送信ドメイン認証(SPF・DKIM・DMARC)とは?認証方法や仕組みを解説
近年、標的型攻撃やフィッシング詐欺をはじめとした、「なりすましメール」の被害が増加しています。このような脅威から身を守るため、多くの企業で「送信ドメイン認証」の導入が進められています。今回は、送信ドメイン認証の基礎知識と効果的な活用方法をご紹介します。
目次
送信ドメイン認証とは
送信ドメイン認証とは、差出人の送信元情報を検証し正規のサーバーから送られたメールかどうか(メールそのものが正規のものかどうか)を識別する技術のことです。具体的な特徴を解説する前に、電子メールの送受信の仕組みからご紹介します。
メール送受信の仕組み
私達がスマートフォンなどで受信するメールは、「POP3サーバー」と呼ばれる受信サーバーから送られています。その際に「ユーザー認証」というプロセスを経て、メール受信者の身元を確認します。IDやパスワードが正当である場合のみ、メールを受信できる仕組みです。
一方、メール送信時は「SMTPサーバー」にアクセスした後、受信者が利用するPOP3サーバーへと転送されます。もちろん、メール送信時にも悪意ある第三者やウイルスなどによる、なりすましメールを防ぐためのIDやパスワードで認証を行うSMTP認証があり、普及しています。
しかしながら、なりすましメールを防ぐには、これらの対策だけでは不十分です。
実は、電子メールが仕組みとして持つ2つのFromアドレスが関係しています。
1つめは、エンベロープFrom(Envelope-From)アドレスです。郵送物にたとえると、封筒に記載されている差出人名です。SMTPという送信プロトコルのコマンドを利用して送信されるFromアドレスで、そもそもこの情報が正しくないと送信ができない本当のFromアドレスです。バウンスメールと呼ばれるメールの配送エラーを受信するのもこちらのエンベロープFromアドレスです。
もう1つは、ヘッダFrom( Header-From)アドレスです。こちらも郵送物にたとえると、封筒の中の便箋に書かれている差出人名にあたります。こちらが仕様上、実際の差出人とは異なる情報を表示することができるアドレスとなります。いわゆるなりすましメールは、このヘッダFromアドレスを不正に変更することで送られています。残念ながら多くの人は、直接見ることができる文面の情報を信用しているからです。(エンベロープFromアドレスを調べる人はほとんどいません。)そのため、このヘッダFromアドレスがなりすましに利用されることになります。
そのため、完全になりすましメールを防ぐためには、悪用されている可能性の高いヘッダFromではなく、実際に送信に利用されているエンベロープFromアドレスを、予め設定した送信元として許可されているものかどうかを認証する必要があります。そこで役立つのが送信ドメイン認証となります。
送信ドメイン認証の意義
送信ドメイン認証は、なりすましメールを排除することで結果的にスパムメールそのものが減少するという考えのもと、提唱された技術です。送信元情報をドメイン単位で検証することで、上述のとおり、ヘッダFromアドレスを詐称したなりすましメールを検知します。現在はインターネットプロバイダーを中心に導入されており、なりすましメールによる被害を防ぐうえで、最も有効なメール認証技術と考えられています。
さまざまな認証方式の特徴と違い
送信ドメイン認証には「SPF」「DKIM」「DMARC」といった複数の認証方式が存在します。ここでは、代表的な認証方式であるSPF認証とDKIM認証の特徴をご紹介します。
SPFとは
SPF(Sender Policy Framework)とは、受信メールのIPアドレスを利用し、正規の送信元が送ったメールかを検証する技術です。
まずメール送信者は、利用するDNSサーバーにIPアドレス情報を登録します。これは「SPFレコード」という形で保管され、後にメール受信者が送信元情報を照合するために利用します。
メール受信者は、受信メールのIPアドレスとSPFレコードの内容が一致するか、送信者側のDNSサーバーに問い合わせます。IPアドレスが適合した場合は受信し、適合しなかった場合は受信拒否するか、スパムフォルダにフィルタリングする仕組みです。なお、検証後の対応は利用サービスやメールソフトによって変わります。
DKIMとは
DKIM(DomainKeys Identified Mail)とは、受信メールに付与された電子署名情報をもとになりすましを特定する電子署名方式の認証技術のことです。
メール送信者がやるべきことは、大きく2つあります。1つは、DNSサーバーのテキストレコードに公開鍵を登録すること、もう1つは送信メールに電子署名情報(秘密鍵)を付与することです。このプロセスを踏んだ後、通常通りメールを送信します。
続いてメール受信者は、送信メールに付与された電子署名情報をもとに、送信者側のDNSサーバーに対して公開鍵情報を要求します。取得した公開鍵で電子署名を検証し、一致した場合はメールを受信、一致しなかった場合は受信拒否などを行います。
DMARCとは
DMARC(Domain-based Message Authentication, Reporting and Conformance)とは、SPF認証やDKIM認証が認証に失敗したメールを管理する仕組みのことです。
DMARCを活用するためには、事前にSPFとDKIMの設定をしておく必要があります。その上で、自社ドメインに対して「DMARCレコード」を設定して、認証にしたメールをどのように扱うかのポリシーを記述します。
詳しい内容は以下記事をご参考ください。
関連記事はこちらDMARCとは?仕組みやメリット、設定方法を徹底解説
それぞれの認証方法の違い
まず、SPFとDKIMの違いについて説明します。
SPFとDKIMの大きな違いは、その検証内容にあります。SPFは、IPアドレス情報をもとになりすましかどうかを特定しますが、メール本文の改ざんは検知できません。一方のDKIMは、送信メールに電子署名情報が付与されており、それをもとに送信元情報とメール本文の正当性を確認します。これにより、メールアドレスだけでなくメール本文の不正な改ざんも検知できるようになります。
ただし、DKIM認証にはデメリットもあります。メール作成時に電子署名情報を付与するため、送信途中にメールを書き換えられると、受信後の検証で失敗することがあります。わかりやすい例が、メーリングリストから一斉送信されるメールです。悪意ある改ざんではないにしろ、状況次第では重要なメールが届かない可能性があります。
次に、SPF・DKIMとDMARCの違いですが、SPFとDKIMは正しいメールアドレスからの送信かどうかを確認する方法で、DMACはこのSPF・DKIMでの認証が失敗したときにそのメールをどう処理するかを決める認証方法になります。
送信ドメイン認証の効果的な活用法とは
ここではSPF認証やDKIM認証の活用方法や、導入にあたって必要な実施項目をご紹介します。
なりすましメールを検知できる
送信ドメイン認証を活用することによってなりすましメールを検知でき、検知方法はSPF認証とDKIM認証で異なります。ここでは、それぞれの方法についてご紹介します。
SPF認証のなりすましメール検知方法
SPF認証におけるなりすましメールの検知は、メールの送信サーバーのIPアドレスを「SPFレコード」という形式で送信者側のDNSに登録しておくことで行います。
具体的には、メールを受信する際に受信側は送信側のDNSヘSPFレコードを要求し、返答されたSPFレコードが受信したメールの実際の送信元IPアドレスと一致するかを確認するという仕組みです。これにより正しい宛先から送られてきているかどうかを判断でき、なりすましメールかどうかを判別できます。
DKIM認証のなりすましメール検知方法
DKIM認証におけるなりすましメール検知方法では、送信者がメールを送信する際に電子署名を追加します。電子署名が追加されたメールを受信者が受信する際に正しい内容かどうか検証し、なりすましではないかどうかを検知します。
電子署名の検証はDNS上で提供されている「公開鍵」という鍵を利用して行われ、検証内容が一致すれば「正しい宛先から送られてきているメールである」と判断できるという仕組みです。
DMARCとの併用で認証精度を高める
認証方式によってはたとえ不正に送信されたメールでなくても、受信時の認証に失敗することがあります。それをカバーする仕組みとして、DMARCという認証方式が登場しました。
DMARCとは、SPF認証やDKIM認証が認証に失敗したメールを管理する仕組みのことです。例えば、悪意ある第三者からなりすましメールが送られてきたとします。仮にメールサーバーのポリシーが「受信する」となっていた場合、SPF認証などに失敗しても、メールボックスには入ります。これを誤って開封すると、何らかの被害が生じる可能性があります。
DMARCを設定した場合、認証に失敗したメールは「None(何もしない)」「Reject(拒否)」「Quarantine(隔離)」といったポリシーのうち、どれかひとつで対応します。これらのポリシーは、受信者側が自由に設定可能です。
DMARCは、Gmailをはじめとする主要メールサービス、メール配信システムが対応しています。なりすましメール対策などから認証精度を高めたい場合、DMARC対応のサービスを選ぶようにしてください。
方式の導入に必要な実施項目
まずは、送信者側に必要な実施項目からご紹介します。SPFでは、DNSサーバーへのIPアドレス情報の登録、DKIMでは公開鍵の設置および送信メールへの電子署名情報の付与が必要です。DMARCにおいてはDNSサーバーへのDMARCレコードの設置、認証の可否確認および処理結果をまとめたDMARCレポートの受信設定、関連サービス、システムの導入を行います。
受信者側は、各方式の認証が行えるサービスやシステムの導入を行います。DMARCはやや特殊で、別途DMARCレポートを自動送信する設定が必要です。
このように、送信者側と受信者側で実施項目は変化します。どちらの立場になってもスムーズに対応できるよう、双方の実施項目を把握しておくことが大切です。
なりすましメール対策の重要性
なりすましメールへの対策を十分に行っていないと、「自社がなりすましメールによる攻撃対象になる」「問題のないメールまで送受信できなくなる」といった2つのリスクが生じます。
前述のDKIM認証やSPF認証が可能な環境が整備できていれば、メールを受信する際にそれぞれのなりすまし検知方法によって「差出人がメールアドレスを偽っていないかどうか」を確かめることが可能です。しかし認証環境が整っていないと、なりすましメールであることに気がつかないまま受信してしまうことが考えられます。結果的になりすましの指示に従って機密情報を送信してしまうなど、自社にとっての不利益が発生するおそれがあるでしょう。
加えて自社がなりすましメールへの対策を講じていないと、メールを送信したときに相手が自社のメールアドレスがなりすましによるものでないかどうかを検証することもできません。結果として、本来は問題のないメールであっても「このメールはなりすましかどうかを判断できないため、危険なメールアドレスである」とみなされて、受信を拒否されてしまう可能性があります。
こういったリスクを防ぐためにも、なりすましメールへの対策は重要だといえるでしょう。
関連記事はこちらなりすましメールとは?例から見る見分け方、確認と対策方法をご紹介
関連記事はこちらなりすましメールに注意!SPF認証とDKIM認証の違いとは
Gmailアカウント宛にメールを送る場合は送信ドメイン認証の設定が必須に!
Googleの「メール送信者のガイドライン」では、Gmailアカウント宛てに配信したメールが迷惑メールに分類されたりブロックされることを防ぐためのガイドラインが記載されています。
このガイドラインに大きなアップデートがあり、2024年2月以降、Gmailアカウントに1日あたり5,000件以上のメールを送信する送信者に対して、以下8つの要件が義務付けられます。
送信者が 対応すべき要件 |
① | 送信ドメイン認証(SPF/DKIM/DMARC)の設定 |
---|---|---|
② | メールの送信にTLSを使用する | |
③ | Gmailを送信元として設定しない | |
④ | 迷惑メール率を0.1未満に保ち、0.3%を超えないようにする | |
配信ツールを 提供する企業が 対応すべき要件 |
⑤ | ワンクリックで購読解除ができるようにする |
⑥ | メールの形式はRFC5322に準拠する | |
⑦ | PTRレコード設定の必須化 | |
⑧ | ARCヘッダー設定の必須化 |
※②~④はGmail宛にメールを送るすべての送信者に義務付けられます
8つの要件のうち、表内の⑤~⑧はメール配信ツールを提供する企業側での対応要件となるので関係ありませんが、メールを配信する担当者においては①~④の要件を2024年2月までに実施する必要があります。
要件の1つである「送信メールを認証する」では、「SPF」「DKIM」「DMARC」の3つの設定が必須となります。
メール配信システムなどを利用してメール配信をしている場合は、そもそも利用中のメール配信システムがSPFとDKIMに対応しているかどうか確認しておく必要があります。
システムによっては、対応しているプランが限られていたりオプション契約が別途必要になったりする場合もあります。2024年2月までにガイドラインに沿った対応を完了するためにも、早めに確認しておくことをおすすめします。
DMARCの設定については、以下の記事でも紹介しておりますのでぜひご参考ください。
関連記事はこちらDMARCとは?仕組みやメリット、設定方法を徹底解説
株式会社ラクスが提供するメールマーケティングサービス「配配メール」では、SPF・DKIMに対応しております。また、ユーザー様に対してはSPF・DKIM・DMARCの設定支援をサポートにて実施しておりますので、ご興味のある方は以下バナーよりお問い合わせください。
まとめ
メールによる詐欺行為の手口は、年々巧妙化しています。なかには実在するメールアドレスを不正取得し、標的型攻撃やフィッシング詐欺などに利用するケースも報告されています。このような“なりすまし被害”に巻き込まれないよう、送信ドメイン認証を積極的に導入したいところです。
メール施策におけるセキュリティ対策が心配な方は、利用サービスやシステムの送信ドメイン認証対応状況を今一度ご確認ください。
「配配メール」は、企業の集客・販促活動に携わる方のメールマーケティング業務を支援するサービスです。
シンプルな配信操作、見やすい成果指標レポート、メールの反応による見込み客の可視化、サイト来訪通知といった機能によりメールマーケティングの実践をサポートします。
また、機能の提供だけではなく、ナレッジ提供や個社の運用に踏み込んだ手厚いアフターフォローにより、お客様の販促の成功に向け伴走します。
メール配信の初心者から本格的なメールマーケティングの実践を目指している方まで、どなたでも安心してお使いいただけるサービスとして、お客様に長く愛され、98%の継続利用率を維持しています。
記事執筆者紹介
人気記事
- 【2024年最新】メールの一斉送信を効率化するメール配信ソフト12選!活用方法も紹介 2024年08月07日
- 一斉送信メールのマナーとは?複数送信のBCC・CCの使い分けを解説 2024年08月23日
- メルマガとは?5分で基本知識から効果的な配信方法がわかる基礎講座 2024年09月13日