「DMARC」の版間の差分
(ページの作成:「DMARC は Domain-based Message Authentication, Reporting & Conformance の略です。SPFやDKIMと組み合わせて活用し、認証に失敗したときにポリ...」) |
(相違点なし)
|
2017年11月4日 (土) 19:27時点における最新版
DMARC は Domain-based Message Authentication, Reporting & Conformance の略です。SPFやDKIMと組み合わせて活用し、認証に失敗したときにポリシーにもどついてメールを処理できます。
読み方
- DMARC
- でぃーまーく
概要
送信者をなりすました、フィッシングメールやウイルスメールがあとを絶ちません。なりすましを防止する技術として、SPFやDKIMが普及しています。 しかしながら、 SPF や DKIM だけでは、十分ではないため、 DMARC が生まれました。DMARCは、 SPF や DKIM と組み合わせて利用します。
送信ドメイン認証
送信ドメイン認証は、以下の技術が普及しています。
- SPF
- DKIM
SPFの仕組み
送信側は、あらかじめ、自分のドメインの権威DNSサーバに、自ドメインの送信者がメールを外部に向けて送信するメールサーバのIPアドレスの一覧を公開します。DNSリソースレコード(RR)が「SPFレコード」です。
受信側のメールサーバが「送信者として指定されたメールアドレスのドメイン部分」をチェックします。 受信側のメールサーバは、SMTPで接続されたときに、「メールアドレスのドメイン部分」をDNSに問い合わせします。DNSからSPFレコードを受け取り、送信側のメールサーバのアドレスが記載されているか確認します。
受信側メールサーバ <- SMTP -- 送信側メールサーバ <-- ユーザ | +---------------------------> 送信側のDNS(SPFレコードを公開)
送信側のメールサーバのIPアドレスが、送信側のDNSのSPFレコードにあれば、送信ドメインの認証が成功したことになります。
SPF は、
- SPFリソースレコード
- TXTリソースレコード
のどちらかに宣言できます。
DKIMとは
DKIM とは DomainKeys Identified Mail の略です。
正当な送信者から送信された 改ざんされていない メール を調べることができます。 改ざん されていないことを確認するために、電子署名を確認します。
- メールを送信時に、秘密鍵 を用いて、署名 を作成し、送信メールのヘッダに署名 を記載します。
- メール受信側は、メールを受信した時に、諸メインドメインの DNS サーバに登録されている 公開鍵 を取得し、メールのヘッダの署名 を検証します。
メールの送信者とメールの本文の正当性の両方を確認できます。
もし、途中で改ざんされたのであれば、署名の検証が失敗します。
DMARC とは?
DMARC は Domain-based Message Authentication, Reporting & Conformance の略です。
- 送信者アドレスを検証する
- 認証に失敗した場合、処理方法を送信側が指定できる
- 認証結果のレポート
SPF/DKIM の認証が失敗した場合には、 DMARC で設定したポリシーに従って処理します。 例えば、
- 何もしない
- 隔離
- 拒否
といった処理をします。
導入事例
アメリカのグーグルやヤフーはDMARCを導入しています。
まとめ
- SPF は、送信者のメールアドレス から、DNSのSPFレコードに記載されているIPアドレスと、送信元のメールサーバのアドレスが一致するかを確認し、なりすましを検知します。
- DKIM は、署名を使用し、受信したメールが、途中で改ざんされていないことを検証します。