公開日:2023年3月8日最終更新日: 2023年3月8日
なりすましメールなどの各種迷惑メールが増えてきたことから、対策としてSPF・DKIM・DMARCという3種類の認証が利用されるようになっています。
ただ、急速に普及してきたもので理解されていない人も多いため、今回はこれらについて解説します。
目次 <Contents>
送信元ドメイン認証が必要とされる背景
送信元ドメイン認証が必要とされる背景には、迷惑メールの増加が挙げられます。特になりすましメールを利用したフィッシング詐欺などが横行しているため、企業は対策を迫られている状況です。
なりすましメールに有効な送信元ドメイン認証
近年はメールの送信元ドメインを詐称して、フィッシング詐欺のWebサイトなどに誘導する「なりすましメール」による被害が増えています。これを鑑みてGmailなど主要なメールサービスでは、送信元ドメインを認証できない場合は迷惑メール扱いとして扱うことがあるぐらいです。
正式な発信元であっても、送信元ドメイン認証が設定されていないことで「怪しいメール」と判断されてしまうことは不本意でしょう。
そのため、受信者を守り自分たちの正当性を証明するためにも、送信元ドメイン認証が利用されています。
なりすましメールの被害に多い詐欺
なりすましメールによる事例や被害として有名なのは「フィッシング詐欺」「ワンクリック詐欺」などです。大手企業など知名度が高く利用者の多い企業を名乗ったメールを送付して、偽サイトに誘導するものです。誘導した先でクレジットカード情報やアカウント情報を入力させて、情報を搾取します。
今ではネットリテラシーが向上していて、このようなメールを開かない人やリンクをクリックしない人が増えました。ただ、企業として対策しなければ心象が悪くなってしまう可能性があり、迷惑メールやなりすましメールかどうか判断できる、送信元ドメイン認証が重要視されています。
SPF・DKIM・DMARCによる送信元ドメイン認証
送信元ドメイン認証は大きく分けて3種類
迷惑メールを送信する際の送信元ドメイン認証には大きく分けて3種類あり、簡単にまとめると以下のとおりです。
| 認証方法 | 対応方法 | 特徴 | |
|---|---|---|---|
| SPF | DNSレコードに送信元となるサーバーを登録しておき、メールのヘッダーと一致しているか判断する | DNSサーバーにレコードを登録する | 少ない工数で対応可能 |
| DKIM | メールに電子署名を付与して正当性を証明する | 電子署名を取得する | 電子署名であるためヘッダーと本文のすべてを保護可能 |
| DMARC | SPFとDKIMを組み合わせたもの | SPFとDKIMSの両方を対応する | 送信元の証明だけではなく、メールの処理についても指定可能 |
SPF認証とは
SPFはIPアドレスなど送信元メールサーバーの情報を踏まえて、なりすましメールかどうかを判断します。
送信元ドメインは事前にDNSサーバーへ送信元になるIPアドレスを登録しておき、事前に認証されたサーバーからメールが送信されているか判断する仕組みです。事前に認証情報となるレコードを登録しておく必要があり、このレコードを「SPFレコード」と呼びます。
メールを受信した側は、メールのヘッダーに含まれる送信元ドメインとDNSサーバーに設定されているSPFレコードを照合します。これらに差異があるとなりすましメールの可能性があると判断し、一致していれば信頼できると判断可能です。
DKIM認証とは
DKIMは秘密鍵を利用した電子署名を活用して、送信元のメールアドレスが正当なものであることを証明します。送信するメールに電子署名を付与しておくことで、受信者側は電子署名の内容から、なりすましや改ざんされていないかを評価可能です。
注目してもらいたい点は、送信元ドメイン認証ができるだけではなく、メール本文やヘッダーの改ざんについても確認できることです。
SPFではここまでの確認ができないため、DKIMを利用するメリットと言えます。より信頼性の高いメールを送付できると考えましょう。
ただ、SPFのようにレコードを登録するだけではなく、電子署名の設定や運用管理が必要となります。そのため、利用にあたっては専門知識が必要とされ、運用できるだけの人材を集めるなど負担が生じかねません。
DMARC認証とは
DMARCは上記で解説したSPFとDKIMの内容を踏まえて、メールの処理方法まで指定できるものです。基本的に送信元の認証に失敗した際、どのような処理をするか指定しておきます。
処理方法についてはDNSサーバーに登録しておき、プロトコルに対応している受信者はそれを参照することで全員が同じ対応を取れる仕組みです。例えば「認証に失敗した際はメールを削除する」と定義しておけば、受信者は認証に失敗した段階でなりすましメールなどを削除できます。
SPFやDKIMは送信元のドメインを認証できますが、その後の処理については指定できません。それに対してDMARCはその後の処理まで指定できるため、より安全性の高い状態でメールを送信できます。
ただ、DMARCを利用するためには受信者側もこのプロトコルに対応しなければなりません。残念ながら日本ではDMARCが普及しているとは言い難い状況であり、送信側が送信元ドメイン認証に力を入れすぎても効果を発揮できない状況です。
また、受信者からメールの処理結果についてレポートを受け取る必要があり、通信料やサーバーの負荷が増えてしまうという課題もあります。
送信元ドメイン認証方式の選び方
送信元ドメイン認証は解説のとおり3種類あります。これらの中でもどれを選択すれば良いのか、選び方についても解説します。
1. 認証精度の高さ
最初に認証精度の高さを意識すべきです。どの方式もなりすましメールを防ぎ、受信者に安心感を与えるものです。可能な限り認証精度の高いものを提供した方が、受信者の満足度向上につながるでしょう。
どの方式も認証できることには違いありませんが、SPFよりもDKIMの方がより認証精度は高くなっています。DKIMは電子署名を利用した認証であるため、メール本文もヘッダーも認証が可能であるからです。可能であればDKIMを導入しましょう。
なお、DMARCも電子署名を利用しているため、認証精度という観点ではどちらも同じです。
2. 導入の負担
導入にどの程度の負担がかかるのかを考えなければなりません。基本的に認証精度を高めると導入の負担や導入してからの負担が高まるため、トレードオフになると考えるべきです。
負担を軽減してまずは送信元ドメイン認証を導入したいならば、SPFを導入すれば十分でしょう。一般的ななりすましメールは防げるようになるため、ドメインを守りフィッシング詐欺などを防止できるようになります。また、DNSレコードの追加が中心であるため負担は最小限です。
逆にDKIMは電子署名であるため、専門的なスキルが必要となるなど導入の負担は大きくなります。場合によっては人材の確保から始めなければなりません。費用対効果を踏まえて、本当に導入すべきかを検討しましょう。
3.普及状況
送信元ドメイン認証の普及状況も踏まえなければなりません。特にDMARCは日本であまり普及しているものではないため、コストをかけて導入しても費用対効果が薄くなる可能性があります。
送信元ドメイン認証は自社を守るためのものではありますが、受信者に信頼感を与えるという意味合いが大きいでしょう。そのため、この信頼感を感じられない方法を採用しても意味がありません。信頼感を感じやすいのはDKIMという状況であるため、こちらを軸にして検討を進めてみましょう。
まとめ
なりすましメールの防止などに役立つ送信元ドメイン認証について解説しました。認証方法は「SPF・DKIM・DMARC」の3種類があり、必要に応じてどれを利用するか検討しなければなりません。
基本的には普及度合いを踏まえてSPFかDKIMの利用になるため、これらについて理解を深めておくことをおすすめします。
お客様が運営するクラウドの監視・保守・運用業務を、ジードが代行いたします。
お客様のご要望に沿って、適切なクラウド選定から設計・構築までを行います。
Azure上で、AI + 機械学習、分析、ブロックチェーン、IoTを開発します。