近年、標的型攻撃やフィッシング詐欺をはじめとした、「なりすましメール」の被害が増加しています。このような脅威から身を守るため、多くの企業で「送信ドメイン認証」の導入が進められています。今回は、送信ドメイン認証の基礎知識と効果的な活用方法をご紹介します。

送信ドメイン認証（SPF/DKIM）とは

送信ドメイン認証とは、差出人の送信元情報を検証し正規のサーバーから送られたメールかどうか（メールそのものが正規のものかどうか）を識別する技術のことです。具体的な特徴を解説する前に、電子メールの送受信の仕組みからご紹介します。

電子メールの送受信の仕組み

私達がスマートフォンなどで受信するメールは、「POP3サーバー」と呼ばれる受信サーバーから送られています。その際に「ユーザー認証」というプロセスを経て、メール受信者の身元を確認します。IDやパスワードが正当である場合のみ、メールを受信できる仕組みです。

一方、メール送信時は「SMTPサーバー」にアクセスした後、受信者が利用するPOP3サーバーへと転送されます。もちろん、メール送信時にも悪意ある第三者やウイルスなどによる、なりすましメールを防ぐためのIDやパスワードで認証を行うSMTP認証があり、普及しています。

しかしながら、なりすましメールを防ぐには、これらの対策だけでは不十分です。

実は、電子メールが仕組みとして持つ2つのFromアドレスが関係しています。

1つめは、エンベロープFrom（Envelope-From）アドレスです。郵送物にたとえると、封筒に記載されている差出人名です。SMTPという送信プロトコルのコマンドを利用して送信されるFromアドレスで、そもそもこの情報が正しくないと送信ができない本当のFromアドレスです。バウンスメールと呼ばれるメールの配送エラーを受信するのもこちらのエンベロープFromアドレスです。

もう1つは、ヘッダFrom（ Header-From）アドレスです。こちらも郵送物にたとえると、封筒の中の便箋に書かれている差出人名にあたります。こちらが仕様上、実際の差出人とは異なる情報を表示することができるアドレスとなります。いわゆるなりすましメールは、このヘッダFromアドレスを不正に変更することで送られています。残念ながら多くの人は、直接見ることができる文面の情報を信用しているからです。（エンベロープFromアドレスを調べる人はほとんどいません。）そのため、このヘッダFromアドレスがなりすましに利用されることになります。

そのため、完全になりすましメールを防ぐためには、悪用されている可能性の高いヘッダFromではなく、実際に送信に利用されているエンベロープFromアドレスを、予め設定した送信元として許可されているものかどうかを認証する必要があります。そこで役立つのが送信ドメイン認証となります。

送信ドメイン認証の意義

送信ドメイン認証は、なりすましメールを排除することで結果的にスパムメールそのものが減少するという考えのもと、提唱された技術です。送信元情報をドメイン単位で検証することで、上述のとおり、ヘッダFromアドレスを詐称したなりすましメールを検知します。現在はインターネットプロバイダーを中心に導入されており、なりすましメールによる被害を防ぐうえで、最も有効なメール認証技術と考えられています。

さまざまな認証方式の特徴と違い

送信ドメイン認証には「SPF」「DKIM」「DMARC」といった複数の認証方式が存在します。ここでは、代表的な認証方式であるSPF認証とDKIM認証の特徴をご紹介します。

SPF認証とは

SPF認証（Sender Policy Framework）とは、受信メールのIPアドレスを利用し、正規の送信元が送ったメールかを検証する技術です。

まずメール送信者は、利用するDNSサーバーにIPアドレス情報を登録します。これは「SPFレコード」という形で保管され、後にメール受信者が送信元情報を照合するために利用します。

メール受信者は、受信メールのIPアドレスとSPFレコードの内容が一致するか、送信者側のDNSサーバーに問い合わせます。IPアドレスが適合した場合は受信し、適合しなかった場合は受信拒否するか、スパムフォルダにフィルタリングする仕組みです。なお、検証後の対応は利用サービスやメールソフトによって変わります。

DKIM認証とは

DKIM認証（DomainKeys Identified Mail）とは、受信メールに付与された電子署名情報をもとになりすましを特定する電子署名方式の認証技術のことです。

メール送信者がやるべきことは、大きく2つあります。1つは、DNSサーバーのテキストレコードに公開鍵を登録すること、もう1つは送信メールに電子署名情報（秘密鍵）を付与することです。このプロセスを踏んだ後、通常通りメールを送信します。

続いてメール受信者は、送信メールに付与された電子署名情報をもとに、送信者側のDNSサーバーに対して公開鍵情報を要求します。取得した公開鍵で電子署名を検証し、一致した場合はメールを受信、一致しなかった場合は受信拒否などを行います。

SPF認証とDKIM認証の違い

SPF認証とDKIM認証の大きな違いは、その検証内容にあります。SPF認証は、IPアドレス情報をもとになりすましかどうかを特定しますが、メール本文の改ざんは検知できません。一方のDKIM認証は、送信メールに電子署名情報が付与されており、それをもとに送信元情報とメール本文の正当性を確認します。これにより、メールアドレスだけでなくメール本文の不正な改ざんも検知できるようになります。

ただし、DKIM認証にはデメリットもあります。メール作成時に電子署名情報を付与するため、送信途中にメールを書き換えられると、受信後の検証で失敗することがあります。わかりやすい例が、メーリングリストから一斉送信されるメールです。悪意ある改ざんではないにしろ、状況次第では重要なメールが届かない可能性があります。

送信ドメイン認証の効果的な活用法とは

ここではSPF認証やDKIM認証の活用方法や、導入にあたって必要な実施項目をご紹介します。

なりすましメールを検知できる

送信ドメイン認証を活用することによってなりすましメールを検知でき、検知方法はSPF認証とDKIM認証で異なります。ここでは、それぞれの方法についてご紹介します。

SPF認証のなりすましメール検知方法
SPF認証におけるなりすましメールの検知は、メールの送信サーバーのIPアドレスを「SPFレコード」という形式で送信者側のDNSに登録しておくことで行います。
具体的には、メールを受信する際に受信側は送信側のDNSヘSPFレコードを要求し、返答されたSPFレコードが受信したメールの実際の送信元IPアドレスと一致するかを確認するという仕組みです。これにより正しい宛先から送られてきているかどうかを判断でき、なりすましメールかどうかを判別できます。

DKIM認証のなりすましメール検知方法
DKIM認証におけるなりすましメール検知方法では、送信者がメールを送信する際に電子署名を追加します。電子署名が追加されたメールを受信者が受信する際に正しい内容かどうか検証し、なりすましではないかどうかを検知します。
電子署名の検証はDNS上で提供されている「公開鍵」という鍵を利用して行われ、検証内容が一致すれば「正しい宛先から送られてきているメールである」と判断できるという仕組みです。

なりすましメール対策の重要性

なりすましメールへの対策を十分に行っていないと、「自社がなりすましメールによる攻撃対象になる」「問題のないメールまで送受信できなくなる」といった2つのリスクが生じます。
前述のDKIM認証やSPF認証が可能な環境が整備できていれば、メールを受信する際にそれぞれのなりすまし検知方法によって「差出人がメールアドレスを偽っていないかどうか」を確かめることが可能です。しかし認証環境が整っていないと、なりすましメールであることに気がつかないまま受信してしまうことが考えられます。結果的になりすましの指示に従って機密情報を送信してしまうなど、自社にとっての不利益が発生するおそれがあるでしょう。

加えて自社がなりすましメールへの対策を講じていないと、メールを送信したときに相手が自社のメールアドレスがなりすましによるものでないかどうかを検証することもできません。結果として、本来は問題のないメールであっても「このメールはなりすましかどうかを判断できないため、危険なメールアドレスである」とみなされて、受信を拒否されてしまう可能性があります。
こういったリスクを防ぐためにも、なりすましメールへの対策は重要だといえるでしょう。

関連記事はこちらなりすましメールとは？例から見る見分け方、確認と対策方法をご紹介

関連記事はこちらなりすましメールに注意！SPF認証とDKIM認証の違いとは

DMARCとの併用で認証精度を高める

認証方式によってはたとえ不正に送信されたメールでなくても、受信時の認証に失敗することがあります。それをカバーする仕組みとして、DMARCという認証方式が登場しました。

DMARCとは、SPF認証やDKIM認証が認証に失敗したメールを管理する仕組みのことです。例えば、悪意ある第三者からなりすましメールが送られてきたとします。仮にメールサーバーのポリシーが「受信する」となっていた場合、SPF認証などに失敗しても、メールボックスには入ります。これを誤って開封すると、何らかの被害が生じる可能性があります。

DMARCを設定した場合、認証に失敗したメールは「None（何もしない）」「Reject（拒否）」「Quarantine（隔離）」といったポリシーのうち、どれかひとつで対応します。これらのポリシーは、受信者側が自由に設定可能です。

DMARCは、Gmailをはじめとする主要メールサービス、メール配信システムが対応しています。なりすましメール対策などから認証精度を高めたい場合、DMARC対応のサービスを選ぶようにしてください。

方式の導入に必要な実施項目

まずは、送信者側に必要な実施項目からご紹介します。SPFでは、DNSサーバーへのIPアドレス情報の登録、DKIMでは公開鍵の設置および送信メールへの電子署名情報の付与が必要です。DMARCにおいてはDNSサーバーへのDMARCレコードの設置、認証の可否確認および処理結果をまとめたDMARCレポートの受信設定、関連サービス、システムの導入を行います。

受信者側は、各方式の認証が行えるサービスやシステムの導入を行います。DMARCはやや特殊で、別途DMARCレポートを自動送信する設定が必要です。

このように、送信者側と受信者側で実施項目は変化します。どちらの立場になってもスムーズに対応できるよう、双方の実施項目を把握しておくことが大切です。

まとめ

メールによる詐欺行為の手口は、年々巧妙化しています。なかには実在するメールアドレスを不正取得し、標的型攻撃やフィッシング詐欺などに利用するケースも報告されています。このような“なりすまし被害”に巻き込まれないよう、送信ドメイン認証を積極的に導入したいところです。

メール施策におけるセキュリティ対策が心配な方は、利用サービスやシステムの送信ドメイン認証対応状況を今一度ご確認ください。