電子メールは簡単に送信元を偽装できるため、なりすましやフィッシング詐欺を防ぐための仕組みが必要です。
そこで、メールの送信元を確認するための技術として SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting, and Conformance) が広く使用されています。
これらを適切に設定することで、信頼できるメールのみを受信し、不正なメールの流通を抑えることができます。
■SPF(Sender Policy Framework)
SPFは、メールの送信元として許可されたメールサーバーを指定し、それ以外のサーバーから送られたメールを「なりすまし」と判定する仕組みです。
仕組み
メールを受信する側のサーバーは、送信元のドメインが公開しているDNSレコードを参照し、送信メールのサーバーがリストに含まれているかをチェックします。
もし、リストにないサーバーから送られてきた場合、そのメールは「送信元の正当性が保証されていない」と判断されます。
メリット
SPFを設定することで、第三者が勝手に自分のドメインを使ってメールを送信することを防ぐことができます。
また、設定が比較的シンプルで、導入しやすいのも利点です。
デメリットと注意点
SPFは送信経路に依存するため、メールが転送された場合に「本来の送信サーバーとは異なるサーバーを経由している」と判断され、誤って認証に失敗することがあります。
また、SPFだけではメールの改ざんを防ぐことはできません。
■DKIM(DomainKeys Identified Mail)
DKIMは、送信されるメールに電子署名を付与し、受信側がその署名を検証することで、「本当に送信元のドメインから送られたのか」「内容が改ざんされていないか」を確認する仕組みです。
仕組み
メールを送信する際、送信サーバーがメール本文やヘッダー情報をもとに電子署名を作成し、これをメールに埋め込みます。
受信側のサーバーは、送信元のドメインのDNSに公開されている鍵を使って署名を検証し、改ざんされていないことを確認します。
メリット
DKIMを導入することで、メールの内容が送信後に改ざんされていないことを保証できます。
また、SPFと異なり、メールが転送された場合でも、署名が有効であれば認証に成功するため、より信頼性が高い手法です。
デメリットと注意点
DKIMを利用するには、送信サーバー側で適切に署名を行う設定が必要になります。
また、DNSに公開鍵を登録する必要があり、設定のミスによって認証が失敗する可能性もあります。
さらに、DKIM単体では「どのようなポリシーで認証結果を扱うか」は決まっていないため、なりすましメールの防止効果は限定的です。
■DMARC(Domain-based Message Authentication, Reporting, and Conformance)
DMARCは、SPFやDKIMの認証結果を基に、「どのようにメールを扱うべきか」というポリシーを定める仕組みです。
また、不正なメールの検出状況をレポートとして送信元に通知する機能も備えています。
仕組み
受信サーバーは、送信者のドメインが公開しているDMARCポリシーを参照し、SPFやDKIMの結果を基に、メールを受け入れるか拒否するかを判断します。
ポリシーには、認証に失敗したメールを「そのまま受け入れる」「迷惑メールフォルダに振り分ける」「完全に拒否する」などの指定が可能です。
また、DMARCを設定すると、不正なメールがどの程度送られているかを把握できるレポートを受け取ることができます。
メリット
DMARCを導入することで、SPFやDKIMの認証結果に基づいて、なりすましメールをより厳格にブロックできるようになります。
また、レポート機能を活用することで、自分のドメインを悪用したメール攻撃の実態を把握できるため、より適切な対策を講じることが可能になります。
デメリットと注意点
DMARCのポリシーを厳しく設定しすぎると、正当なメールまで誤って拒否される可能性があります。
特に、SPFやDKIMの設定が完全でない状態でDMARCのポリシーを強化すると、正規のメールも届かなくなるリスクがあるため、導入時は慎重に設定を行う必要があります。
また、レポートを適切に管理しないと、運用負担が増える可能性もあります。
【導入に関して】
SPFは送信元のサーバーを限定することでなりすましを防ぎ、DKIMは電子署名によってメールの改ざんを防止します。
DMARCは、これらの仕組みを統合して、認証に失敗したメールの処理方法を明確に定め、レポート機能を提供します。
これらを適切に組み合わせることで、不正なメールのリスクを大幅に減らし、安全なメール運用を実現することができます。
ただし、設定を誤ると正当なメールもブロックされてしまうため、導入前に十分な検証を行うことが重要です。