詳細情報:
DKIM 鍵制御によるメール送信ドメインの所有権の確認
Salesforce 組織が、送信メールの送信に使用されるドメインの正当な所有者であることを確認します。
コントロール名
メールセキュリティ - 到達可能性 ([DKIM 鍵でメール送信ドメインの所有権を確認] を選択します)。
制御の概要
暗号化DKIM鍵にそれらのドメインをバインドして、Salesforce組織が送信メールの送信に使用されるドメインの正当な所有者であることを確認します。これにより、リモート メール サーバはメッセージが会社から発信されたことをTrustできます。
説明
この設定を有効にすると、Salesforce では各送信メールドメインに有効な DKIM キーが設定されている必要があります。Salesforce によってドメインごとに鍵が生成され、対応する DNS レコードが DNS ゾーンに公開されて所有権を証明し、メールサーバーを受信することで署名検証を有効にします。
推奨設定
[設定] > [メール管理] > [配信可能性] または [メールセキュリティ] で [DKIM キーでメール送信ドメインの所有権を確認] を選択し、各送信ドメインの DKIM キーを設定して DNS レコードを公開します。
セキュリティへの影響
メッセージが承認された Salesforce のバックアップドメインから送信されたことを暗号で証明することで、送信メールの信憑性を高め、攻撃者がこれらのドメインをスプーフィングしたり、正当なメールが疑わしいとマークされたりする可能性を減らします。
ビジネスへの影響
メールの到達可能性と送信者の評価を高め、セキュリティ意識の高い受信者やコンプライアンス重視の受信者がメッセージを信頼できない受信者として処理する可能性を減らし、Brand Trustと規制コンプライアンスのメッセージングをサポートします。
設定されていない場合のセキュリティリスク
組織の未検証のメール送信ドメインの所有権により、攻撃者はより簡単にドメインを偽装でき、受信者は Salesforce が送信した本物のメッセージとなりすましのメッセージを区別できなくなります。
脅威のシナリオ
攻撃者は、ドメインから送信されたように見えるフィッシングメールやなりすましメールを作成し、受信者をだましてログイン情報を開示したり、不正な取引を開始したり、信頼できないメッセージを正当な Salesforce 通知であるかのように処理したりできます。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
影響は、顧客が使用するドメインやブランドに敏感なドメイン(@company.comや@support.company.comなど)を使用して、大量のメールや影響の大きいトランザクション メールまたはマーケティング メールを送信する場合にさらに大きくなります。
より高いリスク
送信メールに複数のドメインが使用されている、外部関係者がメールベースのワークフローに大きく依存している、または組織がデータプライバシーやフィッシング対策の厳格な規制の対象になっている。
低リスク
メール量が少ない、ほとんどの送信メールが内部メールであるか、厳密に制御された個別のメールゲートウェイを介してすでに転送されている、または送信ドメインが外部で使用されていない一般的な内部専用アドレスである。
ビジネスと統合に関する考慮事項
DNS およびメール管理者チームと協力して鍵の循環と DNS レコードのメンテナンスを管理し、有効化する前にすべての有効な送信ドメインがカバーされていることを確認します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
強くお勧めします。
影響を受けるユーザー
システム管理者、メールマーケティングチームとコミュニケーションチーム、セキュリティチームとコンプライアンスチーム、Salesforce ベースの送信ドメインからメールを受信する外部受信者。
