メールを認証する方法

メール認証で守る企業の信頼

2024年6月14日
著者: Ahona Rudra
翻訳: 岩瀨　彩江

この記事はPowerDMARCのブログ記事 How to Authenticate Emails? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

認証されたメールは、送信者が自分が主張している本人であることをメールサービスプロバイダに保証します。
そうでない場合、そのメールはスパムとしてマークされるか、完全に受信箱に入ることを拒否されます。

これは、従業員、上司、第三者ベンダー、取締役などを装って行われるBEC（ビジネスメール詐欺）やフィッシング攻撃を防ぐために行われます。
このブログは、あなたの会社名を利用して計画されるメールベースのサイバー攻撃を回避するために、メールを認証する方法を説明することに焦点を当てています。

重要なポイント

1. メールの認証は、送信者が正当であることを確認し、なりすましやフィッシング攻撃を防ぐために不可欠です。
2. SPF、DKIM、DMARCは、メールを認証し、セキュリティと配信信頼性を高めるために使用される主要なプロトコルです。
3. 一貫した送信者アドレスを使用することで、信頼が構築され、メールがスパムとしてマークされる可能性を減らすことができます。
4. DMARCを実装することで、ドメイン所有者はSPFおよびDKIMの検証に失敗したメールをどのように処理するかを指定できます。
5. BIMIは、認証されたメールの横に自社のロゴを表示することを可能にし、ブランド認知を強化するのに役立ちます。

なぜメール認証が重要なのでしょうか？

脅威行為者は、ビジネスメールアカウントを侵害して、あなたの会社になりすまし、顧客、見込み客、従業員などに金融情報、連絡先情報、社会保障番号、医療記録などの機密情報を共有するよう求めるメールを送信します。
これらの情報は、その後、購入や送金、ビジネス戦略の盗用または傍受、競合企業への優位確保などに悪用されます。
受信者側のサーバは、認証されたメールを信頼します。

これは、送信者が正当であり、悪意のある意図を持っていないことを確認するプロセスだからです。
一方で、未知または予期しない送信元からのメールは、スパムとしてマークされる可能性が高くなります。
これは、ブランドの評判を損なうだけでなく、メールの配信率も低下させます。

メールが受信者の受信箱に届く割合を「メール配信率」と呼びます。
低いメール配信率がマーケティングやPRキャンペーンにどのような影響を与えるか、想像してみてください。
メール認証は、メールの配信率を向上させるのにも役立ちます。

メールを認証する方法

メールを認証するプロセスでは、送信サーバと受信サーバが連携し、協力する必要があります。
これを理解するために、メールを認証する5つの主要な方法を見ていきましょう。

1.一貫した送信者アドレスを使用する

「From」アドレスと表示名を一貫して使用するようにしましょう。
これにより、メールサービスプロバイダや受信者の信頼を得て、メールが開封されやすくなります。
一貫性がないと、あなたのドメインはフィッシング攻撃にさらされやすくなります。

ハッカーはそのような不一致を脆弱性として認識し、悪用する方法を知っているからです。
また、メインドメインとわずかに異なる「いとこドメイン」や類似ドメインを使用しないことも推奨されます。
そのようなドメインは、メール受信システムにとって警告サイン（レッドフラッグ）と見なされます。

2.Sender Policy Framework（SPF）を実装する

SPFは、あなた（ドメイン所有者）が自分のドメインを使用してメールを送信することを許可されたIPアドレスのリストを作成することで、メールを認証します。
このリストはDNSに追加され、リストに含まれない送信者は不正と見なされます。

このプロトコルは、あなたに代わってメールを送信することを許可されたメールサーバやドメインを定義するSPFレコードを使用して機能します。
また、メールの転送を防ぎ、メールクライアントが未知の送信者からのメッセージを表示するかどうかを判断する際に参照されます。

3.DKIM（DomainKeys Identified Mail）を実装する

DKIMは、暗号技術の概念に基づいており、公開鍵と秘密鍵のペアを使用してメール送信者の正当性を検証します。
この仕組みでは、メールヘッダーにデジタル署名が自動的に追加され、これらの鍵を使って検証が行われます。
秘密鍵は送信者によって安全に保管され、メールヘッダーに署名するために使用されます。

一方、公開鍵は誰でも利用できる状態で公開されています。
受信側のメールサーバは、公開鍵を用いて送信者の秘密鍵による署名を検証し、送信者が正当であるかどうかを確認します。

4.DMARC（Domain-based Message Authentication, Reporting, and Conformance）を実装する

DMARCは、SPF、DKIM、またはその両方の検証に失敗したメールをどのように処理するかを受信サーバに指示します。
これは、「none（なし）」、「quarantine（隔離）」、「reject（拒否）」のいずれかのポリシーを選択することで行われます。

• 「none」ポリシー：検証に失敗したメールに対して何の処理も行いません。
• 「quarantine」ポリシー：認証されていないメールはスパムフォルダに移動されます。
• 「reject」ポリシー：そのようなメールが受信者の受信箱に入ることを完全に拒否します。

これらのポリシーを実装するためには、DMARCレコードが必要です。
DMARCレコードには、検証に合格または失敗したすべてのメールについて、ドメイン管理者にレポートを送信する指示も含まれています。
すでにDMARCポリシーを実装している場合は、無料のDMARCチェッカーツールを使用して、設定上のエラーがないか確認してみてください。

5.BIMI（Brand Indicators for Message Identification）に備える

SPF、DKIM、DMARCを使用してメールを認証する方法を理解したら、次はBIMIについて学びましょう。
BIMIは、追加の保護を提供するために、他のメール認証方法の上に位置づけられる仕組みです。
サイバーセキュリティの分野ではまだ広く普及していませんが、DMARCに準拠したドメインが受信箱にブランドのロゴを表示できるようにします。

これにより、受信者は送信元を信頼できる正当なものとして容易に識別できるようになります。
BIMIロゴを添付することで、ドメイン所有者はすべての受信メールで一貫したブランドイメージを保つことができ、ブランドロイヤルティと評判を高めることができます。
他のプロトコルのレコードと同様に、BIMIレコードもドメイン内にTXTレコードとして保存されます。

一般的なSPFの設定方法

設定の反映には72時間ほどかかります。
無料のSPFレコードジェネレーターを使用して、あなたのドメイン用の新しいSPF TXTレコードを作成してください。

1. あなたのドメインを使用してメールを送信することを許可されたIPアドレスの一覧を収集します。
   これには、すべてのサードパーティの送信元も含めます。
2. 送信ドメインをすべて（アクティブなものと休止中のものの両方）リストアップし、ハッカーが送信していないドメインを悪用してあなたのビジネスを標的にしないようにします。
   SPFチェッカーを使用して、レコードが正しく機能しているか確認することもできます。

作成が完了したら、できるだけ早くDNSに公開してください。
以下の手順で設定できます。

1. DNS管理コンソールにログインします。
2. 対象のドメインを選択します。
3. リソースタイプを「TXT」に指定します。
4. ホスト名を「_spf」と指定します。
5. 生成したSPFレコードの値を貼り付けます。
6. 変更を保存して、ドメインにSPFを設定します。

一般的なDKIMの設定方法

PowerDMARCの無料DKIMレコードジェネレーターを使用して、DKIMレコードを作成します。
ドメイン名を入力し、「Generate DKIM record（DKIMレコードを生成）」ボタンをクリックするだけです。
すると、秘密鍵と公開鍵のペアが発行されます。

公開鍵をあなたのドメインのDNSに公開することで、DKIM準拠となります。
以下の手順で、DKIMレコードをDNSに追加できます。

1. DNS管理コンソールにアクセスします。
2. 新しいTXTレコードを次の値で追加します。

• レコードタイプ：TXT
• 名前／ホスト名：selector._domainkey.yourdomain.com
• TTL：3600
• 値：[DKIMジェネレーターで生成された公開鍵の値を貼り付けます]

一般的なDMARCの設定方法

無料のDMARCジェネレーターを使用して、新しいDMARCレコードを作成します。

1. DMARCポリシーを選択します。
2. 「Generate（生成）」をクリックします。
3. 生成されたTXTレコードをコピーして、DNSに貼り付け、プロトコルを有効化します。