料取得でき、個人サイトや API に適する。
EV 証明書(Extended Validation)
認証局が法人の実在性・所在地・事業内容を厳格に審査して発行する最高レベルの SSL/TLS 証明書。金融機関や政府機関で採用される。
FCrDNS(正引き確認済み逆引き DNS)
IP の逆引き結果を正引きで再検証し、双方向の一致を確認する DNS の検証手法。メールサーバーの身元確認で受信側が参照する。
fo タグ(Failure Reporting Options)
DMARC レコードの fo タグで、フォレンジックレポートの送信条件を指定する設定。認証失敗の原因特定に活用する。
FQDN(完全修飾ドメイン名)
ルートから末端まで省略なく記述した、DNS 名前空間上の絶対的なドメイン名。証明書の CN/SAN や DNS 設定で正確な指定に使う。
HSTS(HTTP Strict Transport Security)
ブラウザーに HTTPS 接続を強制するセキュリティポリシー。HTTP へのアクセスを自動的に HTTPS へアップグレードします。
IP ウォームアップ(IP Warm-up)
新しい IP アドレスからの送信量を段階的に増やし、送信者レピュテーションを構築する手法。大量メール配信の開始前に必須の工程。