カゴヤのサーバー研究室

カゴヤのサーバー研究室:IT用語の部屋

DKIMとは? なりすましメール対策の仕組み、SPFやDMARCとの違いを図解

文●カゴヤのサーバー研究室 編集部

  • この記事をはてなブックマークに追加
  • 本文印刷
※本記事はカゴヤ・ジャパンが提供する「カゴヤのサーバー研究室」に掲載された【図解】DKIMとは?SPFとの違い、最新のDMARCも!なりすましメール対策の仕組みを解説を再編集したものです。

 

 個人・企業を問わず、送信元を詐称されたメールによる被害が後を絶ちません。中でも企業を対象とした攻撃の事例では、その被害額が甚大になることもあります。この攻撃を対策するためには、DKIM(ディーキム)やSPF(エスピーエフ)・DMARC(ディーマーク)といった送信ドメイン認証による対策が不可欠です。この記事ではDKIMとは何かや、古くからあるSPF、最新のDMARCとの違いについて解説します。

 DKIMとはメールに電子的な署名を付与することで、送信元メールアドレスが偽られていないかチェックする技術です。送信元メールアドレスを偽る「なりすましメール」対策を総称して送信ドメイン認証と言いますが、DKIMはその1つです。受信側はその署名を参照し、送信元メールアドレスの正当性を確認できます。

そもそも、なりすましメールとは?その仕組みは?

 DKIMや送信ドメイン認証について詳しく見る前に、そもそも「なりすましメール」とはどんなものか振り返っておきましょう。DKIMの概念を理解するためには、その対象の「なりすましメール」の特徴や仕組みについても知っておく必要があります。

 なりすましメールとは、送信元メールアドレスが大企業や有名サイト、取引先等に詐称されたメールのことです。悪意のある第三者はなりすましメールを使い、詐欺や個人情報の不正取得等を行います。

 なりすましメールは、「エンベロープFrom」「ヘッダFrom」という2つの送信元メールアドレスの仕組みを悪用しています。エンベロープFromとは、メールサーバーがメールを配送するのに使う送信元メールアドレスです。エンベロープFromは実際の郵便で配達員の方が参照するような、封筒(エンベロープ)に記載された送り主の情報に例えられます。

 一方でヘッダFromとは、メールソフトでメールを読むときに表示されるメールアドレスのことです。エンベロープFromに対しヘッダFromは、封筒の中に入れられた便せんに記載されている送り主の情報に例えられます。

 実際の郵便でも、封筒と便せんに記載する送信元の情報を別々にすることは簡単です。メールの世界でも郵便と同様に、エンベロープFromとヘッダFromは同じにする必要はありません。それぞれ目的が異なる情報だからです。

 なりすましメールは、この仕組みを悪用しています。なりすましメールでは、メールソフトに見知った送信元メールアドレス(ヘッダFrom)が表示されています。しかし、よくよく調べてみると、全く知らないメールアドレスがエンベロープFromに設定されているわけです。(多くのメールソフトでは、エンベロープFromを含むヘッダ情報を表示させる機能を備えています。)

 結果、受信者はなりすましであることに気づかず、メールの本文に書かれた内容に従い被害をこうむってしまうことがあります。

|なりすましメールによる被害例

 それでは、なりすましメールによって実際に、どのような被害が発生しているのでしょうか。なりすましメールは個人・企業問わずに送信されています。ここでは、なりすましメールによる被害事例をいくつかピックアップして紹介します。

なりすましメールによる被害例

 事例③と事例④は企業を狙った被害事例で、ビジネスメール詐欺(Business E-mail Compromise/BEC)とも呼ばれています。ビジネスメール詐欺は日本だけでなく、世界的に大きな問題となっています。

|なりすましメール対策の必要性とメリット

 紹介したように、なりすましメールの損害額は決して小さくありません。特に企業を対象としたなりすましメール(ビジネスメール詐欺)の被害は、甚大となる可能性もあります。なりすましメールによる被害を防ぐためにも対策は必須です。

 また、正しくなりすましメール対策を行うことで、自社メールが送信先で迷惑メールと判定される可能性を軽減できると言われています。なりすましメール対策として送信ドメイン認証を採用することにより、送信元ドメインに対する評価を上げられるためです。

なりすましメール対策の主な種類【SPF/DKIM/DMARC】

 なりすましメール対策として採用される「送信ドメイン認証」には、DKIMをはじめSPF・DMARCという種類があります。それぞれ特徴やメリットが異なるので、違いを正しく把握して必要な対策を行いたいところです。

SPF/DKIM/DMARCの比較表

|SPFの仕組みとメリット・デメリット

 SPFとは送信元メールサーバーの情報(IPアドレス)をもとに、なりすましメールか否かを判断する技術です。送信元は、あらかじめDNSサーバーにそのドメインでメールを送信する可能性がある、正当なメールサーバーのIPアドレスを登録しておきます。この情報のことを専門用語で「SPFレコード」と言います。

 そうして受信側は送信元ドメインとSPFレコードを照合し、なりすましメールの可能性があるかチェックするわけです。仮に届いたメールが正当なメールサーバーから送られていなければ、なりすましメールの可能性があると判断できます。

SPFの仕組み

他の送信ドメイン認証技術との比較

|DKIMの仕組みとメリット・デメリット

 DKIMとは送信元メールアドレスの正当性を証明するために、電子的な署名(※)を使う送信ドメイン技術です。送信者はメールに電子的な署名を付与します。受信側は電子署名のデータを使うことによって、メールの送信者や本文の正当性・改ざん有無をチェックすることが可能です。

DKIMの仕組み

※DKIMに使われる「電子署名」とは … 送信者は自分しか分からない「秘密鍵」を用いて、メール本文等から暗号データ(電子署名)を作成し、メールと一緒に送付します。受信者は送信者によって公開された「公開鍵」を用いて暗号データを復号(暗号化前の状態に戻すこと)します。復号したデータと本文等が一致すれば、正当なメールと判断できるわけです。

他の送信ドメイン認証技術との比較

|DMARCの仕組みとメリット・デメリット

 DMARCとはSPFとDKIMの認証結果をもとに、メールの処理方法を指示する技術です。送信メールの認証失敗時(正当なメールと判断できないとき)に、受信者がそのメールに対してとるべき処理方法を指定しておきます。具体的には、処理方法をDNSサーバーに登録しておきます。

 受信者はそのポリシーに従って、メールを処理するわけです。たとえば認証失敗時は「拒否する」というポリシーであった場合、該当するメールは受信時にメールサーバーが削除します。

DMARCの仕組み

 SPFやDKIMの場合、メールの正当性を判断できない場合の処理は受信側に任されています。そのため受信側のメールサーバーによっては認証に失敗したにも関わらず、通常通り受信してしまうこともあるわけです。

 その点、DMARCでは認証失敗時の処理を送信側が指定できます。これによって、送信ドメイン認証によるメール処理の精度を向上させることが可能です。

 またDMARCでは、メールの処理結果を受信側のメールサーバーから送信側メールサーバーへレポートする機能もあります。送信側は、送信したメールが受信側でどのように処理されたか把握できるわけです。

他の送信ドメイン認証技術との比較

SPF/DKIM/DMARC各対策を実現するのに必要な対応一覧

 SPF・DKIM・DMARCを利用するためには、それぞれ必要な対応が異なります。ここでは、実際にどのような対応が必要となるかリスト化して紹介します。

【送信側で必要な対応】

【受信側で必要な対応】

まとめ

 DKIMとは電子署名を用いた送信ドメイン認証技術です。受信側は電子署名により、送信元メールアドレスやメール本文・ヘッダ情報の正当性・改ざんの有無をチェックできます。

 DKIMは、送信元メールアドレスを偽る「なりすましメール」対策として有効です。古くからある送信ドメイン認証「SPF」と比較して、判定の精度も高くなっています。一方、最新の送信ドメイン認証「DMARC」の方が機能性は高く、より確実になりすましメールの対策が可能です。

 なお、DKIMをはじめとした送信ドメイン認証による対策を行うには、専門的な知識や設定が必要となります。その点、カゴヤのメールサーバーを利用いただければ、簡単にSPFやDKIMによる対策が可能です。認証できないメールを、メールソフトのフィルタリング機能によりゴミ箱フォルダへ振り分けられます。

過去記事アーカイブ

2023年
01月
02月
03月
04月
05月
2022年
02月
06月
07月
08月
09月
10月
11月
12月
2021年
06月
08月
10月
11月
12月
2020年
10月