メール認証とドメインスプーフィングの理解:SPF、DKIM、DMARC
お客様のビジネスは、フィッシングやスプーフィング攻撃の標的となっています。 お客様のメールが認証されていない場合、攻撃者は簡単にお客様のドメインになりすますことができます。 認証を行わないと、インターネット上の誰もがお客様になりすましてメールを送信できてしまいます。
メール認証とは何を意味しますか?
メール認証とは、メールの差出人が主張通りの本人であることを検証する一連の技術標準のことです。 これが開発された理由は、オリジナルのメールプロトコル(Simple Mail Transfer Protocol、またはSMTP)に、偽装された差出人アドレスを防ぐための機能が組み込まれていなかったためです。
認証を理解するには、メールに2つの差出人アドレスがあることを知っておくと役立ちます。
1. エンベロープ差出人(RFC 5321)
MAIL FROMアドレス、P1差出人、またはリターンパス(Return-Path)としても知られ、これはメールサーバーがバックグラウンドでルーティングや配信のために使用する技術的なアドレスです。
- 目的: 受信サーバーに対し、バウンス通知や不達レポート(NDR)などの自動メッセージをどこに送信すべきかを伝えます。
- 表示: 通常、宛先がメールクライアントでこのアドレスを目にすることはありません。これは非表示のメッセージ"エンベロープ"の一部です。
- セキュリティ上の役割: これはSPFによって検証されるアドレスです。
2. ヘッダー差出人(RFC 5322)
差出人:アドレス、またはP2差出人としても知られるこのアドレスは、受信トレイに表示されるアドレスです(例:差出人:your-bank@example.com)。
- 目的: これは人間がやり取りしやすいように設計された"フレンドリー"なアドレスであり、メッセージが誰から送られてきたように見えるかを宛先に知らせます。
- 表示:これは、ほとんどのユーザーが受信トレイを開いたときに目にする唯一のアドレスです。
- セキュリティ上の役割:このアドレスは攻撃者が最も頻繁にスプーフィングを行うものであり、DMARCアライメント検証のプライマリーな対象となります。
この設計により、メールスプーフィング(差出人:アドレスの偽装)が簡単に行えるようになります。 攻撃者は、自身が管理する有効なエンベロープ差出人を使用して基本的なサーバー検証をクリアする一方で、不正なヘッダー差出人を使用して宛先を騙すことができます。 DMARCのようなメール認証プロトコルは、これら2つの差出人のドメインを一致(アライメント)させることを要求することで、この問題を解決します。
なぜビジネスにおいてメール認証が不可欠なのでしょうか?
企業にとって、メール認証の導入は譲ることのできない防御策です。 これにより:
スプーフィングとフィッシングの防止:攻撃者がお客様のドメインから不正なメールを送信するのを防ぎます。
ブランドの評判を保護:お客様のブランドが迷惑メールやフィッシング詐欺に関連付けられるのを防ぎます。
メールの到達性を向上:他社のメールプロバイダーにお客様が正当な差出人であることを示し、お客様のメールが迷惑メールフォルダーに振り分けられるのを防ぎます。
3つの主要なメール認証方法
強固な防御は、SPF、DKIM、DMARCという3つの標準規格が連携して機能することにかかっています。 それぞれが前の規格を補完し合うことで、多層的な防御を構築します。
1. Sender Policy Framework (SPF)
Sender Policy Framework(SPF)とは、お客様のドメインに代わってメールを送信することが許可されているすべてのサーバー(IPアドレス別)の公開リストです。
仕組み
お客様はこのリストを、お客様のドメインのDNS TXTレコードとして公開します。 受信側のメールサーバーはメッセージを受信すると、送信側サーバーのIPをそのリストと照合します。 IPがリストにあればメッセージはSPF検証をパスし、なければ失敗します。
弱点
SPFはメールサーバーが使用する技術的な送信アドレスのみを検証するものであり、ユーザーが受信トレイで目にする、表示上の「差出人:」アドレスを検証するものではありません。 この隙があることで、スプーフィングを行う者がSPF検証をパスできてしまいます。 SPFは経路ベースのプロトコルであるため、メーリングリストやパートナーサーバーを介してメールが転送されると、検証に失敗することがよくあります。 転送を行うサーバーが、お客様の承認済みリストに含まれていないため、検証に失敗します。
2. DomainKeys Identified Mail (DKIM)
DomainKeys Identified Mail(DKIM)は、「差出人:」ヘッダーを含むメッセージコンテンツに、改ざん防止が施された一意のデジタル署名を追加します。
仕組み
この署名は、お客様のサーバーのみが把握している秘密鍵を使用して作成されます。 対応する公開鍵は、お客様のDNSで公開されます。 受信側のサーバーはこの公開鍵を使用して署名を検証します。 署名が有効であれば、そのメールがお客様のドメインから送信されたものであること、および配送中にコンテンツが改ざんされていないことが証明されます。
弱点
SPFと同様に、DKIM自体がスプーフィングを本質的に阻止するわけではありません。 署名は、メッセージがそれを送信したドメインに対して本物であることを証明するものであり、必ずしも「差出人:」アドレスに表示されているドメインを指すとは限りません。
3. Domain-based Message Authentication, Reporting, and Conformance (DMARC)
Domain-based Message Authentication, Reporting, and Conformance (DMARC)は、SPFとDKIMを結び付けるポリシーです。 DMARCとは、お客様が目にする「差出人:」アドレスが、バックグラウンドで行われる認証チェックと一致する場合にのみ、メールを信頼するようメールサーバーに指示するルールです。 これにより、攻撃者がSPFまたはDKIMの単独使用で悪用する抜け穴をふさぐことができます。
仕組み
DMARCでは、表示されている「差出人:」アドレスのドメインが、パスしたSPFまたはDKIMのチェックで使用されているドメインと一致する必要があります。 この重要なステップにより、表示されている差出人アドレスが技術的な検証と結び付けられます。
また、サーバーに対する指示も行います。お客様のDMARCポリシー(p)は、受信サーバーに認証失敗時の処理方法を指示するものです。
- p=none (Monitor): 何のアクションも実行しません。 お客様のドメインから誰がメールを送信しているかについてのレポートをお客様に送り返すだけです。
- p=quarantine (Quarantine): 認証に失敗したメールを迷惑メールフォルダーに送信します。
- p=reject (Reject): 認証に失敗したメールを完全にブロックします。
フィッシングやドメインスプーフィングからお客様のビジネスを保護する
すべてのデータ侵害の90%以上が、フィッシングまたはスプーフィング攻撃から始まっています。 SPF、DKIM、DMARCの導入はお客様の最初の防御策となりますが、デフォルトで安全なメールプロバイダーと組み合わせる必要があります。
Proton Mail for Businessは、これらの脅威がお客様のチームに届く前にブロックするように設計されています。 弊社の高度なアンチスプーフィング検出、PhishGuardテクノロジー、エンドツーエンド暗号化により、管理が簡単な包括的な防御が提供されます。
メール認証のセットアップ方法(ステップバイステップ)
お客様のドメインを保護するには、ドメインレジストラ(GoDaddy、Namecheap、Cloudflareなど)によって管理されている、お客様のDomain Name System(DNS)設定にいくつかのレコードを追加する必要があります。
お客様のSPFレコードを作成する
まず、お客様がメール送信に使用しているすべてのサービス(お客様のメールプロバイダー、Mailchimpなどのニュースレターサービス、CRMなど)を特定します。 お客様のSPFレコードには、これらすべてを含める必要があります。 たとえば、Proton MailのSPFレコードは v=spf1 include:_spf.proton.me mx ~all です。 これをお客様のDNS設定にTXTレコードとして追加します。
お客様のDKIM署名を設定する
お客様のProton Mail(または他のプロバイダー)の管理者パネルで、ドメイン設定に移動します。 システムはお客様向けに固有 of DKIMキーを生成します。 Microsoft 365、Google Workspace、またはProtonでのDKIMのセットアッププロセスは同様です。生成されたキーをコピーし、指示に従ってお客様のDNSに新しいTXTレコードを作成します。
お客様のDMARCポリシーを導入する
DMARCポリシー(p)の追加が最後のステップです。 お客様自身の正当なメールがブロックされるのを防ぐため、段階的に展開する必要があります。
- p=noneから始める: ポリシーがp=noneのDMARCレコードを作成します。 この監視モードでは、お客様のメール配信に影響を与えることなく、メール認証の失敗に関するレポートを受信できます。
- レポートを分析する: DMARCレポートを使用して、チェックに失敗している正当なサービスを見つけ、それらをお客様のSPFおよびDKIMレコードに追加します。
- p=quarantineに移行する: 問題がないことを確認したら、お客様のポリシーをp=quarantineに変更します。 これにより、認証に失敗したメールは迷惑メールフォルダーに送信されます。
- p=rejectに移行する: さらに監視を行った後、p=rejectに移行して、すべての不正なメールの配信をブロックします。
スクリーンショットやレコード値を含む詳細なセットアップ手順については、Protonのサポートガイドを参照してください。
基本を超えて:ARCとBIMI
お客様のSPF、DKIM、DMARCが設定されると、さらなる価値を追加できる2つのオプションの標準規格があります。
Authenticated Received Chain(ARC)
メールの転送時(メーリングリスト経由など、SPFやDKIMが破損しやすい場合)に、お客様の認証結果をそのまま維持します。
Brand Indicators for Message Identification(BIMI)
サポートされている受信トレイで、お客様のメールの横にお客様の公式な会社ロゴを表示させることができます。 メールの「認証済みチェックマーク」とお考えください。 適用対象となるには、強力なDMARCポリシー(quarantineまたはreject)が必要です。
Proton Mailがお客様のビジネスメールを保護する方法
メール認証のセットアップは不可欠ですが、これは完全なセキュリティ戦略のほんの一部にすぎません。 Proton Mailはさらに保護レイヤーを追加し、高度な脅威からお客様のビジネスを安全に保ちます。
高度なスプーフィング検知
Proton Mailは、すべての受信メッセージのSPF、DKIM、およびDMARCを自動的にチェックします。 これらのチェックに失敗したメールには明確にマークが表示され、なりすましのリスクが軽減されます。
PhishGuard
PhishGuardは、基本的なフィルターでは見落とされがちな不審なリンクやパターン、その他の警告の兆候を特定し、フィッシングの試みが従業員に届く前にブロックするのを支援します。
エンドツーエンド暗号化とゼロアクセス暗号化
Protonユーザー間のメールは、自動的にエンドツーエンドで暗号化されます。 お客様のすべてのデータはゼロアクセス暗号化で保管されており、当社でお客様のメールを読み取ることすらできません。
リンクの確認
ユーザーがメール内のリンクをクリックすると、Proton Mailは遷移先URLの完全なプレビューを表示し、悪意のあるサイトへの誤クリックを防ぐのに役立ちます。
ビジネスコミュニケーションを安全に保護
セキュリティとプライバシーを最優先するメールサービスで、フィッシング、スプーフィング、データ侵害から貴社を保護します。 強固なメール認証を導入し、エンドツーエンド暗号化や高度なフィッシング対策のメリットを、シンプルで安全な単一のソリューションで享受できます。
よくある質問
- SPFとDKIMの違いは何ですか?
- メールサーバーはどのように認証を確認しますか?
- DMARCが機能するまでどのくらいの時間がかかりますか?
- 詐欺師がお客様のメールをスプーフィングした場合はどうなりますか?
- これにより、すべてのフィッシング攻撃を防ぐことができますか?