前回の記事でご紹介した、なりすましメールを防ぐ「DMARC」を使うためには「SPF」と「DKIM」の設定が必要です。「DMARC」は単体で機能するシステムではなく、複数のメール認証方法を組み合わせて動作させています。

今回は「SPF」と「DKIM」について、それぞれどのような認証方法で、どのような手法でなりすましメールを防いでくれるのか、簡単にご紹介します。

SPFでメールアドレスの詐称を防ぐ

SPF とは「Sender Policy Framework」の略です。
メール送信元のドメインに正当性があるか確かめるための認証技術のことで、サイバー攻撃を行う側にとってやっかいな認証技術であるため、スパムメールによる被害を減らすことができます。

メールの発信元（ドメインの所有者）ができること

• 持っているドメインがメール送信に使うサーバを指定できる
• SPF レコード「TXT RR」を発行し、ドメインを利用できるIPアドレスを明確にする

メールの受信側が（ドメインの所有者）ができること

• SPF レコード「TXT RR」を検証し、正当性があるメールであるか確認する
• SPF レコード「TXT RR」に記載されているIPアドレスからのメールのみ認証できる

SPFの注意点

• SPF認証を行っても受信トレイに不要なメールが入ることがある
• 転送メールには通用しない（SPFが解除される）
• 「header from」の偽装には対応していない
• プロバイダを変更した場合やストリームを追加した場合はSPFレコードの更新が必要

迷惑メールの手法は日々研究されており、SPFを設定しても、なりすましメールを受信することがゼロになるとはいいきれません。
日頃から、従業員に向けて「怪しいメールの見分け方」や、「迷惑メールを見つけたときに取るべき行動」などのメールセキュリティに関する教育を行っておくことが大切です。

DKIMでメールの改ざんを確認

SPFは転送メールには通用しないのですが、DKIMでは、電子署名を使ってメールの転送中においてもデータが改ざんされていないか調べることができます。
DKIMを入れている場合は、第三者による代理署名も通用しません。

サイバー攻撃の手口の一例として、既存のメールの情報を改ざんするケースがありますが、メールの任意の箇所に電子署名を設定すると、改ざんされたメールを判別できます。

また、送信メールが迷惑メールフォルダに振り分けられないようにすることも可能です。

メールのheader部分の改ざんをチェック

• メールのドメイン指定、エンベロープ（Mail from）
• メール発信者の情報（from）
• メールのタイトル（Subject）
• メールの送信日時（Date）
• メールの送り先（To）
• 返信先アドレス（Reply-To）

なりすましメールでは、ドメインやメールアドレスを改ざんし、信頼できる送信元であるようにメールの内容を改ざんして送られることもあります。
DKIMでメールをチェックすると、目視でわからないことも判明するため、セキュリティレベルを高められることがメリットです。

どこをチェックするのか設定できる

迷惑メールは、前述の電子署名に該当する部分だけではなく、メール本文の口座番号や名義人の名称などを部分的に改ざんするケースもあります。

DKIMでは、どの部分を「正式な電子署名」にするのか決められることが特徴です。

例えば

• メ―ル全体を署名プロセスに含める
• メールのheader部分のみを署名プロセスに含める

などの設定が可能です。

メール本文の「改ざんされたら困るところ」を電子署名にしておくことで、悪意がある情報に書き換えられても判別可能になります。

改ざんが認められればDKIM署名の認証に失敗して、「メールが改ざんされたこと」が判明します。

DKIMの注意点

• 普及率が低く電子署名の有無だけですべてのメールを判別することができない
• 技術者にしか見ることができず一般社員への被害は防ぎにくい
• 現段階ではなりすましメールを完全に防ぐことはできない
• 実装やシステムの管理が難しいシステムで専門知識が必要

改ざんされたメールの振り分けに役立つDKIMですが、今の段階で完璧な状態であるとはいえません。セキュリティ対策の一環として導入することはできますが、難解なシステムであるため扱える人が限られます。

DMARCの認証に失敗したらどうなる？

受信したメールがDMARCの認証に失敗したら、受信した側はそのメールを受け取るのか、拒否するのかを選択できます。

自分が発信側でDMARCの認証に失敗してしまった場合は、受信側に問題があるのか、送信側に問題があるのか検証する必要があります。

SPFの認証に失敗した場合は、メールのヘッダーのアドレスが、SPFで認証している配信元（Fromや=Return-Path)と一致しているか確認してください。

DKIMの認証は、そもそもDKIMを導入している企業が少ないため、メールが拒否されることはあまりありません。エラーメッセージを元に、先に設定した情報と照らし合わせて確認します。

簡単に利用できるメールをお探しならサイバーウェイブジャパン

お客様の業務の効率化や時代に合わせたITサービスを提供する「株式会社サイバーウェイブジャパン」では、簡単に利用できるメールサービスの提供を行っています。

クラウドメールサービスの「CWJ Secure One」は、迷惑メールの隔離やウイルスメールの駆除を行い、標的型メール攻撃を防ぐメールサービスです。

特別な設定は必要なく、多くの社員が使えるメールをお探しでしたら、気軽にご相談ください。弊社の専門のコンサルタントが、貴社に合う適切なサービスについてご案内する「無料ワークショップ」も開催しています。

この記事のポイント

• SPFとはどんなシステム？

  SPF とは「Sender Policy Framework」の略で、メール送信元のドメインに正当性があるか確かめるための認証技術のことです。

  詳しくは「SPFでメールアドレスの詐称を防ぐ」をご覧ください。

• DKIMとはどんなシステム？

  DKIMでは、電子署名を使って、メールの転送中にデータが改ざんされていないか調べることができます。
  また、送信メールが迷惑メールフォルダに振り分けられないようにすることも可能です。

  詳しくは「「DKIMでメールの改ざんを確認」をご覧ください。

• DMARCの認証に失敗したらどうなる？際に注意することは？

  受信したメールがDMARCの認証に失敗した場合、メールを受信した側はそのメールを受け取るのか、拒否するのかを選択できます。

  詳しくは「「DMARCの認証に失敗したらどうなる？」をご覧ください。

「株式会社サイバーウェイブジャパン」では、一般の従業員も簡単に利用できる、セキュリティにこだわったクラウドメールやオンラインストレージをお探しの方に、ぴったりのサービスを専門コンサルタントがご案内しています。