DNSを活用した送信元ドメインの認証
スパムメールやウイルスなど、メールの機能が悪用される背景には、送信元アドレスが偽装できてしまうという点が挙げられる。たとえば、yahoo.co.jpのドメインから送信されていたメールでも、必ずしもyahoo.co.jpドメインの正当なメールサーバから送られてきたと証明されるものではない。こうしたなりすましを防ぐため、昨今導入が進んでいるのが、メールに記述されているドメインが正しいかを送信元のメールサーバを認証することで確認する「送信元ドメイン認証」である。
送信元ドメイン認証は、SPF(Sender Policy Framework)/Sender ID※4、DomainKeys、DKIM(DomainKeys Identified Mail)など複数の技術が用意されているが、いずれもDNSサーバの仕組みを活用している。
※4:SPF/Sender-ID Pobox.comのメン・ウォン氏が提唱した「SPF」とマイクロソフトの「Caller ID for E-Mail」を統合したのが「Sender-ID」。マイクロソフトが知的所有権を主張したこともあり、インターネットの標準規格にはならなかった。
SPFやSender IDでは、DNSサーバにあらかじめ送信元のメールサーバの情報としてSPFレコード(実体はTXTレコード)を登録しておく。受信側のメールサーバは、メールの送信元ドメインを元に、DNSサーバにあるSPFレコードに問い合わせをかけ、サーバ名と実際の送信元のIPアドレスが一致したら認証が完了となる。
一方、DomainKeysやDKIMでは、DNSにSPFレコードの代わりに、公開鍵を登録しておき、メールには対応する電子署名を添付する。受信側のメールサーバでは、受け取ったメールの電子署名からドメインを割り出し、送信元ドメインのDNSサーバに公開鍵を問い合わせる。そして、取得した公開鍵で電子署名を検証して問題なければ、認証完了という手はずになる(図4)。
DKIMでは、認証に失敗したり、電子署名のないメールを受け取った場合の手順をSSP(Sender Signing Practice)という設定ファイルで明確できる。つまり、電子署名がついていなければ、メールを破棄するといった処理も可能になる。
現在、Yahoo!などのポータルサイトや携帯電話のキャリアなどは積極的にこうした送信元ドメイン認証の技術を導入している。
この連載の記事
-
第11回
TECH
正規のユーザーやPCを判断する認証製品 -
第10回
TECH
社内の安全を守るセキュリティ製品の進化を知ろう -
第9回
TECH
検疫からシンクライアントまで!情報漏えいを防ぐ製品 -
第8回
TECH
ITでどこまで実現する?情報漏えい対策の基礎 -
第7回
TECH
インターネットで構築するVPNの仕組み -
第6回
TECH
通信サービスを安価にしたVPNの秘密 -
第4回
TECH
メールが抱える根本的な弱点とスパム対策 -
第3回
TECH
拡がるWebの脅威と対策を理解しよう -
第2回
TECH
巧妙化する不正プログラムを防ぐには? -
第1回
TECH
不正アクセスを防ぐファイアウォールの仕組み - この連載の一覧へ