最近のDK Hostmasterワークショップでは、dmarcianの創設者であり、DMARCの主要な作者の一人であるゲスト講師のTim Draegen氏が、DMARCがどのように認証を利用し、よく知られたSPFとDKIMメカニズムを使用して電子メールセキュリティを向上させるか、DMARCのレポートプロトコルがどのように電子メールドメインを迅速かつ正確に保護するか、そして組織にDMARCをインストールする方法について、参加者の理解を深めました。
DMARCが電子メールのセキュリティを向上させるために認証をどのように利用し ているかを理解するには、SPFおよびDKIMと、それらが識別子アライメントにどのように寄与し ているかを理解することが役に立つ。
SPF
SPFは、インターネットサービスプロバイダーが、メールサーバー(IPアドレス)が特定のドメインのメール送信を許可されていることを確認するための方法です。
SPFを使用するには、電子メールドメインの管理者が、ドメインの代わりに電子メールを送信することが許可されているサーバーまたはIPアドレスのリストを公開します。送信者がメールを “受信 “サーバーに渡して配信しようとすると、メールサーバーはその送信者がドメインの許可された送信者リストに載っているかどうかを確認します。もしそうであれば、電子メールの一部と電子メールドメインとの間にリンクが確立されたことになる。
DKIM
DKIMは、電子メールの一部をドメインにリンクするために使用される無料の技術です。メールが送信されると、ドメインの秘密鍵を使って署名され、受信側のメールサーバー(またはISP)でDNS内にある公開鍵を使って検証されます。この動作により、メールの内容が転送中に変更されていないことが認証されます。これにより、誰かがあなたのメールを傍受し、改ざんし、改ざんされた情報とともに送信することを防ぐことができます。
識別子アライメント
それ自体で、SPFとDKIMはメールの一部とドメインを関連付けることができる。DMARCは、SPFとDKIMの結果を電子メールのコンテンツに結びつけようとするものである。メールのFrom:ヘッダーにあるドメインは、すべてのDMARC処理を結びつけるエンティティである。
誰でもドメインを購入し、SPFとDKIMを設置することができるため(犯罪者を含む)、SPFとDKIMの処理結果は、DMARCに関連するためには、From:ヘッダで見つかったドメインに関連していなければならない。この概念は、「Identifier Alignment と呼ばれている。 識別子を整合させることは、結局DMARCを展開する作業の大部分を占めることになる。
犯罪者がbank.comになりすまそうとして、criminal.netというドメインを設定し、SPFとDKIMを取得した場合、SPFとDKIMの両方がパスしたからといって、認証がbank.comと関係があるということにはならない。
DMARCに準拠したメールとみなされるためには、メールのFrom:ヘッダーに記載されているドメインが、SPFで検証されたドメインか、有効なDKIM署名に記載されている送信元ドメインと一致しなければなりません。ドメインが一致すれば、受信者はそのメールが発信元ドメインから送られたものであると安全に主張することができます。このように、DMARCを利用することで、電子メールを簡単に識別することが可能になります。
メールセキュリティの専門家チームと、ドメインセキュリティを通じてメールとインターネットをより信頼できるものにするという使命を持つdmarcianは、組織のドメインカタログを評価し、長期にわたってDMARCを実装・管理するお手伝いをします。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様...のサポートを行っています。
お気軽にご連絡ください
