送信ドメイン認証技術（SPF、DKIM ）やDMARCとはどのような仕組みか？

皆さんも日々、多くの迷惑メールを受けとっていると思いますが、この迷惑メールのFromアドレスをよく見ると、どこかの企業やサイトになりすましたメールが多いのではないでしょうか？

電子メールは、優れたコミュニケーション手段である一方、メールの送信元であるFromアドレスは自由に設定し、送信できる仕組みです。このため、フィッシングメールなど、迷惑メールのほとんどは、Fromアドレスをなりすまし、送られているのが現状です。

なりすましメールを受信者に届かないようにしたい...

このなりすましメールを排除し、スパムメールを減らすことを目的として、送信元のドメインが正しいものであるかを受信側で判断できるようにするため、送信ドメイン認証という技術が存在します。

では、送信ドメイン認証技術とは、どのようなものなのでしょうか？

▼送信ドメイン認証技術は、大きく2種類に分類される

送信ドメイン認証技術は、大きく2種類に分類することができます。

送信元のIPアドレスを利用する方法

IPアドレスを利用して受信したメールの送信元が詐称されていないかどうかを確認するための技術で、SPF、Sender IDといった認証技術が該当します。

また、国内の主要携帯キャリアでは、SPFを取り入れていることから、2014年6月時点でのSPF普及率は94.31%（※1）と高い普及率を保っています。

※1 出典元：総務省「送信ドメイン認証結果の集計(SPF) (2014年6月時点)」

電子署名を利用する方法

メールに電子署名を付与することで、受信したメールの送信元が詐称されていないかどうかを確認するための技術で、DKIM、DomainKeysといった認証技術が該当します。
また、 2014年6月時点でのDKIMの普及率は、39.84%（※2） と徐々に普及率が増加しています。

※2 出典元：総務省「送信ドメイン認証結果の集計(DKIM)（2014年6月時点）」

▼SPFやDKIMも万能ではない

このように送信ドメイン認証技術が普及し、なりすましメールを防止できるような環境が整えば、なりすましメールを隔離したり、受信拒否したりできるはずです。

しかし、この送信ドメイン認証技術は、設定方法やメールの配送経路などの違いにより、正しいメールが受信側で判断できないケースも少なからず存在します。

そのような場合、メールの送信側、受信側のそれぞれで、以下のような問題が生じる場合もあります。

送信側

何らかの問題があり、認証が正しく行われなかった場合、問題を発見することが難しい。
メール受信側は問題を発見できても、送信側で認証が正しく行われているかを知る方法が標準で備わっていない。

受信側

認証が正しくなかった場合、なりすましメールであるのか、または何らかの技術的問題が発生しているだけなのかを判断することが難しい。

このような問題を補うための仕組みとして、DMARCという仕組みが公開されました。

▼DMARCは、SPFとDKIMを利用した仕組み

DMARCとは「Domain-based Message Authentication,Reporting and Conformance」の略で、
SPF、DKIMといった既存の認証技術を利用して、詐称されたメールを受信側がどう扱うべきかの方針をドメインの管理者側が宣言するための仕組みです。2012年1月にGoogle、Facebook、Microsoftをはじめとする15社の米国企業がスパムやフィッシングの脅威撲滅を目的としたワーキンググループ「DMARC.org」を発表しました。

DMARCは、先述の問題を補うため、送信側で受信側の認証結果を受け取る窓口を公開できる仕様にしており、認証結果のレポートを受け取ることができるようになっています。

さらに、メール受信側で認証が失敗したメールに対して、

• 動作を指定しない（none）
• 隔離する（quarantine）
• 拒否する（reject）

といったメール受信時の処理方法を示すことができます。

そのため、DMARCを導入し、様子を見ながら、徐々に「拒否する（reject）」といったような強い処理方法に変えていくこともできるのです。ドメインで強い処理方法が導入できるようになれば、なりすましメールのようなスパムメールを排除できるようになると期待されています。

このようにSPFやDKIM、さらにはDMARCなど、スパムメールを排除・受信者に届かないようにするための技術や仕組みは日々進化しているのです。

この製品に関してのお問い合わせ