DMARCアライメントとは?必要性や種類、仕組みを徹底解説
昨今では実在する企業名を詐称して送信される「なりすましメール」が問題視されています。なりすましメールには、悪意あるソフトウェアやフィッシングサイトへのリンクが仕込まれており、偽装は巧妙化しています。そして、これらによる個人や企業内部の情報流出や、金銭の詐取といった被害が発生しており後を絶ちません。
このようななりすましメールを防ぐため、サイバーセキュリティ技術の開発が続けられています。メールセキュリティに関する技術のひとつである「DMARC」は、SPFやDKIMといった従来のメールの送信認証方法に加えて、さらに強固な認証を行う技術です。
この記事では、メール認証技術である「DMARCアライメント」の概要と、その必要性や仕組みについて解説します。
そもそもDMARCとは
DMARCは、電子メールの送信元を検証し、なりすましメールを防ぐためのプロトコルです。DMARCは、送信ドメインの正当性を確認し、なりすましメールのリスクを軽減するための重要な役割を果たします。
ドメインとはメールアドレスの@から後ろの文字部分を指し、ネットワークに接続する識別名になります。例えば、example.comのような形式です。ネットワーク上の住所に相当する数値情報のIPアドレスを、ドメイン名と変換して紐づける役割を担うのがDNSサーバーです。
送信ドメイン認証とは、メールサーバーで送信元が正しいドメイン所有者なのかをチェックし、合否を判断する仕組みです。DMARCは先に行われるSPFやDKIM認証に加えて、受信時にも認証判断を追加するため、なりすましメールの防止に高い効果があります。
DMARCとは
DMARCとは(Domain-based Message Authentication, Reporting, and Conformance)の略称ですDMARCはSPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)という二つの技術を組み合わせて機能します。
- SPF(Sender Policy Framework)
送信者のIPアドレスが正当な送信元として登録されているかどうかを確認します。「SPFレコード」としてIPアドレスをDNSに登録し、受信側メールサーバーがそのIPアドレスを照合することで認証を行います。 - DKIM(DomainKeys Identified Mail)
メールにデジタル署名を付与し、その署名が送信者ドメインに対して正当であることを確認します。これにより、メールの内容が改ざんされていないことを証明します。 - DMARC
SPFやDKIMの認証に加えて、受信側で追加認証を行うプロトコルです。DMARCポリシーに基づいて、SPFとDKIMの結果を統合し、メールの受信者がその結果に基づいて適切な処理を行うことを可能にします。
SPFドメイン認証は、送信者のドメインがDNSサーバーの登録情報と一致するかを確認します。これにより、送信元のIPアドレスが正当なものであることを検証します。
また、DKIM認証は、メールに付与された電子署名が送信者ドメインと一致するかを確認します。署名が一致することで、メールが改ざんされていないことを証明します。
DMARCの仕組み
DMARCの導入には「DMARCレコード」が必要となります。DMARCレコードは、DNSサーバーに登録されるポリシー情報であり、認証失敗時に行う処理内容(監視、隔離、削除)を明記しています。
DMARCは以下の順に進行します。
- DMARCレコードの登録
事前にDNSサーバーにポリシー情報を設定したDMARCレコードを登録します。 - DMARCレコードの確認:
メール受信時に、ヘッダFromドメインのDMARCレコードが登録されているかを確認します。 - 認証結果に基づく処理
認証に合格すれば受信し、認証に失敗した場合はDMARCレコードに従って処理します。 - 処理レポートの送信
処理結果のレポートを送信元へ送信します。
DMARCは従来のSPFやDKIMのドメイン認証に、追加のチェックを加えて判断をします。メール内の送信元情報と差出人情報の照合を行い、なりすましメールを防ぐ仕組みです。なりすましメールに対しては、強制的な隔離や排除など、ポリシーに記載の内容で処理を行います。
また、DMARCを導入したドメインからのメール受信時にはレポートが生成され、ドメイン所有者へ送られる仕組みです。レポートにはドメイン認証の合格または失敗した件数や、送信メールサーバーのIPアドレス情報が記載されています。これにより、正式なメールだけではなく、なりすましメールの配信や認証状況の把握が可能です。
DMARCのアライメントとは
DMARCのアライメントは、メールの送信元ドメインとSPF・DKIMで認証したドメインを照合し、一致すれば成立します。SPF・DKIM判定のどちらか一方が成功していないとDMARCの判定は成功しません。
アライメントとは
アライメント(Alignment)とは、認証対象ドメインとメールのヘッダFromドメインの「一致性」を指します。一致すれば正当なメールと判断されアライメント成立です。
そもそも、メールのヘッダFromドメイン部分の内容は送信者が自由に変更できます。この仕組みを悪用して無関係なドメインを詐称するのが「なりすましメール」です。
メールには、送信アドレスとして差出人情報「ヘッダFromドメイン」と送信元情報「エンベロープFromドメイン」の2つが設定されています。企業が大量の顧客向けに外部のメールサービスを利用する場合にも、差出人欄に自社名の表示が可能です。これは、一度に多人数へ向けたメール送信や転送の際に、他受信者を表示しないBCC機能を使えるメリットがあります。
エンベロープFromドメインは実際のメール送信者情報です。宛先メールサーバーへ届いた時点で不要となり破棄される情報で、「Return-Path」欄に記載されます。
アライメントの必要性
前項で述べたとおり、メールの差出人偽装は簡単です。この対策として開発されたSPF・DKIM認証では、送信者IPアドレスのDNSサーバー登録や電子署名により、なりすましメールの検証を行います。
しかし、なりすましメールがSPFレコードとエンベロープFromドメインを一致させている場合や、DKIMの秘密鍵が漏洩している場合、認証を通過してしまう恐れがあります。
そのうえ、どちらも差出人情報は保護されず書き換え可能なため、受信者がなりすましメールを誤って開いてしまう可能性があります。添付ファイルを開いてしまったり、うっかり内部リンクを踏んでしまったりなど、受信者側の操作ミスを防止できません。
DMARCアライメントでは、SPF・DKIM認証の欠点を補い、対処方法の設定により受信者をなりすましメールから保護することが可能です。また、問題のない正当なメールが誤認証されて送受信できなくなる事態も防ぎます。
DMARCアライメントの種類
各送信ドメイン認証ではアライメント成立の判断対象が異なります。
先にSPF・DKIMどちらかのアライメントが成立していれば、DMARCアライメントが一致の確認を行う流れです。
- SPFアライメント
ヘッダFromドメインとSPFレコードのドメインが一致するか確認し、許可された送信元からのメールであるかを認証します。
- DKIMアライメント
ヘッダFromドメインとDKIM署名ドメインの一致を確認し、送信元ドメインが正当であるかを認証します。
- DMARCアライメント
ヘッダFromドメインとエンベロープFromドメインの一致を確認し、許可された正当な送信元ドメインが送信者ドメインを改変していないかを検証します。
なお、一般的にDMARCでは、DKIMの認証結果を優先するよう推奨されています。
DMARCアライメントの仕組み
DMARCアライメントではDKIM署名のドメインを確認するほか、ヘッダFromドメインとエンベロープFromドメインの一致を検証します。
実際のメール送信者情報とメールに表示される差出人情報を参照するため、ヘッダFromドメイン内容を書き換えたなりすましメールは認証されません。
一方、アライメントが成立した正当なメールは安全に受信されます。DMARCレコードでなりすましメールへの処理を決めており、受信者側で自動的に隔離や削除の安全対策が可能です。
DMARCアライメントの失敗例
DMARCアライメントの失敗とは、何らかの理由でドメイン認証が一致しなかったケースのことです。DMARCアライメントはSPF・DKIM認証結果に加えて認証するため、先の認証が失敗している場合は成立しません。
ここでは「ex-domain.jpというドメインから、good-mail.comというメールサービスを利用して送信する場面」で起こり得る失敗例をあげてみましょう。
SPFアライメントの失敗例
SPFアライメントは、DNSサーバーに登録したIPアドレスを認証情報に使います。メールサービスはSPFレコードをgood-mail.comの自社ドメインで登録しています。
この場合、エンベロープFromドメインはgood-mail.comとなり、ヘッダFrom部分のex-domain.jpと一致しません。そのため、SPF認証が成立せずアライメントが失敗します。
この例を整理すると以下のようになります。
ex-domain.jp から送信する場合、SPFレコードが good-mail.com に設定されていると、エンベロープFromドメインが good-mail.com となり、ヘッダFromドメインの ex-domain.jp と一致しないため失敗します。
DKIMアライメントの失敗例
DKIMアライメントではメールサービスがgood-mail.comのドメインで電子署名を行います。これは電子署名の判定に合格しますが、ヘッダFromドメインがex-domain.jpとなり、署名ドメインがはgood-mail.comと一致しません。
この場合では差出人情報と署名ドメインの関係が証明できず、DKIMアライメントが失敗します。
この例を整理すると以下のようになります。
ex-domain.jp から送信する場合、DKIM署名が good-mail.com のドメインで行われると、ヘッダFromドメインの ex-domain.jp と署名ドメインの good-mail.com が一致しないため失敗します。
DMARCアライメントモードとは
DMARCアライメントは検証精度が異なる「Relaxed(緩和)」と「Strict(厳格)」の2種類があります。アライメントモードはDMARCレコードで設定可能です。
Relaxed
大きな組織のメールアドレスでは、ドメイン前に部署名を表すサブドメインを加える場合があります。Relaxedモードは柔軟性があり、ヘッダFromドメインにサブドメインが含まれていても、SPF・DKIM認証したドメインと一致すれば合格と判断します。
これはサブドメインを使用した複数のメールサービス利用にも有効な一方、判定が厳格ではないため、必ずしもなりすましメールを防ぐとは言えません。
Strict
StrictモードではヘッダFromドメインが、SPFアライメントのエンベロープFromドメインと完全一致しなければなりません。DKIMアライメントでも署名ドメインとの完全一致が必要です。
そのため、なりすましメールから受信者を強力に保護できる反面、サブドメインが含まれている場合は正当なメールでも認証に失敗する可能性があります。
これらのブロック防止には詳細なDMARCレコード設定が必要です。
どちらのDMARCアライメントモードを選ぶべきか
DMARCアライメントモードは、使用する環境次第で選択が変わります。
なりすましメールの被害規模は組織が受けるケースでは大きくなりがちです。ビジネスでメールを常用する業種ならば厳格なstricttモードを設定すべきでしょう。
広範囲で企業の複数部署とメールをやりとりするならば、relaxedモードで許容性を設け、受信者自身でメールの真偽を確認しないといけません。
送信ドメイン認証ができるメール配信システムの活用
DMARCを効果的に活用するためには、送信ドメイン認証ができるメール配信システムの導入が不可欠です。
送信ドメイン認証をサポートするシステムを利用することで、企業はSPF、DKIM、そしてDMARCの設定と管理を簡単に行うことができます。これにより、メールの信頼性が向上し、なりすましメールやフィッシング攻撃からの保護が強化されます。
おすすめのシステムは以下で紹介します。
API連携・SMTPリレーサービス「ブラストエンジン(blastengine)」
SPFやDKIMなどにも対応しており、API連携・SMTPリレーが可能なメール配信システムです。
ブラストエンジンは、SMTPリレーサーバーを使用して、簡単に大量のメールを高速配信することが可能です。さらに、メールサーバーを必要とせず、API経由でメールを送信する仕組みも提供しています。
ブラストエンジンは、サーバーの運用やメンテナンスを行っているため、常に高いIPレピュテーションを維持しながら、安全にメールを送ることができます。
以下のような課題がある場合は、ブラストエンジンの利用を検討してみることをおすすめします。
- 自社のIPアドレスやドメインがブラックリストに登録されていて、メールが届かない場合
- 国内キャリアにメールが届かず、対応方法がわからない場合
- 自社でメールサーバーを管理・運用したくない場合
また、ブラストエンジンは各メールプロバイダーや携帯キャリアのドメインに最適化されており、大規模なネットワークを経由してメール配信を行うことで、日本国内での到達率を圧倒的に高めています。
利用料金は月額3,000円からとコストパフォーマンスにも優れており、メールだけでなく、日本語での電話サポートにも対応しています。
メールアドレスの入力のみで無料トライアルが可能ですので、まずは気軽にお試しください。
シェア1位のメール配信システム「ブラストメール」
SPFやDKIMなどにも対応しており、シンプルで使いやすいメール一斉配信システムです。
ブラストメールは、13年連続で顧客導入シェア1位を獲得している信頼性の高いメール配信システムです。ブラストエンジンとは異なり、メルマガなどのメール一斉送信に利用することができます。
このメール配信システムの特徴は、使いやすさとコストパフォーマンスの高さです。さまざまな業種や官公庁でも利用されており、定番のメール配信システムとして広く知られています。
迷惑メール対策機能はもちろん、セグメント配信や効果測定、HTMLメールエディタなど、基本的な機能がすべて揃っています。最も安いプランでも、月額4,000円以下で導入することができます。
シンプルで安価なため、初めてメール配信システムを利用してみたい方にもおすすめです。無料トライアルも用意されているので、まずは試してみることをお勧めします。
まとめ
DMARCはなりすましメールを防ぐ認証技術です。従来より一般的に使用されていたSPFやDKIMの認証方法と組み合わせて、追加認証を行いセキュリティを強化しています。
SPFやDKIM認証では、送信者情報のヘッダFromドメインと、実際の送信者情報のエンベロープFromドメインが一致するかは確認しません。一方、DMARCはこれらのドメイン一致を検証し、SPFやDKIM認証だけでは防止できないなりすましメールを見破るほか、対処方法を設定して隔離・削除の対策が可能です。
大量のメールを扱う送信者には、Gmailなどのメールサービスでは送信ドメイン認証の設定が義務付けられています。DMARCはビジネスでメールを使用する際には、必須の仕組みといえるでしょう。