ポスト

電子メール認証規格。SPF、DKIM、DMARCは、電子メールのなりすましを削減し、電子メールの配信能力を向上させることが期待されています。なりすまし(偽装)メールと正当なメールを区別する一方で、メール認証規格は、送信者の身元を確認することで、メールが正当なものかどうかをさらに区別します。

より多くの組織がこれらの規格を採用するようになると、電子メールコミュニケーションにおける信頼性と権威のメッセージが全体的に再確認されるようになります。メールマーケティング、プロジェクトの依頼、金融取引、企業内または企業間の一般的な情報交換に依存しているすべての企業は、これらのソリューションが何を達成するために設計されているのか、また、これらのソリューションからどのようなメリットを得られるのか、基本的なことを理解する必要があります。

なりすましメールとは?

電子メールのなりすましは、今日、企業が遭遇する一般的なサイバーセキュリティの問題です。この記事では、なりすましの仕組みと、それに対抗するためのさまざまな方法を理解します。また、メールプロバイダが使用する3つの認証規格であるSPF、DKIM、DMARCについて学び、なりすましを阻止する方法を紹介します。

電子メールスプーフィングは、高度な技術を組み合わせてメッセージング環境を操作し、電子メールの正当な機能を悪用する、高度なソーシャルエンジニアリング攻撃に分類されます。このような電子メールは、一見すると完全に正当なもののように見えますが、お客様の情報やリソースにアクセスすることを意図して作成されていることがよくあります。電子メールスプーフィングは、詐欺行為やセキュリティ侵害、さらには企業の機密情報へのアクセスなど、さまざまな目的で使用されます。電子メール偽装の中でも非常に一般的な形態であるスプーフィング攻撃は、実際の送信者ではなく、利用している信頼できる企業から送られてきたと受信者を欺くことを目的としています。電子メールが大量に送受信されるようになったため、このような悪質な電子メール詐欺が近年急激に増加しています。

メール認証で「なりすまし」を防ぐには?

メール認証では、SPF、DKIM、DMARCなどのプロトコルを使用してメール送信元を検証し、攻撃者がドメイン名を偽造して無防備なユーザーを騙すなりすまし攻撃を行うのを防ぎます。また、メール送信者の正当性を証明するための検証可能な情報を提供し、認証に失敗したメールの処理方法を受信側のMTAに指定することができます。

したがって、メール認証のさまざまなメリットを挙げると、SPF、DKIM、DMARCがその助けとなることが確認できます。

  • フィッシング攻撃、ドメイン・スプーフィング、BECからのドメインの保護
  • メール送信元に関する詳細な情報とインサイトの提供
  • ドメインレピュテーションとメール配信率の向上
  • 正当なメールがスパムとしてマークされるのを防ぐ

SPF、DKIM、DMARCはどのように連携してなりすましを防ぐのか?

送信者ポリシーフレームワーク

SPFは、スパマーがあなたのドメインを代表してメッセージを送信するのを防ぐために使用されるメール認証技術です。SPFレコードを使用すると、許可されたメールサーバーを公開することができ、お客様のドメインを代表してメールを送信することを許可されたメールサーバーを指定することができます。SPFレコードはDNSに保存され、お客様の組織のためにメール送信を許可されているすべてのIPアドレスがリストアップされます。

SPFを適切に機能させるためには、SPFがメールに影響を与えないようにする必要があります。これは、10個のDNSルックアップの制限を超えた場合に起こる可能性があり、SPF permerrorの原因となります。SPFフラットニングは、制限を超えないようにし、メールをシームレスに認証するのに役立ちます。

ドメインキーズ・アイデンティファイド・メール

信頼できる送信者になりすますことは、受信者を騙して警戒心を解かせるために使われます。DKIMは、お客様の受信箱から送られてくるすべてのメッセージにデジタル署名を追加するメールセキュリティソリューションです。これにより、受信者は、それが本当にお客様のドメインから承認されたものであることを確認し、お客様のサイトの信頼できる送信者リストに入ることができます。

DKIMは、ドメイン名にリンクした固有のハッシュ値を各送信メールに付与することで、受信者は、特定のドメインから来たと主張するメールが、本当にそのドメインの所有者によって承認されたものかどうかを確認することができます。これにより、「なりすまし」を発見することができます。

ドメインベースのメッセージ認証、レポート、コンフォーマンス

SPFとDKIMを実装するだけでも送信元を確認するのに役立ちますが、それだけではなりすましを阻止するのに十分な効果はありません。サイバー犯罪者が受信者に偽装メールを配信するのを阻止するためには、今すぐDMARCを導入する必要があります。DMARCは、電子メールのヘッダーを揃えて電子メールのFromアドレスを検証し、なりすましの試みやドメイン名の不正使用を暴くのに役立ちます。さらに、ドメイン所有者は、SPFおよびDKIM認証に失敗した電子メールにどのように対応するかを、電子メール受信サーバーに指定することができます。ドメインオーナーは、必要なDMARCエンフォースメントの度合いに応じて、偽装メールの配信、隔離、拒否を選択することができます。

注意してください。 拒否のDMARCポリシーでのみ、スプーフィングを止めることができます。

さらに、DMARCは、ドメイン所有者にメールチャネルと認証結果の可視性を提供するためのレポートメカニズムも提供しています。DMARCレポートアナライザーを設定することで、メール送信元、メール認証結果、不正IPアドレスの地理的位置、メールの全体的なパフォーマンスなどの詳細情報をもとに、メールドメインを定期的に監視することができます。DMARCデータを整理された読みやすいフォーマットに解析し、攻撃者に対してより迅速に対策を講じることができます。

最終的には、SPF、DKIM、DMARCが連携することで、組織のメールセキュリティを新たな高みへと導き、攻撃者によるドメイン名の偽装を阻止して、組織の評判や信頼性を守ることができるのです。

お客様のドメインにDKIMを設定する方法をご紹介する前に、DKIMとは何かについて少し説明します。DKIM(DomainKeys Identified Mail)とは、送信メールの真正性を確認するために使用されるメール認証プロトコルです。このプロセスでは、メールサーバーが生成した秘密の暗号鍵を使用して、各送信メールメッセージに署名します。これにより、受信者は、受信したメールがお客様のメールサーバーから送信されたものであり、偽造されたものではないことを確認することができます。これにより、配信能力が向上し、スパムを排除することができます。簡単に言うと、DKIMが有効なメールサーバーからのメールには、デジタル署名(正確には暗号署名)が含まれており、受信者のメールサーバーがこれを検証することができます。

DKIMは、DomainKeys(Yahooのもの)やIdentified Internet Mail(Ciscoのもの)といった既存の技術を組み合わせて作られたものです。現在ではDKIMと呼ばれる広く普及した認証方法に発展し、IETF(Internet Engineering Task Force)のRFC(Request for Comments)にも登録されています。Google、Microsoft、Yahooなどの主要なISPは、送信メールのメールヘッダーに埋め込むデジタル署名を作成し、受信メールを独自のポリシーで検証しています。

今回のブログでは、メールを認証するためにDKIMで使用されているメカニズムとその様々な利点を掘り下げ、独自ドメインにDKIMを設定する方法についてもご紹介します。

なりすましからドメインを守るためにDKIMを設定するには?

DKIM署名はMTAが生成し、リストドメインに保存されます。メールを受信した後、公開鍵を使ってDKIMを検証することができます。メッセージのアイデンティティを証明できる認証メカニズムとしてのDKIM。この署名は、メッセージが正当なサーバーによって生成されたものであることを証明します。

特に最近は、ドメイン・スプーフィング攻撃が増加しているので、これが必要です。

DKIM署名とは何ですか?

DKIMを使用するためには、署名に何を含めるべきかを決める必要があります。一般的には、メールの本文といくつかのデフォルトヘッダーが対象となります。これらの要素は一度設定すると変更できませんので、慎重に選択してください。電子メールのどの部分をDKIM署名に含めるかを決定したら、有効なDKIM署名を維持するために、これらの要素を変更しないでおく必要があります。

DKIMセレクターと混同されないように、DKIM署名は、「ハッシュ値」として知られる任意の文字列値のコンソーシアムにすぎません。お客様のドメインにDKIMが設定されると、送信側のメールサーバーは、お客様だけがアクセスできる秘密鍵でこの値を暗号化します。この署名により、送信したメールが送信後に変更されたり、改ざんされたりしていないことが保証されます。DKIM署名を検証するために、メール受信者はDNSクエリを実行して公開鍵を検索します。公開鍵は、ドメインを所有している組織から提供されます。これらが一致すれば、メールは本物として分類されます。

3つの簡単なステップでDKIMを設定するには?

PowerDMARCでDKIMを簡単に実装するために必要なのは、無料のDKIMレコードジェネレーターを使ってDKIMレコードを生成することだけです。DKIMレコードは、あなたのドメインのDNSで公開されるDNS TXTレコードです。次に、当社のDKIMレコードルックアップツールを使用して、無料のDKIMルックアップを行うことができます。この無料ツールは、ワンクリックでDKIMチェックを行い、お客様のDKIMレコードにエラーがなく、有効であることを確認します。ただし、レコードを生成するためには、まずあなたのDKIMセレクターを特定する必要があります。

自分のDKIMセレクターを確認するには?

ドメイン所有者からよく寄せられる質問に、「自分のDKIMを見つけるにはどうすればよいか」というものがあります。 あなたのDKIMセレクターを見つけるために、必要なことは以下の通りです。

1) gmailアカウントにテストメールを送る 

2) gmailの受信箱にあるメールの横にある3つの点をクリックする

3) "show original "を選択 

4) "Original Message "ページで、ページ下部のDKIM署名セクションに移動し、"s="タグの位置を確認してください。 

DMARCとDKIM

よくある質問として、DKIMを実装するだけで十分なのかというものがあります。その答えは「ノー」です。DKIMは、送信者の正当性を検証するために、メールメッセージを暗号化して署名するのに役立ちますが、メール受信者がDKIMに失敗したメッセージに応答する方法を提供していません。ここで、DMARCの出番です。

DMARC(Domain-Based Message Authentication, Reporting and Conformance)は、SPF/DKIM認証に失敗したメッセージに対してドメイン所有者が対処できるようにするための電子メール認証プロトコルです。これにより、ドメイン・スプーフィング攻撃やBECの可能性を最小限に抑えることができます。DMARCとSPFおよびDKIMを併用することで、メールの配信能力が10%向上し、ドメインの評価が高まります。

今すぐPowerDMARCに登録して、DMARCアナライザーの無料トライアルをご利用ください。

なぜDKIMが必要なのですか?SPFでは不十分なのでしょうか?

リモートワークでは、特にフィッシングやサイバー攻撃の数が増えています。フィッシング攻撃は、無視できない最悪のものがほとんどです。仕事上の電子メールの送受信量が増えても、職場でのチャットやインスタントメッセージングアプリが増えても、オフィスで働く多くの人にとって、社内外のビジネスコミュニケーションは依然として電子メールが主流です。

しかし、マルウェアやエクスプロイトをネットワークや認証情報に忍び込ませ、センシティブなデータを明らかにするというサイバー攻撃の入り口として、通常、メールが最もよく使われていることは周知の事実です。SophosLabs社が2020年9月に発表したデータによると、スパムトラップに引っかかった悪質なスパムのうち、 97%が認証情報などを狙うフィッシングメールだっ たという。

このうち、残りの3%は、悪意のあるウェブサイトへのリンクや、罠を仕掛けた添付ファイルを含んだメッセージが混在し ていました。これらは主に、バックドア、リモートアクセス・トロイの木馬(RAT)、情報窃盗、エクスプロイトをインストールしたり、その他の悪意のあるファイルをダウンロードしたりすることを目的としていました。

発信元が何であれ、攻撃者にとってフィッシングは、最終的な目的が何であれ、恐ろしく効果的な戦術であることに変わりはない。組織は、電子メールがその送信元を主張する人物や送信元から来たものであるかどうかを確認するために、いくつかの強固な手段を取ることができます。

DKIMはどのように役立っているのか?

組織のメールセキュリティは、メールが送られてきたと思われるドメインで設定されている認証ルールに反するような、すべての受信メールをチェックできるようにしておく必要があります。DKIM(DomainKeys Identified Mail)は、受信メールをチェックして、何も変更されていないかどうかを確認するためのものです。正当なメールの場合、DKIMは特定のドメイン名にリンクされたデジタル署名を見つけることができます。

このドメイン名は、メールのヘッダーに添付され、ソースドメインには対応する暗号キーがあります。DKIMの最大のメリットは、メールのヘッダーにデジタル署名を付与することで、メールを受信したサーバーがそのヘッダーを暗号で認証し、有効かつオリジナルであると判断できることです。

これらのヘッダーは通常、 「From」、「To」、「Subject」、「Date」と署名されています。

なぜDKIMが必要なのか?

サイバーセキュリティ分野の専門家によると、DKIMは公式メールを保護するために日常的に必要とされています。DKIMでは、MTA(Mail Transfer Agent)によって署名が生成され、ハッシュ値と呼ばれるユニークな文字列が作成されます。

さらに、ハッシュ値はリストアップされたドメインに保存されており、メールを受信した後、受信者はDNS(Domain Name System)に登録されている公開鍵を用いてDKIM署名を確認することができます。その後、この鍵を使ってヘッダーのハッシュ値を復号化し、受信したメールからハッシュ値を再計算します。

この後、専門家は、これら2つのDKIMシグネチャが一致した場合、MTAはメールが変更されていないことを知ることになります。さらに、ユーザーは、メールが実際にリストされたドメインから送信されたことをさらに確認することになります。

DKIMは、2004年にDomain keys(Yahooが作成したもの)とIdentified Internet Mail(Ciscoが作成したもの)の2つの局番を統合して形成されたもので、組織の電子メール手続きをかなり信頼できるものにする、広く採用されている新しい認証技術に発展してきましたが、Google、Microsoft、Yahooなどの大手ハイテク企業が受信メールにDKIM署名があるかどうかを常にチェックしているのはそのためです。

DKIMとSPFの比較

SPF(Sender Policy Framework)とは、電子メール認証の一つで、偽装や詐欺を防ぐために、認証されたメールサーバーから送信された電子メールメッセージを検証するプロセスを定義したものです。

組織内ではSPFとDKIMの両方を使用しなければならないという意見がほとんどですが、DKIMには他よりも優れた点があります。その理由は以下の通りです。

  • DKIMでは、ドメイン所有者が暗号鍵を公開しますが、これはDNSレコード全体の中でTXTレコードとして特別にフォーマットされています。
  • メッセージのヘッダーに添付されている固有のDKIM署名によって、より信頼性の高いものになっています。
  • 受信メールサーバーがメッセージの署名を検出して復号するために使用するDKIMキーは、メッセージがより本物であり、変更されていないことを証明するので、DKIMを使用することがより有益であることがわかります。

結論から言うと

多くの企業にとって、DKIMはフィッシングやなりすましの攻撃から企業を守るだけでなく、顧客との関係やブランドの評判を守るのにも役立ちます。

これは、DKIMが暗号化キーとデジタル署名を提供することで、電子メールが偽造・変更されていないことを二重に証明するため、特に重要です。これらの実践により、組織や企業は、メールの配信能力を向上させ、安全なメールを送信することで、収益を上げることに一歩近づくことができます。しかし、これらをどのように使い、どのように導入するかは、企業次第です。多くの企業がサイバー攻撃や脅威から身を守りたいと考えている中で、これは最も重要なことであり、関連性のあることです。

DMARCサービスを提供している私たちは、よくこのような質問を受けます。"もしDMARCがSPFとDKIMの認証を使うだけなら、なぜわざわざDMARCを使う必要があるのか?不必要なものではないのか?"

表面的にはほとんど違いがないように見えるかもしれませんが、現実は大きく異なります。DMARCはSPFとDKIMの技術を組み合わせただけではなく、それ自体が全く新しいプロトコルなのです。DMARCにはいくつかの特徴があり、世界で最も先進的なメール認証規格の1つであり、企業にとっては絶対に必要なものです。

しかし、ちょっと待ってください。なぜDMARCが必要なのか、正確な答えが出ていません。SPFやDKIMにはない、DMARCの特徴とは?まあ、それはかなり長い答えで、1つのブログ記事には長すぎます。だから、それを分割して、まずSPFについて話しましょう。慣れていない方のために、簡単にご紹介します。

SPFとは?

SPF(Sender Policy Framework)とは、メール受信者をなりすましメールから保護するためのメール認証プロトコルです。SPFレコードは、お客様(ドメイン所有者)のチャンネルを通じてメールを送信することを許可されたすべてのIPアドレスのリストです。受信サーバーは、あなたのドメインからのメッセージを見ると、あなたのDNSで公開されているSPFレコードをチェックします。送信者のIPがこの「リスト」にあれば、メールは配信されます。そうでなければ、サーバーはそのメールを拒否します。

ご覧のように、SPFは、お客様のデバイスに害を及ぼしたり、組織のセキュリティシステムを危険にさらしたりする可能性のある、多くの好ましくない電子メールを排除するために、かなり良い仕事をしています。しかし、SPFは一部の人が考えているほど良いものではありません。それは、SPFにはいくつかの大きな欠点があるからです。ここでは、その問題点について説明します。

SPFの限界

SPFレコードは、Fromアドレスには適用されません。

メールには、送信者を特定するための複数のアドレスがあります。通常表示されるFromアドレスと、1~2回のクリックで表示される隠れたReturn Pathアドレスです。SPFを有効にすると、受信側のメールサーバーはリターンパスを見て、そのアドレスのドメインのSPFレコードをチェックします。

ここで問題となるのは、攻撃者がリターンパスのアドレスに偽のドメインを使い、Fromセクションに正当な(または正当に見える)メールアドレスを使うことで、これを悪用できることです。仮に受信者が送信者のメールIDを確認したとしても、まずFromアドレスを見て、一般的にはリターンパスをわざわざ確認することはありません。実際、ほとんどの人はReturn Pathアドレスというものがあることすら知らないのではないでしょうか。

SPFは、この単純なトリックを使うことで非常に簡単に回避することができ、SPFで保護されたドメインであってもほとんど無防備になります。

SPFレコードは、DNSルックアップの制限があります。

SPFレコードには、ドメイン所有者がメール送信を許可したすべてのIPアドレスのリストが含まれています。しかし、これには決定的な欠点があります。受信サーバーは、送信者が許可されているかどうかを確認するためにレコードをチェックする必要があり、サーバーの負荷を軽減するために、SPFレコードのDNSルックアップは10回までとなっています。

つまり、あなたの組織が複数のサードパーティベンダーを使用して、あなたのドメインを通じてメールを送信している場合、SPFレコードはその制限をオーバーシュートしてしまう可能性があります。適切に最適化されていなければ(自分でやるのは簡単ではありませんが)、SPFレコードには非常に制限の多い上限が設定されています。この制限を超えると、SPFの実装が無効であるとみなされ、メールはSPFに失敗します。これにより、メールの配信率が低下する可能性があります。

 

メールが転送されたときにSPFが機能しないことがある

SPFには、メール配信に支障をきたすもう一つの重大な障害点があります。お客様のドメインにSPFを実装している場合、誰かがお客様のメールを転送すると、転送されたメールがSPFポリシーによって拒否されることがあります。

これは、転送されたメッセージによってメールの受信者が変更されたが、メールの送信者のアドレスは同じままであるためです。これが問題になるのは、メッセージにはオリジナルの送信者のFromアドレスが含まれているのに、受信サーバーには別のIPが表示されているからです。転送先のメールサーバのIPアドレスは、オリジナルの送信者のドメインのSPFレコードに含まれていません。その結果、受信サーバーでメールが拒否されてしまうことがあります。

DMARCはこれらの問題をどのように解決するのでしょうか?

DMARCは、SPFとDKIMを組み合わせて電子メールを認証します。電子メールがDMARCを通過して正常に配信されるためには、SPFまたはDKIMのいずれかを通過する必要があります。さらに、SPFやDKIMだけの認証よりもはるかに効果的な重要な機能が追加されている。レポーティングです。

DMARCレポートでは、お客様のメールチャネルのステータスに関するフィードバックを毎日得ることができます。これには、DMARCの整合性に関する情報、認証に失敗したメールのデータ、潜在的なスプーフィングの試みに関する詳細が含まれます。

なりすましメールを受け取らないためにはどうしたらいいのかとお考えの方は、メールのなりすましを防ぐための5つの方法をまとめた便利なガイドをご覧ください。