メールのセキュリティは厳しくなっていく〜SPFとDKIMとDMARC
GmailのPOP受信停止など、色々厳しくなっていきますね。
うちのメールの設定全然ダメでした。。。
設定を見直す前に、用語の復習です。
目次
① SPF(エス・ピー・エフ)とは?
一言でいうと
「このメールは、送っていいと許可されたサーバーから送られてきましたか?」を確認する仕組み
たとえば、あなたが会社だとします。
- 「うちの会社から手紙を出していいのは、この郵便局だけです」
- それ以外の郵便局から来たら 偽物かも
これをインターネット上でやっているのが SPF です。
実際にやっていることは、
- 自分のドメイン(例:example.co.jp)に
「メールを送っていいサーバー一覧」をDNSに登録 - 受信側は
「このサーバー、許可リストに入ってる?」とチェックしています。
勝手に別のサーバーから送られるなりすましを防げます。
弱点としては、メール本文は見ていない、転送されると失敗することがある、ことです。
② DKIM(ディーキム)とは?
「このメール、途中で改ざんされていませんか?」を確認する仕組みです。
たとえると、手紙に 会社のハンコ(電子署名) を押す
そして、受け取った人が「本物のハンコだ」「途中で書き換えられてない」と確認
これが DKIM です。
実際にしていることは、送信時にメールに電子署名を付ける、信側は公開鍵で署名をチェックします。
防げることは、メール内容の改ざんと、なりすまし(ある程度)です。
弱点は、「このメールをどう扱うか(捨てる?通す?)」までは決められない、ことです。
③ DMARC(ディーマーク)とは?
「SPFやDKIMに失敗したメールを、どう扱うか決める司令塔」です。
例えると、
SPF=身分証チェック
DKIM=ハンコ確認
DMARC=「両方ダメならどうする?」という会社ルール、です。
実際にしていることは以下です。
- 「SPFやDKIMに失敗したら…」
- 何もしない(監視だけ)
- 迷惑メールに入れる
- 受信拒否する
- という方針を宣言
さらに、
- なりすましメールのレポートを受け取れる
- 「誰が」「どこから」偽メールを送っているか分かる
3つの関係を図でイメージすると
メール受信
↓
SPFチェック(送信元OK?)
↓
DKIMチェック(改ざんなし?)
↓
DMARC判定(失敗したらどうする?)
なぜ「3つセット」が重要?
| 単体 | 問題 |
|---|---|
| SPFだけ | 転送に弱い |
| DKIMだけ | ポリシーがない |
| DMARCなし | 失敗しても素通り |
DMARCがあることで初めて「実効性のある対策」になる
まとめ
- SPF
→「このサーバー、送っていい人?」 - DKIM
→「ハンコ合ってる?途中で書き換えてない?」 - DMARC
→「ダメなメールはどうする?」
ということで、自分のメールサーバの設定を見直していきます。
明日へ続く
そんなところで
