送信ドメイン認証とは？SPF・DKIM・DMARCの仕組みと設定方法を解説

2024年3月27日

メールは今や私たちの日常生活やビジネスコミュニケーションに欠かせないツールです。しかし、その便利さの裏で、なりすましメールによるセキュリティリスクも高まっています。

実際に金銭・重要情報の奪い取りやマルウェアへの感染を目的とした「なりすましメール」による被害は後を絶ちません。明らかに怪しいと分かるメールアドレスであれば警戒しますが、実在の人物や企業をかたった巧妙なアドレスとなると、一目見ただけで判別するのは難しいでしょう。

もちろん、メールの受信側も注意が必要ですがメールのセキュリティが強固になっていることから、送信者側もメールを確実に届けるための対策が必要な状況となっています。

そこで、対策として不可欠なのが「送信ドメイン認証」です。この記事では、3種類のドメイン認証機能とその活用例、設定方法などについて解説します。

送信ドメイン認証とは

送信ドメイン認証とは、メールが正規の送信者から送られたものであることを受信者に保証するための技術です。

なりすましメールを防止するための仕組みであり、送信元であるメールサーバーのIPアドレス、もしくは電子署名の認証、またはこの2つを組み合わせた認証によって判断します。

インターネット上でのメール送受信は、誰でも容易に行えるため、なりすましやスパムメールの発信が問題となっています。送信ドメイン認証を利用することで、メールの送信元が実際にそのドメインの管理者によって許可されたものであるかを確認し、不正なメールの送信を防ぎます

メール送受信の仕組み

わたしたちが普段、送信するメールはSMTPと呼ばれるプロトコル（規格・約束）のもと、SMTPサーバーにて認証され、受信者側に送信されます。送られたメールは、DNSを利用して受信者のメールサーバーを探し、そのサーバーへと転送されます。

受信するメールについては、POPというプロトコルを用います。ユーザー認証プロセスを経てメールを受信する側の身元を確認し、問題がなければメールの送受信が完了します。

このように、メールの送受信に際しては送信と受信それぞれにおいて認証が行われているのですが、なりすましメールを防止するにはこれだけでは不十分なのです。その理由について、次項で解説します。

なりすましメールの問題

なりすましメールは、信頼できる組織や個人を装って、受信者を騙し情報を盗み出す詐欺行為です。このようなメールは、フィッシング詐欺、マルウェアの拡散、個人情報の窃盗など、多くのセキュリティリスクを引き起こします。

実際の郵便物に例えて簡潔に述べると「封筒に記載されている差出人名と封筒の中身に記載されている差出人名が異なる」状態、これがなりすましメールです。

「封筒に記載されている差出人名」とは、電子メールシステムの場合「エンベロープFromアドレス」と呼びます。電子メールシステムの仕様上、エンベロープFromアドレスが正常であればメールは通常通り送信されますが、受信者側でこのアドレス自体を確認しづらいという点が問題です。

厳密には、受信者側にて「Return-Path」とも呼ばれるエンベロープFromアドレスを確認することは可能です。詳しくは以下の記事で解説しています。

「封筒の中身に記載されている差出人名」は、ヘッダFromアドレスと呼ばれるもので、受信者側が実際に目にすることができるアドレスです。ヘッダFromアドレスが既存のもの、見知ったものであれば、受信者は何の疑いもなくメールを開封してしまうケースがほとんどでしょう。その結果として、なりすましメールによる被害が増えているのです。

ここで、20204年1月度におけるフィッシング詐欺（なりすましメールの一種）の報告件数から現状を見てみましょう。

2024年1月ひと月のフィッシング報告件数は85,827件で、この1年間で最多だった2023年10月の156,804件の半数ほどにとどまっています。一方、フィッシングサイトのURL件数は19,486件で、増加傾向にあるようです。クレジットカード会社や消費者金融をかたるブランドの悪用件数については74件で、過去1年間の中では低い数値となっています。
参照：月次報告書 | 2024/01 フィッシング報告状況｜フィッシング対策協議会

フィッシング詐欺だけにフォーカスしても、相当数のなりすましメールによる被害の発生が分かります。しかし、特殊な方法でしか確認できないエンベロープFromアドレスを個人で特定し、被害を防止するのは困難でしょう。そこで有効なのが送信ドメイン認証なのです。

送信ドメイン認証の必要性

送信ドメイン認証は、メールの信頼性を高めるために不可欠です。これにより、受信者はメールが正規の送信者から来たものであるかを確認でき、不正なメールを効果的にフィルタリングすることが可能になります。

なりすましメールの脅威が危ぶまれる昨今、送信ドメイン認証の導入が進んでいます。メールによってもたらされる危険から身を守る自衛のためにも、送信ドメイン認証の導入は必須といえるでしょう。

加えて、送信ドメイン認証を導入している企業は、セキュリティ性が高い企業だと認識されるため、企業ブランドと顧客ロイヤリティの向上につながることも想定されます。このような観点からも、送信ドメイン認証の必要性は高いといえるでしょう。

「令和5年版　情報通信白書」によれば、2022年12月時点における送信ドメイン認証技術の国内ドメインにおける導入状況は「SPFで約77.2％」「DMARCで約2.7％」と、微増傾向にあるようです。SPFやDMARCなど、送信ドメイン認証の種類については次項で解説します。
参照：総務省｜令和5年版情報通信白書｜送信ドメイン認証技術の導入状況

送信ドメイン認証の種類

送信ドメイン認証には「SPF」「DKIM」「DMARC」の3種類あります。ここからは、3種類の送信ドメイン認証それぞれの特徴について見ていきましょう。

SPF

SPF（Sender Policy Framework）は、メール送信者が正規のドメインからメールを送信しているかを確認するための技術です。

SPFレコードはドメインのDNS設定に追加され、そのドメインからメールを送信できるIPアドレスのリストを公開します。メール受信サーバーは、受け取ったメールがSPFレコードに記載されたIPアドレスから送られてきたかを検証し、一致しない場合はスパムとみなすことができます。

この仕組みにより、なりすましメールの送信を効果的に防ぐことが可能となります。SPFの設定は比較的簡単であり、メールの送信元ドメインの信頼性を高める上で、非常に重要な役割を果たします。

SPFによる認証までの流れは、以下の通りです。

メール送信者のメールが送信サーバーに届く
送信サーバーのIPアドレスがDNS（Domain Name System）サーバーに登録される
メールが送信される
受信サーバーにて、DNSサーバーに登録済みのIPアドレスと適合するかどうか認証が行われる
適合する場合は正常にメールが受信され、適合しない場合はなりすましメールと判断される

DKIM

DKIM（DomainKeys Identified Mail）は、メールにデジタル署名を付与し、そのメールが改ざんされずに送信されたことを受信者に保証する技術です。

DKIMを設定するには、公開鍵をドメインのDNSに登録し、メールサーバーでメールを送信する際に私有鍵を使用して署名を行います。受信サーバーは公開鍵を使用してこの署名を検証し、メールの内容が送信後に改ざんされていないかを確認します。

DKIMはメールの信頼性とセキュリティを向上させ、フィッシング攻撃やスパムに対する防御力を強化します。DKIMの実装はSPFよりも複雑ですが、メールのセキュリティ強化には不可欠です。

DKIMによる認証までの流れは、以下の通りです。

メール送信者はDNSサーバーに公開鍵を登録
メール送信者は送信するメールに電子署名情報（秘密鍵）を付与
メールが送信される
受信側はDNSサーバーに公開鍵情報の開示を要求
公開鍵にて電子署名情報を検証し、適合した場合にはメールが受信され、そうでない場合はなりすましと判断される

DMARC

DMARC（Domain-based Message Authentication, Reporting, and Conformance）は、SPFとDKIMの検証結果に基づいて、メール受信者が不正なメールをどのように処理すべきかをドメイン所有者が指示できる技術です。

DMARCレコードをDNSに設定することにより、メールがSPFやDKIMの検証を通過しなかった場合の取り扱いを指定できます。さらに、DMARCは不正なメールに関する報告を送信者に提供することで、送信ドメインのセキュリティ対策を改善するための貴重な情報を提供します。

DMARCの導入は、なりすましメールに対する防御をさらに強化し、メール全体の信頼性を向上させます。DMARCの仕組みは、以下の通りです。

なりすましメールでない、または正常に認証される場合

DNSサーバーに認証が失敗した際のアクションを登録しておく
メールが送信される
SPF・DKIM・DMARCの認証に成功したメールは正常に受信される

なりすましメールである、または正常に認証されない場合

DNSサーバーに認証が失敗した際のアクションを登録しておく
メールが送信される
認証が失敗し、メールの取り扱いをDNSサーバーに要求および返答を待つ
DMARCポリシーに基づいた方法で受信メールを取り扱う

認証に失敗したメールは、DMARCにて登録されているアクションに基づき、「受信」「隔離」「拒否」といった形で取り扱われることになります。

また、メールの受信状況は定期的に管理者へレポートとして報告されるため、安全性の高さはその他2種類の技術より高いといえるでしょう。

送信ドメイン認証の活用例

3種類の送信ドメイン認証は、それぞれ異なる特性を有しています。各特性を明確に把握しておくこと、そして自身・自社はいつでも、送信と受信双方の側になり得るということを理解したうえで、送信ドメイン認証を活用しましょう。

SPFとDKIMの違い

SPFとDKIMは、いずれも送信ドメイン認証のための技術ですが、機能する方法には大きな違いがあります。

SPFは、メールが特定のIPアドレスから送られたものであることを確認することに焦点を当てています。一方、DKIMは、メールがデジタル署名によって保護されており、送信後に内容が改ざんされていないことを確認します。

しかし、DKIMにはメールの作成時に電子署名情報を付与する特性上、メールの送信中にメールが書き換えられると認証が失敗する恐れがあります。

SPF/DKIMとDMARCの併用

なりすましメールによる被害を可能な限り防止するためには、SPFとDKIMだけでは不十分です。

SPFとDKIMはそれぞれメールの認証に貢献しますが、DMARCはこれらの技術に基づいた認証結果を利用して、どのようにメールを扱うかを決定するポリシーを提供します。

これにより、企業は不正なメールに対するより具体的な対策を講じることができ、セキュリティの向上に寄与します。SPF、DKIM、DMARCを組み合わせることで、なりすましメールの防止とメールの信頼性向上に最適な環境を実現できます。

送信ドメイン認証の設定方法

送信ドメイン認証を有効にするには、ドメインのDNS設定に特定のレコードを追加する必要があります。3種類の送信ドメイン認証の設定方法についても、簡単に解説します。

SPFの設定方法

DNSサーバー内のレコードに、自身・自社のドメインからメール送信を許可されているメールサーバーのIPアドレスが列挙されたSPFレコードを追加しましょう。

これにより、追加されたIPアドレス以外のメールは拒否され、指定したドメインのメールがなりすましメールとして悪用されることを防止できます。

SPFレコードの作成:
SPFレコードは、”v=spf1″で始まり、ドメインからメールを送信するために許可されたIPアドレスやサーバーを指定します。例えば、”v=spf1 ip4:192.168.0.1 -all”は、192.168.0.1からのメール送信のみを許可し、他のすべての送信元を拒否します。
DNSにレコードを追加
ドメインのDNS管理画面にアクセスし、TXTレコードとしてSPFレコードを追加します。レコードの名前フィールドは通常、ドメイン名のルート（@または空白）に設定します。
レコードの検証
SPFレコードが正しく設定されていることを確認するために、SPFレコード検証ツールを使用します。これにより、設定ミスがないか確認できます。

DKIMの設定方法

DKIMの設定は、メールサーバーにデジタル署名を追加し、DNSに公開鍵を登録することにより行います。

鍵ペアの生成
DKIM用の公開鍵と秘密鍵のペアを生成します。多くのメールサーバーソフトウェアがこのプロセスをサポートしています。
DNSに公開鍵を追加
生成した公開鍵をドメインのDNSレコードにTXTレコードとして追加します。これは、受信者がメールの署名を検証するために使用します。
メールサーバーの設定
メールサーバーに秘密鍵を設定し、送信するメールに自動的にデジタル署名を追加するようにします。
設定の検証
DKIMレコードが正しく設定されていることを確認するために、DKIM検証ツールを使用します。

DMARCの設定方法

前提として、DNSレコードに関する知識を有していることが必要になります。そのため、DMARCの設定はドメイン管理者によって行われるのが一般的です。

管理者は、DNSレコードの一種であるDMARCレコードをDNS上に公開し、それぞれのメールサーバーに情報提供を行います。これによって、送信者側の身分証明が行われ、受信者側は送信者情報を確認できます。

DMARCポリシーの作成
DMARCポリシーは、”v=DMARC1″で始まり、メールがSPFやDKIMの認証を通過しなかった場合の処理方法（例えば、レポートの送信先、メールの取り扱い方針など）を指定します。
DNSにレコードを追加
作成したDMARCポリシーをドメインのDNSレコードにTXTレコードとして追加します。このレコードは通常、”_dmarc”という名前で登録されます。
ポリシーの検証
DMARCポリシーが正しく機能しているかを確認するために、DMARCレコード検証ツールを使用します。

Gmail宛てのメールは送信ドメイン認証が必須

2023年10月、Gmailのメール送信者ガイドラインがアップデートされました。2024年2月以降、Gmailアカウントに1日あたり5,000件を超えるメールを送信する送信者は、送信ドメインにSPFレコード・DKIM署名・DMARCメール認証の設定が必要などの記載があります。

より詳しい内容や対策方法は以下の記事で解説していますので参考にしてください。

送信ドメイン認証ができるメール配信システムの活用

上述したGmail送信者ガイドラインの変更内容は大きく分けると以下の3点になります。

送信メールを認証すること
未承諾のメールまたは迷惑メールを送信しないこと
受信者がメールの配信登録を容易に解除できるようにすること

つまり、送信元の正当性を正しく認証した上で、ユーザーが迷惑がらないようにメールを送信することがメール送信者には求められています。このあガイドラインの要件を満たせていないメールは迷惑メールに割り振られてしまったり、受信を拒否されることがあります。

その中でも、「送信メールを認証すること」は今後もメール関連のセキュリティが強化されていくことが想定できるため必須と言えるでしょう。

そのため、メール配信システムを活用してメール配信を行う場合は、「DKIMが設定できる」などのメール認証ができるシステムを選ぶようにしましょう。

おすすめのシステムは以下で紹介します。

API連携・SMTPリレーサービス「ブラストエンジン(blastengine)」

SPFやDKIMなどGmail送信者ガイドライン対応しており、API連携・SMTPリレーが可能なメール配信システムです。

ブラストエンジンは、SMTPリレーサーバーを使用して、簡単に大量のメールを高速配信することが可能です。さらに、メールサーバーを必要とせず、API経由でメールを送信する仕組みも提供しています。

ブラストエンジンは、サーバーの運用やメンテナンスを行っているため、常に高いIPレピュテーションを維持しながら、安全にメールを送ることができます。

以下のような課題がある場合は、ブラストエンジンの利用を検討してみることをおすすめします。

自社のIPアドレスやドメインがブラックリストに登録されていて、メールが届かない場合
国内キャリアにメールが届かず、対応方法がわからない場合
自社でメールサーバーを管理・運用したくない場合

また、ブラストエンジンは各メールプロバイダーや携帯キャリアのドメインに最適化されており、大規模なネットワークを経由してメール配信を行うことで、日本国内での到達率を圧倒的に高めています。

利用料金は月額3,000円からとコストパフォーマンスにも優れており、メールだけでなく、日本語での電話サポートにも対応しています。

メールアドレスの入力のみで無料トライアルが可能ですので、まずは気軽にお試しください。

ブラストエンジンを無料で試してみる >

シェア1位のメール配信システム「ブラストメール」

SPFやDKIMなどGmail送信者ガイドライン対応（standardプラン以上）しており、シンプルで使いやすいメール一斉配信システムです。

ブラストメールは、13年連続で顧客導入シェア1位を獲得している信頼性の高いメール配信システムです。ブラストエンジンとは異なり、メルマガなどのメール一斉送信に利用することができます。

このメール配信システムの特徴は、使いやすさとコストパフォーマンスの高さです。さまざまな業種や官公庁でも利用されており、定番のメール配信システムとして広く知られています。

迷惑メール対策機能はもちろん、セグメント配信や効果測定、HTMLメールエディタなど、基本的な機能がすべて揃っています。最も安いプランでも、月額4,000円以下で導入することができます。

シンプルで安価なため、初めてメール配信システムを利用してみたい方にもおすすめです。無料トライアルも用意されているので、まずは試してみることをお勧めします。

ブラストメールを無料で試してみる >

まとめ

送信ドメイン認証の設定により、悪質ななりすまし防止に期待できますが、なりすましメールは日々複雑化しているため、中途半端な対策では防ぎきれません。

送信ドメイン認証を設定する場合は、SPFとDKIMに加えて、それらの認証が失敗した際に有効であるDMARCも併せて設定しておきましょう。送信ドメイン認証を正しく設定することにより、なりすましメールによる被害が大幅に減る可能性が高まります。

Blog一覧