DKIMとDMARCとは?基本を押さえよう
DKIMとは?電子署名でメールの信頼性を証明する技術
DKIMはDomain Keys Identified Mailの略で、メールの送信者を認証する技術です。メールの送信者がドメインの所有者であることを証明するため、メールに電子署名を付与します。DKIMはメールの改ざんやなりすましを防ぎ、受信者に信頼性の高いメールを届けられる技術です。
電子署名は、メールのヘッダーや本文を使い、秘密鍵で署名を生成し、メールに付与します。メール受信者(実際にはメール受信サーバー)は、その署名に対して、公開鍵を用いて検証します。公開鍵はDNSサーバーに公開されており、誰でも取得できます。そのため、メールの送信者がドメインの所有者であることを、受信者が確認できるのです。
秘密鍵には有効期限が設定してあるのが一般的です。もし、秘密鍵の有効期限が切れた(切れる)場合には、秘密鍵を更新し、DNSの公開鍵情報も更新を行います。
DMARCとは?SPFやDKIMを補完する新たな認証プロトコル
DMARCは、メールの不正利用防止技術であるSPF(Sender Policy Framework)とDKIM(Domain Keys Identified Mail)に対して、不正であると判定されたメールの取り扱いを制御する技術です。
DMARCは、Domain-based Message Authentication, Reporting and Conformanceの略で、メールの検証とそのレポートや処理を規定する技術になります。SPFやDKIMでは不正なメールを検知できますが、その後の取り扱いは受信メールサーバーに一任しています。DMARCは、その取り扱いをドメインの所有者が制御できるようになります。
DMARCでは、不正メールの取り扱いポリシーを設定します。これは全部で3つあり、none/quarantine/reject
になります。 none
は検証のみを行い、それ以外はメールの取り扱いを行いません。 quarantine
は受信メールサーバーが不正メールをスパムフォルダに移動するように指示します。 reject
は不正メールを破棄するように指示します。一番強力なポリシーは reject
ですが、誤検知のリスクもあるため、最初は none
からはじめるのが一般的です。
また、DMARCでは不正メールに関するレポートを送付する先を指定します。指定できるのはメールアドレスになります。レポートはXML形式が一般的ですが、圧縮されている場合が多いようです。
DKIMとDMARCが必要な理由とは?
なりすましメール被害の現状と課題
なりすましメール(他者になりすまして送られるメール)は、多くの場合フィッシング詐欺で利用されます。銀行や大手企業、サービスになりすましてメールを送り、誘導先URLにて認証情報を入力させたり、マルウェアをダウンロードさせたりします。
フィッシング対策協議会によると、2024年10月には18万件のフィッシング報告が寄せられています。2023年10月は15.6万件であり、全体的に増加傾向にあります。
さらに緊急報告ページでは、さまざまなサービスになりすましたメールが送られているのが確認できます。ほぼ毎月、新たなフィッシングメールが報告されています。
傾向として金融・決済系、政府や自治体、携帯電話会社、Eコマースサービスなどが多いようです。もちろん、名前を勝手に使われる側の企業は被害者なのですが、誰かがフィッシング詐欺に引っかかってしまった場合、その企業の信頼性も損なわれてしまいます。こうしたなりすましメールを防ぐ目的の上でも、DKIMやDMARCは有効です。
DKIMとDMARCを導入することで得られるメリット
DKIMやDMARCを適切に設定することで、先に挙げたような企業の信頼性毀損を防げるようになります。また、メールの改ざんやなりすましがないことを保証できるので、受信者のメールボックスにきちんとメールが届けられます。
これは個人消費者だけでなく、企業間取引においても有効です。企業間ではビジネスメール詐欺が発生しており、人間関係が構築されている状態だからこそ、なりすましメールに気付かず処理してしまう可能性があります。DKIMやDMARCの導入により、こうしたリスクを軽減できるのです。
DKIMとDMARCの設定方法と注意点
DKIMの設定手順とよくあるトラブル
DKIMの設定は、DNSのTXTレコードに対して行います。具体的には、メール送信サーバーで秘密鍵・公開鍵を生成し、その公開鍵の内容をDNSに対して設定します。
k100430._domainkey.example.co.jp. IN TXT "v=DKIM1; k=rsa; p=公開鍵の文字列"
メール送信時には、メールのヘッダー(送信者、宛先、件名、日付など)とメールの本文を利用して署名を作成します。署名処理自体は多くのメールライブラリ、メールサーバーが対応しています。そして、署名の文字列を DKIM-Signature
ヘッダーに追加します。
良くあるトラブルとしては、以下のようなものがあります。
- 公開鍵の文字列が間違っている
秘密鍵と公開鍵の文字列が異なっている場合に発生します。 - DNSのTXTレコードが設定されていない
DNSのTXTレコードの設定漏れ、設定する内容を間違える例があります。 - メール本文やヘッダーの改変
メールの転送中に中継メールサーバーやフィルタリングシステムによってメールのヘッダーなどが改変されると、DKIMの検証に失敗することがあります。 - DNSサーバーのダウン
DNSサーバーがダウンしていると、DKIMの検証ができなくなるため、メールが正しく検証できないことがあります
こうしたミスが発生しないよう、テストメールの送信やDNS設定内容の確認を行うのが良いでしょう。
DMARCポリシーの作成と導入のステップ
DMARCの設定は、DNSのTXTレコードに対して行います。具体的には、以下のようなレコードを設定します。以下の例の場合、ポリシーは none
なので検証のみを行い、それ以外の処理は行いません。また、集計レポートは dmarc-reports@example.jp
に、詳細な失敗レポートは dmarc-failures@example.jp
に送信します。
_dmarc.example.jp. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.jp; ruf=mailto:dmarc-failures@example.jp; fo=1"
ポリシーの設定は、以下のような違いがあります。
- none
検証のみを行い、それ以外の処理は行いません。レポートのみを受け取ります。 - quarantine
不正メールをスパムフォルダに移動するように指示します。レポートも受け取ります。 - reject
不正メールを破棄するように指示します。レポートも受け取ります。
通常、DMARCは最初の段階においては none
から始め、レポートを受け取りながら段階的に quarantine
や reject
に移行するのが一般的です。適切に設定されていることが確認できれば、最終的に reject
へ移行することが望ましいです。
DMARCレポートを解析してくれるサービスとして、以下があります。
Customers Mail Cloud lp.smtps.jp
- XML to Human Converter - dmarcian
より実践的にDMARCレポートを活かしたメール運用を行う場合には、Customers Mail Cloudの導入を検討してください。
業界動向と国内外の対応事例
総務省のレポートによると、2023年12月でSPFは82.9%、DMARCは10.2%となっています。この数値はGmailのメール送信ガイドラインの変更によって、2024年中にもっと増加していると思われます。
総務省|令和6年版 情報通信白書|送信ドメイン認証技術の導入状況
Proofpoint JPのレポートによれば、日経225企業の60%がDMARCを導入しているとのことです。ただし、主要18カ国中15位と、まだまだ普及率は低いです。また、ポリシーを quarantine
や reject
に設定している企業は、全体の13%程度となっており、こちらもまだ改善余地があります。
国際的に見ると、デンマークでは100%(ナスダックコペンハーゲンの主要25銘柄)・ドイツ(フランクフルト証券取引所の主要40銘柄)は93%となっています。アメリカ(Fortune 1000)は92%、イギリス(FTSE 350)は85%と、日本よりも高い普及率となっています。
すでに複数の監査法人では、監査項目の中にDMARCを追加しているなど、DMARCの重要性が認識されてきています。まだ設定されていない企業・団体においては、早めの導入を検討してください。
DKIMとDMARC導入に悩む方へ、Customers Mail Cloudが提供するソリューション
専門知識がなくても安心!DMARCアドバイザリーサービス
Customers Mail Cloudが提供するDMARC導入支援コンサルティングでは、ポリシー設定に関する説明やレポートのモニタリング、DMARCを正しく運用するためのサポートをいたします。SPFやDKIMを含め、正しくDMARCを設定する流れをサポートします。
DMARCの導入・運用では、送信メールのDMARC認証結果を継続的に監視することが重要です。HENNGEのDMARCアドバイザリーサービスでは、DMARCレポートの収集・分析を行い、メール送信に利用しているドメインの洗い出しから、そのドメインに関するDNSレコードの登録の仕方まで細やかなコンサルティングを実施いたします。また、DMARCの導入・運用に関する全般的な疑問に対しても、専任のアドバイザリースタッフがしっかりと対応を行います。 DMARC導入を検討する際には、ぜひCustomers Mail Cloudへお問い合わせください。