詐称メールの対策と課題

株式会社エアー　岩崎 隆弘

詐称メールの対策としてメールサーバで採用されているSPF、DKIM、DMARCについてお話しします。この3つはいずれもメールを中継するメールサーバ（MTA）に実装されている機能です。メール中継で使われるSMTPが開発された当時は不正利用を想定していなかったため、差出人を簡単に詐称できてしまいます。それを防止するためSPF、DKIM、DMARCが開発されました。それぞれの仕組みについて簡単に説明します。

SPF(Sender Policy Framework)

メールが正規のサーバから送信されたものかチェックします。差出人のドメインが登録されたサーバ（中継元のIPアドレス）と一致しているか確認します。

DKIM(DomainKeys Identified Mail)

証明書を用いてメールの内容をチェックします。SPFはメールが正規のサーバが送られてきたかチェックするだけですが、DKIMではメールの内容もチェックするので改ざんの有無まで確認する事ができます。

DMARC(Domain-based Message Authentication Reporting and Conformance)

SPFやDKIMの結果を利用し、不正メールの隔離や拒否を行う事ができるようにするものです。
管理者はDMARCを導入しているインターネット上のMTAから、自ドメインが送信しているメールのSPFやDKIMの結果レポートを受け取る事ができるので、詐称メールの客観的な状況を知る事ができます。その状況に応じて、受諾、隔離、拒否の扱いをインターネット上のMTAに指示できます。管理者は自ドメインのメールの扱いをどうするか決めてMTAに知らせるだけで良く、大量に送られてくるメールの扱いをどうするか決める必要はありません。

チェックの結果が合格であれば受信メールヘッダーのAuthentication-Results: にspf=pass dkim=passなどの結果が記録されています。メーラーによっては、結果により「詐称メールの可能性があります」といったメッセージを表示するものがあるようです。

これらは差出人アドレスのドメインが正規のサーバから発信されたものかどうかをチェックするもので、ドメイン内の成りすましまではチェックできない事に注意が必要です。また、こうした仕組みを利用するには送信側と受信側の両方のサーバが対応している必要がありますが、自主的に導入するものですので、送信相手が未対応であるからと言って拒否する事はできません。
そこで普及率が問題になりますが、現状は SPF 95%、DKIM 70%、DMARC 60% 程度となっています。詐称メール対策の新たな手段としてBIMIが普及しつつありますが、DMARCが必要になるので普及にはまだ時間がかかると思われます。

詐称メールを特定する事ができればいいのですが、詐称されていない事を示す事しかできません。ですので、詐称されている可能性があるメールは、この仕組みとは別の方法や人が判断する必要があります。
しかし、普及により誰でも簡単にメールを送信する事が難しくなっているので、それなりの効果はあると考えられます。完全とはいかないと思いますが、今後も普及が進み不正メールが減少する事を期待したいです。

これまでの社員コラムをチェックコラム一覧を見る