なりすまし対策? Gmail で迷惑メールに誤認識されないメールサービスの7つの条件 - その1. 認証編
前の記事に書ききれなかった Gmail の推奨するメールの送信方法に関して見ていきます。
Authentication & Identification (認証と識別) での Authentication (認証) です。
Google では、次の操作も推奨しています。
メッセージに DKIM で署名する。1,024 ビット未満のキーで署名されたメッセージは承認されません。
SPF レコードを公開する。
DMARC ポリシーを公開する。
詳細は、メール認証をご覧ください。
これらに関して見ていくことにしましょう。
概要
前の記事で説明した項目に加えてこれらの推奨される操作をすることにより、Gmailで、迷惑メールに誤認識される可能性がぐんと下がり、受信ボックスへの到達率が上がることでしょう。
今回のテーマは「なりすましを見破る方法」です。
前提
なぜ、なりすましが問題になったのでしょうか?
http://www.gov-online.go.jp/useful/article/201202/3.html#anc03
このようにフィッシングメールなどが問題になり、これを助長していたのは
- メールは性善説に基いて作られていたものであり、送信元メールアドレスは自己申告制でなりすまし放題
- フィッシングメールなどは送信元メールアドレスを銀行で使用されているドメイン等にすること(なりすまし)で受信者が「本当に銀行等から来たメールなんだ。」と勘違いしてしまう。
ということでした。
そこで、インターネットのいくつかの団体がメールのなりすましを対策するためにメールに対して認証する仕組みを導入しました。
それが以下に示す
になります。
Authentication (認証) の解説
Google では、次の操作も推奨しています。
- メッセージに DKIM で署名する。
- SPF レコードを公開する。
- DMARC ポリシーを公開する。
1.メッセージに DKIM で署名する。
口語訳
送信元メールアドレスとかは本当に正しいの?改ざん、なりすまししてない?
解説
DKIMの仕組みは、メール1通1通に対してメールのヘッダ(送信元メールアドレス、件名等)、本文に対して電子署名を付け、それを受信メールサーバー(今回の場合は Gmail) で検証する。
この時、送信元DNSを利用し、送信元メールアドレスのドメイン(xxx@example.com の example.com) に対して電子署名の確認をすることによって、本文等の改ざん、送信元メールアドレスのなりすまし等を防ぎます。
手紙のハナシで例えると
手紙の宛先、本文等に割印などがしてあり、その割印の半分は役所などに保管されていて手紙が届いたら役所まで行って割印の確認をする。
みたいなことです。
しかし、電子署名を付けるなどの対応は敷居が高く日本でのDKIM普及率は2014年6月時点で 39.84% *1 と低いです。
2.SPF レコードを公開する。
口語訳
送信元のメールサーバーは本当に正しいの?
解説
SPFの仕組みは、送信元のメールアドレスのドメイン部分のDNSに「このドメインのメールアドレスはこのサーバーから送信される可能性がありますよ」という情報を設定することにより実現します。
受信側のメールサーバーは送信してきたメールアドレスの情報から送信してきたメールサーバーが本当にそのメールアドレスを送信元とするメールを送るサーバーなのかを検証することによってなりすましを防ぎます。
手紙のハナシで例えると
大企業Aは絶対にクロネコヤマトのメール便でしか送ってこないはずなのに今回はゆうパックを使ってきた。→ なりすましでは?
ということになります。
SPF は比較的導入が楽なこともあり、 2014年6月時点でのSPF普及率は94.31% *2 と高い普及率を保っています。
3.DMARC ポリシーを公開する。
口語訳
なりすましっぽいメールをどう処理するかを指示してください。
解説
DMARCはDMARCを宣言している送信元メールアドレスのドメインに対して、受信メールサーバーがDKIMとSPFに関する認証の結果を通知する為の仕組みです。
また、送信元メールアドレスのドメイン管理者は DMARC を利用することで、受け取ったレポートを元になりすましメールの送信元などを把握します。
そして、送信元メールアドレスのドメイン管理者はSPF DKIMの認証に失敗するメールについて、メールの隔離や受信拒否といった受信時の取り扱いを指示できるため、なりすましメールを受信側のメールサーバーに受け取らせないことができます。
Authentication (認証) のまとめ
まとめると「DNSを使用したメールの認証を導入する」ということになり、その認証の内容は以下のようになります。
- 送信元メールアドレス、本文等が正しいことを電子署名により 証明する。
- 送信元メールサーバーは本当にその送信元メールアドレスを送信する立場にあるメールサーバーであることを証明する。
- 送信元メールアドレスのドメインがなりすましにより、1と2の認証を通過できなかった時にどう処理すればいいのかを示す。
この認証に関しては普及率は上がってきていますが、まだまだDKIMなどは低いです。
この認証を Gmail が定めるガイドラインに沿って行うことが迷惑メールに誤認識されず、受信ボックスへの到達率を上げる近道になることでしょう。
P.S.
前回の記事への反応にもこのようにDKIMを推されている方が。
Gmailの迷惑メール回避は結構大変。基本的に認証通せばいけると思ってる。
GmailとしてはDKIM推奨だけど、SPFでも迷惑メール回避はできる。
Gmail で迷惑メールに誤認識されないメールサービスの7つの条件http://t.co/8UqqlLuRCn
— lala (@life_akb) 2014, 12月 10
おまけ
現在メルマガなどメール配信を行っている方で到達率に不満のある方、料金に不満のある方は一度 ABCメールをご検討ください。
まずは無料で試用から。
この記事はこの記事は ABCメール開発者 山本 が書きました。
メール配信に関してのご質問やご相談などはいつでも受け付けております。 yamamoto@abcmail.xyz まで お気軽にどうぞ。(基本24時間以内に返信致します)
*1:出典元:総務省「送信ドメイン認証結果の集計(DKIM)(2014年6月時点)http://www.soumu.go.jp/main_content/000312504.pdf
*2:出典元:総務省「送信ドメイン認証結果の集計(SPF)(2014年6月時点)[http://www.soumu.go.jp/main_content/000312503.pdf