メールのセキュリティ対策！メール送信ドメイン認証(SPF・DKIM・DMARC)のご紹介

こんにちは、顧客サービス部iSTAFF24グループの宮田です。
本日は、お客様からたびたびご相談いただく業務上欠かせないメールの送信ドメイン認証についてご紹介いたします。

なぜメールの送信ドメイン認証が必要なのか

メールは現在でもビジネスコミュニケーションの中核であり、当然ながら仕事に関する情報のやり取りに用いられています。

しかしそんな中で、メール送信者を偽装するスパムやフィッシング攻撃が増えてきています。
これらの被害を受けると、スパムメールが大量に届くようになったり、IDやパスワードを抜き取る等を目的とした詐欺メールの被害に遭う可能性があります。

これの対策となるのが送信ドメイン認証です。
認証を行うことで、受信者はメールの信頼性を高め、不正な送信者からのメールをブロックしやすくなります。

今回はそんなメールの送信ドメイン認証である、SPF・DKIM・DMARC について紹介したいと思います。

メール送信ドメイン認証

メール送信ドメイン認証である SPF・DKIM・DMARC についてどんなものなのかご紹介いたします。

SPFとは

SPFは “Sender Policy Framework” の略称で、DNSの仕組みを利用して送信元ドメインが詐称されていないかを検査するための技術です。

DNSにSPFレコードという情報を追加し、該当ドメインのメールを送信して良いメールサーバのIPアドレス等を記述しておきます。
メール送信プロトコルであるSMTPは、差出人のメールアドレスを事由に設定出来るため送信元メールアドレスを偽装することができますが、それを防ぐためにSPF対応のメールサーバではDNSにSPFレコードを問い合わせて、許可されてない送信元からのメールの場合ドメインの偽装があったとして、受信を拒否する等の処理を行います。

DKIMとは

DKIMは “DomainKeys Identified Mail” の略称で、メールにおける送信ドメインを認証する技術です。

送信メールに電子署名を付与して、受信側がこの電子署名からドメイン情報を取得しDNSサーバから取得した公開鍵を検証することで、送信元メールアドレスの詐称やメールの改ざんを検知することが可能です。

DMARCとは

DMARCは “Domain-based Message Authentication、Reporting and Conformance” の略称で、先ほど紹介したSPFとDKIMを用いてドメインを認証する技術です。

SPFやDKIMでは認証に失敗したメールの扱いは受信者の判断に任されています。
そして認証に失敗したことやメールの処理に関して送信者には知らされません。

そこでDMARCは、SPFとDKIMでの認証失敗時にどのように処理すればよいかを、ポリシーとなるレコードをDNSに登録することで表明します。
受信者は認証に失敗した場合送信者のポリシーを参照して、該当のメールをどのように扱うかを決定できます。

さらにDMARCでは、認証失敗時に送信者宛に認証失敗のレポートを送信することができます。
それにより送信者は自身のメールシステムの運用が正しく行われているか確認することができます。

送信ドメイン認証を行うメリット

• スパム対策の強化・ビジネス詐欺の防止
  SPFを設定することで、送信元の認証ができるため、スパムやフィッシング対策になります。

 

• 信頼性向上
  DKIMを設定することで、メールの内容がオリジナルから変更されていないか検証できるため、信頼性が向上します。

 

• 不正メール（認証失敗メール）の取り扱いを決められる
  DMARCを設定することで、不正メール等の認証失敗メールを受信させない設定が可能である。

 

• レポートの受信
  DMARCを設定することで、DMARC認証の閣下に関するフィードバックを受信して、驚異の特定や認証の改善を行うことが出来ます。

送信ドメイン認証の設定方法

SPF・DKIM・DMARC の設定方法について簡単にご紹介します。

SPF

1. メールで使用しているDNSに、SPFレコードを登録します。
   SPFレコードには、メールサーバのIPアドレスやホスト名を記載することが出来ます。

DKIM

1. DKIM用の公開鍵と秘密鍵を作成します。
   秘密鍵は送信側が、公開鍵は受信側が使用します。
2. メールで使用しているDNSに、先ほど作成した公開鍵情報を使用してDKIMレコードを登録します。
   DKIMレコードには、公開鍵識別用のセレクタ名、公開鍵情報を記載します。
3. メールサーバに秘密鍵を登録します。
   作成した秘密鍵をメール送信用のサーバに登録します。

DMARC

1. SPFレコードを登録します。
2. DKIMレコードを登録します。
3. メールで使用しているDNSに、DMARCレコードを登録します。
   DMARCレコードには、認証失敗時の処理方法や、レポート受信用のメールアドレスを記載します。

SPFは比較的気軽に設定できますが、DKIMやDMARCに関しては設定運用に少し手間がかかりますね。

メール送信ドメイン認証の対応事例

実際にお客様へメール送信ドメイン認証の設定を行った事例をご紹介します。

セキュリティを考慮した依頼

1つ目は、セキュリティ面を考えて認証を行ってほしいというお問い合わせから送信ドメイン認証を行うケースです。

現状、送信ドメイン認証されている割合は年々上がっているため、気にされるお客様も多いです。
そんな、送信ドメイン認証の設定をご依頼いただいております。

メールが届かないという問い合わせ

2つ目は、メールが届かない原因が判明したのちに、送信ドメイン認証を行うケースです。

実はこちらのお問い合わせの方が多く、主に独自ドメインのメールアドレスからGmailへメールが届かないというケースが最も多いです。
それもそのはず、Gmailではなりすましと迷惑メール対策としてGmail宛のメールに対して認証要件を行っています。
SPFまたはDKIMが設定されていない場合、エラーとなるか迷惑メールに分類されるようになっています。
この対策として、送信ドメイン認証の設定をご依頼いただいております。

• 参考：SPF を使用してなりすましと迷惑メールを防止する

最後に

今回はメール送信ドメイン認証についてご紹介しました！
アイクラフトでは、クラウドサーバ・ネットワークの新規構築・移行・監視・運用保守まで幅広く行っております。
今回ご紹介させていただいた、メール送信ドメイン認証も取り扱っておりますので調査や構築など、是非お気軽にご相談ください。

お問い合わせはこちら

この記事を書いた人

宮田

アイクラフト株式会社
顧客サービス部　iSTAFF24Gr.

---

入社3年目の宮田です。
アイクラフトで駆け出しインフラ屋さんをやっています。
おおよそ月一のペースで、気になったインフラ系のあれこれをゆるーく紹介しています。