「送信ドメイン認証」について知っていますか?2024年2月からGmailが迷惑メール対策を強化するというニュースが話題になりました。その対応内容の1つに「SPFとDKIM、DMARCの設定」が挙げられます。これらの違いや仕組みを図付きでわかりやすく解説します。
迷惑メール対策強化、求められる対応は?
今回のGmailの変更内容の1つとして、次のような内容があります。
つまり、SPFかDKIMのどちらかに対応していないと、2024年2月以降はGmail宛にメールを送信できないことを意味します。また、メールマガジンを配信しているような組織で、1日に5000件以上のメールを送信しているのであれば、DMARCへの対応も求められています。
このSPFやDKIM、DMARCはいずれも「送信ドメイン認証」といわれる技術です。つまり、メールサーバーがメールを受信したときに、その送信元が信頼できるものなのか(偽装して送信されていないか)を認証する仕組みです。
それぞれについて、もう少し詳しく知っておきましょう。
送信ドメイン認証が必要な理由
郵便を送るとき、差出人の欄に他人の名前や住所を書いて郵便を送っても気づかれないように、メールでも送信元に表示される名前は簡単に偽装できます。表示名だけでなくメールアドレスを偽装したい場合も、メールソフトの設定を変えるだけです。
もちろん、そのメールアドレスに返信すると、他人が送信したことはわかってしまいますが、フィッシング詐欺のメールなどであれば、メールに返信することはほとんどありません。このため、他人がなりすまして送信していても、気づかない可能性があります。
このとき、差出人のメールアドレスとして、「エンベロープFrom」と「ヘッダーFrom」があります。郵便物でも封筒での差出人の他に、中身の手紙に名前が書かれているのと同じように、メールでも2種類の差出人があるのです。
一般に、簡単に書き換えられるのは「ヘッダーFrom」の方です。「エンベロープFrom」も偽装できますが、こちらは少し高度なのでここでは省略します。
SPFとは
SPFは、送信元のメールサーバーの管理者が、自社のドメインを管理するDNSサーバーに「SPFレコード」と呼ばれるテキストレコードを設定し、送信元メールサーバーのIPアドレスを登録しておくものです。
このときに使われるのは「エンベロープFrom」のドメインです。つまり、受信したメールサーバーはエンベロープFromのドメインからDNSサーバーを検索し、そこに記載されているSPFレコードのIPアドレスと、送信元のメールサーバーのIPアドレスを比較し、正しいメールサーバーから送信されたのかを判断します。
DKIMとは
DKIMは、送信元のメールサーバーの管理者が、自社のドメインを管理するDNSサーバーに証明書として公開鍵の内容を登録しておくものです。そして、その公開鍵に対応する秘密鍵で署名した内容をメールに記載して送信します。この署名にはドメイン名も書かれています。
受信したメールサーバーは、メールに書かれているドメイン名のDNSサーバーから公開鍵を取得し、その公開鍵でメールの署名を確認することで、正規のメールサーバーから送信されていることを確認します。
本来のメールサーバーとは異なるメールサーバーから送信されると、公開鍵で署名を検証できないため、送信元を偽装したメールだと判断できます。また、メールの文面を書き換えた場合も、署名が一致しないため、改ざんされたメールだと判断できます。
DMARCとは
SPFではメールのエンベロープFromを見てチェックしていますが、送信元が偽のDNSサーバーを用意して、メールのヘッダーFromを書き換えて送信すると、問題ないメールだと判断されてしまいます。
また、偽のメールサーバーからメールを送信されたとしても、本来のメールサーバーは経由しないため、そのようなメールが送信されていることに気づけません。
こういった問題を解決するために使われるのがDMARCです。DMARCでは、エンベロープFromだけでなくヘッダーFromも合わせて確認します。そして、SPFやDKIMの検証に失敗した場合は、メールを配信せずにエラーメールを返すこともできます。
それだけでなく、受信したメールサーバーから、届いたメールについてのレポートを送信できることが特徴です。DNSサーバーにDMARCレポートの送信先を登録しておくことで、そこに記載されているメールアドレスに対し、レポートを送信します。
つまり、偽のメールサーバーからメールが送信されると、そのことを確認できるのです。
さいごに、知っておきたいこと
問題なく使えるのが当たり前、というインフラのようになっているメールですが、迷惑メールを防ぐために、さまざまな取り組みが進められています。上記のSPF、DKIM、DMARC以外にも、BIMIなど新しい技術が登場しています。
最近では安価に使えるVPSなども登場しており、手軽に設定を試すこともできるようになりました。新しい技術が登場する背景を知ることに加え、実際に設定して技術的な難易度なども体感してみてください。