DMARC

提供: セキュリティ
2017年11月4日 (土) 19:27時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「DMARC は Domain-based Message Authentication, Reporting & Conformance の略です。SPFやDKIMと組み合わせて活用し、認証に失敗したときにポリ...」)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

DMARC は Domain-based Message Authentication, Reporting & Conformance の略です。SPFやDKIMと組み合わせて活用し、認証に失敗したときにポリシーにもどついてメールを処理できます。

読み方

DMARC
でぃーまーく

概要

送信者をなりすました、フィッシングメールやウイルスメールがあとを絶ちません。なりすましを防止する技術として、SPFやDKIMが普及しています。 しかしながら、 SPF や DKIM だけでは、十分ではないため、 DMARC が生まれました。DMARCは、 SPF や DKIM と組み合わせて利用します。

送信ドメイン認証

送信ドメイン認証は、以下の技術が普及しています。

  • SPF
  • DKIM

SPFの仕組み

送信側は、あらかじめ、自分のドメインの権威DNSサーバに、自ドメインの送信者がメールを外部に向けて送信するメールサーバのIPアドレスの一覧を公開します。DNSリソースレコード(RR)が「SPFレコード」です。

受信側のメールサーバが「送信者として指定されたメールアドレスのドメイン部分」をチェックします。 受信側のメールサーバは、SMTPで接続されたときに、「メールアドレスのドメイン部分」をDNSに問い合わせします。DNSからSPFレコードを受け取り、送信側のメールサーバのアドレスが記載されているか確認します。

受信側メールサーバ <- SMTP -- 送信側メールサーバ <-- ユーザ
 |
 +---------------------------> 送信側のDNS(SPFレコードを公開)

送信側のメールサーバのIPアドレスが、送信側のDNSのSPFレコードにあれば、送信ドメインの認証が成功したことになります。

SPF は、

  • SPFリソースレコード
  • TXTリソースレコード

のどちらかに宣言できます。

DKIMとは

DKIM とは DomainKeys Identified Mail の略です。

正当な送信者から送信された 改ざんされていない メール を調べることができます。 改ざん されていないことを確認するために、電子署名を確認します。

  1. メールを送信時に、秘密鍵 を用いて、署名 を作成し、送信メールのヘッダに署名 を記載します。
  2. メール受信側は、メールを受信した時に、諸メインドメインの DNS サーバに登録されている 公開鍵 を取得し、メールのヘッダの署名 を検証します。

メールの送信者とメールの本文の正当性の両方を確認できます。

もし、途中で改ざんされたのであれば、署名の検証が失敗します。

DMARC とは?

DMARC は Domain-based Message Authentication, Reporting & Conformance の略です。

  • 送信者アドレスを検証する
  • 認証に失敗した場合、処理方法を送信側が指定できる
  • 認証結果のレポート

SPF/DKIM の認証が失敗した場合には、 DMARC で設定したポリシーに従って処理します。 例えば、

  • 何もしない
  • 隔離
  • 拒否

といった処理をします。

導入事例

アメリカのグーグルやヤフーはDMARCを導入しています。

まとめ

  • SPF は、送信者のメールアドレス から、DNSのSPFレコードに記載されているIPアドレスと、送信元のメールサーバのアドレスが一致するかを確認し、なりすましを検知します。
  • DKIM は、署名を使用し、受信したメールが、途中で改ざんされていないことを検証します。

関連項目




スポンサーリンク