概要
なりすましメールの対策「送信ドメイン認証」について、まとめました。
送信ドメイン認証
SPF(Sender Policy Framework)
IPアドレスを利用して受信したメールの送信元が詐称されていないかどうかを確認する仕組み。
メール送信時に利用するサーバのIPアドレスを送信側のDNSに「SPFレコード」として事前に登録。
受信側はメール受信時に送信側のSPFレコードと照合し、なりすましかどうかを判断する。
攻撃者はFromアドレスを詐称してメールを送り付けてくるが、メール送信サーバまで乗っ取っているわけではない。
(メール送信サーバーのIPアドレスは、攻撃者特有のIPアドレスになっている。)
なりすましメール受信時に攻撃者が使ったメール送信サーバのIPアドレスと、SPFレコードに登録されたIPアドレスを照合し、適合しなければなりすましメールであると特定できる。
これがSPFによる送信ドメイン認証の仕組み。
欠点
メール転送等により受信側で正しく判断できない。
※詳細は、DMARCの欠点を参照。
DKIM(DomainKeys Identified Mail)
電子署名を利用してメール送信元が詐称されていないかどうかを確認する仕組み。
送信側が送信するメールに電子署名を付与し、 受信側はそれをメール受信時に検証することで、 なりすましやメールの改ざんを検知できる。
欠点
普及率が低い。
DMARC(Domain-based Message Authentication、Reporting and Conformance)
SPFやDKIMの認証が失敗した場合の対応策を定めたもの。送信側は受信側の認証失敗時の推奨アクションをDNSに「DMARCポリシー」として宣言しておき、受信側は認証失敗時にこのDMARCポリシーを参照して、受信メールをどう扱うか判断する。
欠点
転送されたメールでは、認証が失敗してしまう。
(エンベロープFromの値が変化してしまい、ヘッダFromの値と一致しなくなる)
※Google Workspace のメーリングリストを使用している場合も条件によって失敗してしまう。
(メーリングリストの仕組み上、メーリングリストが受信したメールを参加者へ送信するため)
参照:
https://zenn.dev/levtech/articles/aa35d3687b6876#%E3%83%A1%E3%83%BC%E3%83%AA%E3%83%B3%E3%82%B0%E3%83%AA%E3%82%B9%E3%83%88%E3%81%AA%E3%81%A9%E3%81%AE%E3%83%A1%E3%83%BC%E3%83%AB%E8%BB%A2%E9%80%81%E3%81%A7%E5%A4%B1%E6%95%97%E3%81%99%E3%82%8B%E7%90%86%E7%94%B1
https://creators.bengo4.com/entry/2024/01/22/080000
対策
ARCと呼ばれる仕組みを利用すれば、対策になる(らしい)
※実務は未対応
参照:
https://www.naritai.jp/technology_arc.html
DMARCレポート
上記DMARCの認証を集計したレポート。
ヘッダFromのドメインからの送信でDMARC認証に失敗しているメールがあれば、ここで検知できる。
メーリングリスト経由でのメール送信によるDMARC認証の失敗もこのレポートに含まれる。
DMARCレコードのruaタグで指定されたレポート送信先のメールアドレス宛に送信される。