ARC(Authenticated Received Chain)は、メール転送時に認証結果を保持しておき、受信者がその信頼性を判断できるメール認証技術です。本記事ではARCの仕組みや導入のメリット、誤検知防止やメール到達率向上への効果を詳しく解説します。
ARCを導入してメールセキュリティを強化し、ビジネスメールの信頼性を向上させましょう。
ARCとは?その必要性と背景
メール認証の課題とARCの登場背景
メールの歴史は、常に不正利用との戦いであると言えます。メールの送信元を偽ったり、不正な方法によって送信されたメールが受信箱に届いてしまうことでマルウェアに感染したり、フィッシング詐欺につながってしまいます。
利便性の高さ故に、不正な利用が行われているのですが、それだけに不正利用を防ぐための技術も多数登場しています。その代表とも言えるのがSPF/DKIM/DMARCになります。
SPFは送信サーバーのIPアドレス、ドメインを保証する技術です。SPFで指定されていないサーバーから送信されていれば、それは不正なメールであると判定されます。
DKIMはメールに署名を行う技術です。受信したサーバーでは署名を検証し、正規の送信元によって送信されたメールかどうか判定します。署名・検証には秘密鍵・公開鍵を利用します。
DMARCはSPFやDKIMによって不正と判定されたメールの処理方法を規定する技術です。何もしない・隔離・拒否の3レベルがあり、拒否を指定すれば受信箱に不正なメールは届きません。
SPF/DKIM/DMARCを使えば、直接メールが届いた際には安心して利用できる技術になります。しかし、メールには転送という仕組みがあり、この場合に認証が失敗しやすいという問題があります。これを解決するのがARCになります。
転送メールの良くある例としては、メーリングリストが挙げられます。メーリングリストの指定アドレス向けにメールを送信すると、 [mailing-list: 0001]
のようなテキストがメールの件名に追加されます。この場合、DKIMの署名検証が失敗します。また、メールを転送すると Received
ヘッダーが追加されますが、これが正しく追加されているか検証する仕組みがありませんでした。
こうした課題に対応するために生まれのがARC(Authenticated Recieved Chain)になります。
ARCが注目される理由
ARCが注目を集め始めているのは、何よりもGmailをはじめとした大手のメールプロバイダがARCをサポートし始めたことに由来します。Googleの送信者ガイドラインによれば、メールを定期的に転送する場合には、ARC認証の使用が推奨されています。
メール送信者のガイドライン - Google Workspace 管理者 ヘルプ
ARCは、本来は正しいはずのメールが間違って不正メールと認識されてしまうのを防ぐ効果があります。そのため、SPFやDKIM、DMARCを適切に設定している組織こそ利用すべき技術になります。
ARCのメリット
ではARCの導入メリットについて、細かく解説します。
メール到達率の向上
ARCを導入していない場合、転送メールに対してDKIMが正しく検証されないという課題があります。ARC導入によって認証結果が正しく保持されることで、メールの到達率が向上します。
メールが転送されているかどうかは送信元では判断せず、受信者側の設定に依ります。そのため、ARCを導入すれば受信者側でのスパム誤判定を回避し、メールの受信率を上げられるのが大きなメリットになります。
誤検知の防止
誤ってスパムとして判定されると、メールアドレスやメールドメインに対するレピュテーション(信頼性)が下がります。レピュテーションが下がると、転送以外のメールについてもスパム判定される可能性が高くなります。その結果、仕事上で必要なメールも届かなくなる可能性があります。
DMARCでreject(拒否)を指定している場合、迷惑メールになっているかも知れないという可能性もなくなります。ビジネス上の信頼性を維持する上でも、誤検知は防止しなければなりません。
Gmailなどの主要メールプロバイダとの相性
Gmailの送信者ガイドラインの中にARCが含まれていますので、今後は他のメールプロバイダも追従して対応が予想されます。Gmailなどのメールプロバイダは多数のメールアカウントを持っていますので、ARCに対応することで転送メールに対しても正しく認証されるようになれば、メールの到達率が向上するでしょう。
転送メールの利用自体は決してまれではなく、メーリングリスト以外でも利用されます。Gmailアカウントから別なメールアドレスに転送するケースも多いです。そのため、GmailにおけるARC導入のメリットはとても大きなものがあります。現状では推奨レベルですが、将来的にARC導入が必須になった際には、影響は軽視できなくなるでしょう。
ARC自体はGmail独自の技術ではありません。適切に対応しておけば、他のメールプロバイダにおける受信率も向上させられるのがメリットです。
ARC導入の流れと設定方法
ARC導入に必要な要素
ARCは、メールを転送する際に元々の認証情報を維持する技術です。つまり、認証は別途必要であり、それらはSPF/DKIMによって行われます。つまりARCを導入する際にはSPF/DKIMが行われていることが前提になります。
導入時に注意すべき点
ARCを導入する際には、対応しているMTAを利用してください。有名なところであれば、Postfixが対応しており、MailmanやSympaといったメーリングリストソフトウェアも対応しています。
詳しくはResources – ARC Specification for Emailを参照してください。
誤検知防止とセキュリティ強化の観点からのARCの重要性
なぜARCが誤検知を防ぐのか?
転送メールの問題としては、転送する際にメールヘッダーを変更する点が挙げられます。前述のように件名が変わっている場合もあれば、Return-Pathが追加されるケースや、ヘッダーも変更されます。その結果として、DKIM署名が異なるものになってしまい、検証に失敗します。
ARCはそうした課題に対して、最初に検証した段階での結果を保存し、さらにその検証結果の署名を付与することで対応します。
また、Gmailの新しいセキュリティガイドラインでは、転送されたメールが誤ってスパムと認識される問題に対処するため、ARCの導入が推奨されています。特にDMARCポリシーが厳格化されている中、ARCを導入することで、転送経路における認証が維持され、メールの信頼性が保たれます。
ARCと他の認証技術の違い
SPF、DKIM、DMARCとの役割分担
ARCは独自の認証技術がある訳ではありません。メールの認証を行うのはSPF/DKIMであり、その対応方法を規定するのがDMARCになります。ARCはその検証結果を保持して転送し、転送先のメールも正しいメールであることを確認できる仕組みになります。
つまり、ARCはSPFやDKIM、DMARCと組み合わせて利用する必要があります。
ARCの具体的な設定手順
ARCに対応したメールサーバーでは、メールを転送する際に3つのヘッダーを追加します。
- ARC-Seal
認証結果の信頼性を保証 - ARC-Message-Signature
メールのヘッダーと本文が改善されていないことを保証する署名 - ARC-Authentication-Results
認証結果を保持
これらの情報はSPFやDKIM、DMARCの結果を保持しつつ、必要に応じてメールヘッダーを変更した上でメールを転送します。
ARCの導入効果
導入後に期待できる成果
実際にARCを導入した際のメリットとしては、転送メールが正しく受信箱に届くようになります。DMARCの設定によっては、メールが迷惑メールになってしまったり、そもそも届かなくなります。その懸念がなくなるのが大きなメリットでしょう。
ビジネス上のメールなどが届かなくなると、信頼の喪失につながります。また、マーケティング系のメールが届かなければ機会損失につながる可能性があります。結果として不正メールという判定が続けば、ドメインに対するレピュテーション(信頼)が下がり、メール全体の信頼性が損なわれてしまうでしょう。
ARCの今後と将来性
メールセキュリティの進化とARCの役割
ARCは現状、推奨設定に留まっています。Gmailのガイドラインでも「転送メールが頻繁に行われる場合」について、ARCを推奨しています。
しかし、メールがビジネス上のコミュニケーションチャンネルとして重要な一角を占めている以上、ARCが不要になることはないでしょう。できることであれば、対応しているMTAを導入しておきたいところです。
Gmail以外のプロバイダへの展開
Gmail以外のメールプロバイダについては、現状では特にARC対応を必須にしているところはなさそうです。しかし、Microsoft 365のようにビジネスでの利用が多いメールプロバイダについては、対応が行わる可能性は高いでしょう。
Microsoftでは、信頼できる ARC シーラーを構成する - Microsoft Defender for Office 365 | Microsoft Learnとしたドキュメントを公開しているため、ARCが推奨や必須になる可能性は高そうです。
また、Microsoft “enabled” ARC in Office 365 – ARC Specification for Emailによれば、現状ではOffice 365内の認証結果の検証のみで使われるとのことですが、将来的にはサードパーティーの署名検証もサポートされるとのことです。
日本では一部のメールサービスにおいて、ARC対応を発表しています。メールサービス自体が対応することで、メールが安全に受信箱に届くようになります。
まとめ
本記事では、メールの信頼性を高める技術であるARCについて解説しました。メーリングリストや転送メールに対して適切に検証を行うことで、メールシステム全体の信頼性を高める効果があります。SPFやDKIM、DMARCなどとともに利用し、安心して利用できるメール環境を実現してください。特にDMARCは強力なメールセキュリティを実現するために必須の技術になります。詳しくは、弊社のDMARC紹介ページをご覧ください。 DMARC導入を検討する際には、ぜひCustomers Mail Cloudへお問い合わせください。
また、弊社のCustomers Mail Cloudでは、独自の高品質なメール配信エンジンを用いて、商品購入や予約完了の通知メール、結果通知の一括送信などを、確実に高い到達率で配信できます。複数拠点に冗長化されたサーバーシステムにより、24時間365日、安定したメール配信が可能です。ぜひご利用ください。