メールセキュリティの維持
Salesforce には、規制へのコンプライアンスを維持するために、メールの送受信時にネットワークの整合性が損なわれないようにするためのツールが用意されています。Salesforce プラットフォームからメールを送信する前に、次のセキュリティ対策を実装することを検討してください。省略可能ですが、有効にすると、ネットワークを保護する最も効果的な障壁になります。
必要なエディション
| 使用可能なエディション: すべてのエディション |
メールプライバシー
ユーザーにメールを完全にオプトアウトするか、受信頻度を減らす機会を提供します。ユーザーがプロモーションについて知りたいと思うのは週に 1 回で、毎日ではないかもしれません。ユーザーが Web サイトで応答できるようにするか、専用の電話番号に電話します。要求をすぐに処理します。
メールセキュリティ
メールを送信するときは、強力な暗号化方法を使用します。暗号化では、複雑なアルゴリズムを使用して、送信されるデータをスクランブルします。適切なプロトコルを使用してデータを暗号化すると、悪意のあるユーザーによる傍受がより困難になります。
メールのベストプラクティス
メールを送信するときは、メールの件名と内容が一致していることを確認します。件名は、読者の注意を迅速に捉え、目的を表す必要があります。たとえば、Sam は XYZ Doctor のオフィスに勤務しており、患者リマインダーメールの送信を担当しています。Sam は、患者のリマインダーを送信する代わりに、1 日あたり 500 人の患者にプロモーションマーケティング資料を送信します。これらの患者はメールで予定の詳細を見つけることができず、強制的に電話をかけさせられて電話回線が詰まります。
ユーザーを尊重し、メッセージであふれさせないでください。ユーザーには、小売業者、政府、政治家、および医療機関から想定されるメールメッセージの数に関するパターンがあります。アンケートとユーザーフィードバックを活用して、顧客に送信する適切なメール数を予測します。
ほとんどの場合、ユーザーがメールを受信する権限を提供していない場合や、送信者に精通していない場合、ユーザーはメールを無視します。一括メール送信やパーソナライズされたメール送信を行う前に、ユーザーから明示的な権限が付与されていることを確認してください。ユーザーがあなたをブロックしたり、メールをスパムとしてマークしたりすると、あなたの詳細が伝わらなくなります。
トランザクションレイヤーセキュリティ (TLS)
TLS (バージョン 1.2 以降) では、送信時にメールの内容が暗号化されます。デフォルトでは、Salesforce から送信されるメールは、受信側のメール転送エージェント (MTA) でサポートされている場合に TLS を使用します。
Salesforce では TLS バージョン 1.0 がサポートされなくなりました。 TLS 1.0 が使用されている場合、メールは暗号化されずに送信されます。
トランザクション層セキュリティ (TLS) の TLS オプションを確認して、メールとネットワークのセキュリティ保護を強化します。
送信者ポリシーフレームワーク (SPF)
SPF は、メッセージの到達可能性を高め、メールの信頼性を保護します。ドメイン所有者は、送信側ゲートウェイの IP アドレスを識別する DNS TXT レコードを公開します。次に、受信側ゲートウェイは SPF ルックアップを完了し、送信メールサーバーの IP アドレスが SPF 範囲内に有効かどうかを判断します。
スパムやメールスプーフィングから保護するために、多くの場合、企業は独自のドメイン名を使用するメールメッセージを拒否するセキュリティ制御を実装しています。メールメッセージは、疑わしい送信者からのものであると認証できない場合、拒否されます。Salesforce は、顧客に代わってメールをチェックするオンデマンドサービスです。その結果、Salesforce から送信された正当なメールが受信者に到達する前にブロックされる可能性があります。Salesforce から送信されたメールがなりすましとして表示されないようにするには、DKIM、SPF、または DMARC を使用してメッセージ認証を実装することを検討してください。SPF を有効にすると、システム管理者は有効なメールからメールを送信できます。システム管理者は、メールセキュリティコンプライアンス機能を有効にするか、メールリレーを使用して Salesforce が独自のサーバーを介してメールを転送できるようにする必要があります。システム管理者はセキュリティ対策を適用して、Salesforce がメールを自分のサーバー経由で転送できるようにします。送信者ポリシーフレームワークは追加セキュリティ機能ですが、すべてのEメールの問題を解決するスタンドアロンではありません。
Domain Keys Identified Mail (DKIM) (ドメインキー識別メール (DKIM))
DKIM では、メールに署名を追加できます。署名は、署名者によってメールが承認されたことを示します。この署名により、メールの本文と特定のヘッダーが送信中に侵害されていないことも保証されます。
ドメインベースのメッセージ認証、レポート、および準拠 (DMARC)
DMARC は、SPF および DKIM プロトコル上に構築されたメールポリシーおよびレポートプロトコルです。DMARC ポリシーは、どちらのプロトコルも成功しなかった場合に何を実行するかを受信者に指示します。また、受信者が送信者に報告できるようにすることもできます。
メールセキュリティコンプライアンス
オプション機能として、Salesforce は SPF に準拠するように Salesforce から送信されるメールの [送信者] 項目を変更できます。
送信者 ID
送信者 ID は無効なプロトコルです。廃止予定のバージョンの Microsoft Outlook を使用する場合にのみ使用します。
Sender ID プロトコルは SPF と同様に動作します。メールの [送信者] 項目ではなく、メッセージのヘッダーからドメインが検証されます。送信者 ID が必要な受信者にメールを配信するには、Salesforce の [メール配信設定] ページで有効にします。送信者 ID は、Salesforce から送信されるすべてのメールの [送信者] 項目に no-reply@salesforce.com を自動的に入力できます。[送信者 ID] を有効にすると、なりすましやマルウェアを防止できます。ほとんどのマルウェア対策ファイアウォールと強力なファイアウォールでなりすましを検出できますが、この機能によって保護が強化されます。
バウンス管理
バウンス管理では、Salesforce で配信できなかったアドレスにフラグを設定することで、連絡先リストを最新の状態に保ちます。バウンス管理が有効になっていて、ユーザーが無効なアドレスにメールを送信すると、Salesforce はそのメールアドレスの横にアラートを表示します。これらのアドレスは、更新されるまで送信できません。必要に応じて、送信者にバウンス通知を送信できます。このオプションは組織内のすべてのユーザーに適用され、ユーザーごとまたはメールごとに有効にすることはできません。
Salesforce からの直接送信
ドメイン名を使用して、Salesforce から直接メールを送信できます。これらの送信を実行するときは、設定とセキュリティポリシーに応じて次の設定オプションを考慮してください。
SPF と送信者 ID を渡すために、Salesforce によって [エンベロープ送信元] が変更され、送信者ヘッダーが追加される場合があります。[エンベロープ送信元] が変更されないようにするには、[メールセキュリティコンプライアンスおよびバウンス管理] を無効にします。Sender ヘッダーの追加を回避するには、Sender ID を無効にします。これらの設定は、管理パネルで管理できます。
| オプション | バウンス管理 (リードおよび取引先責任者のみ) | Envelope From (エンベロープ送信元) | ヘッダー送信元 | 送信者ヘッダー | SPF 状況 |
|---|---|---|---|---|---|
| なし | オフ | user@example.com | user@example.com | なし | example.com SPF レコードに _spf.salesforce.com が含まれている場合のみ合格 |
| メールセキュリティコンプライアンスの有効化 | オフ | *.bnc.salesforce.com | user@example.com | なし | SPF パス |
| セキュリティコンプライアンスの有効化と送信者 ID コンプライアンス | オフ | *.bnc.salesforce.com | user@example.com | noreply@salesforce.com | SPF パス、SenderId パス |
| なし | オン | *.bnc.salesforce.com (取引先責任者またはリードの場合) それ以外の場合は user@example.com | user@example.com | なし | SPF パス |
| メールセキュリティコンプライアンスの有効化 | オン | *.bnc.salesforce.com | user@example.com | なし | SPF パス |
| セキュリティコンプライアンスの有効化と送信者 ID コンプライアンス | オン | *.bnc.salesforce.com | user@example.com | noreply@salesforce.com | SPF パス、SenderId パス |
SPF は、[エンベロープ送信元] ドメインが、指定されたドメインのメールを送信する送信元 IP を承認していることを確認します。この情報は DNS TXT レコードに保存されます。情報が有効な Salesforce ドメインである限り、SPF は渡されます。
DKIM 署名
Salesforce は、ユーザーが DKIM キーを作成する機能をサポートしています。DKIM 鍵は、Salesforce から送信されたメッセージに署名します。
DKIM 鍵によって 2 つの公開鍵/非公開鍵のペアが生成され、値が Salesforce DNS に追加されます。循環を容易にするために 2 つのキーが必要です。これらのキーにより、ドメインの DNS に追加された CNAME レコードがユーザーに提供されます。CNAME レコードが存在する場合、Salesforce で DKIM キーを有効にします。
DMARC
DMARC を使用するには、SPF または DKIM に合格する必要があります。どちらも合格しないと、Salesforce アプリケーションを介してメールを送信できません。
メールリレーの設定
Salesforce では、顧客がサーバーを介してメールをリレーする機能をサポートしています。その後、リレーサーバーはメールをインターネットに送信します。メールリレーの利点は、監査要件、内部ポリシー、セキュリティです。このアクションでは、サーバー間リレー種別が使用されます。リレーを保護するには、次のセキュリティ対策を組み合わせることをお勧めします。
- TLS を使用するように Salesforce リレーを設定します。受信者の証明書のホスト名を検証するために TLS を要求できます。
- 送信者の証明書とドメイン名が提示された証明書と一致することを確認するように受信者の MTA を設定します。
- 送信ドメインがメールドメインになるように受信 MTA を設定します。
- X-SFDC-LK ヘッダーに組織 ID が含まれていることを確認するように受信 MTA を設定します。
- Salesforce で DKIM 署名を設定します。
- DKIM が合格し、署名されたドメインがドメインであることを確認するように受信 MTA を設定します。
- MTA で機能する場合は、SMTP 認証を設定します。
- Salesforce リレー IP およびユーザーがメール送信を予期している他の IP からのメール送信のみを許可するように受信 MTA を設定します。メールリレーの保護に許可リストを使用することはお勧めしません。組織が移動または移行する場合、送信 IP アドレスは異なります。許可リストでいずれかの送信 IP アドレスがない場合、配信の問題が発生する可能性があります。上記のセキュリティ対策を組み合わせて使用することをお勧めします。
