なりすまし防止のための標準技術「DMARC」概要から登録まで
メール詐欺対策は多岐にわたるものの、今回はメール認証「DMARC」にフォーカスを当てる。
DMARC(Domain-based Message Authentication, Reporting and Conformance)はEメール認証のためのプロトコル。ドメインのなりすましを防ぐのに効果的な技術だ。しかも最小限の対策でも、抑止効果が期待できる。やらない理由がないくらいだ。
また、Google、Facebook、Microsoftなどもメールのなりすましや改ざんを防ぐことを目的として「DMARC.org」を設立し、普及を進めている。
もともとメールは古くからあるインターネットのコミュニケーション手段だ。古いためプロトコルはシンプルで、厳しいセキュリティが施されていない。送信元の改ざんも簡単にできてしまう。そこで送信元ドメインの確認のための手法としてSPF(Sender Policy Framework)があり、メールサーバーで使用するIPアドレスを登録しておくことができる。
また改ざん防止にはDKIM(DomainKeys Identified Mail)があり、こちらはメールに電子署名を添付することで改ざんされてないかを確認できる。ところが、SPFとDKIMではなりすましメールを完全に防ぐことはできないのだ。
そこで、DMARCはSPFとDKIMを補強し、なりすまし防止を狙う。送信元ドメイン側がDMARCレコードをDNSに登録することで認証やレポート機能が加わり、なりすまし検知や不正抑止に役立てる。なりすましメールが送られれば、本来のドメインを持つメールサーバーにDMARCレポートが送信される。このとき、受信側でDMARC検証機能を有効にしておくことで認証の結果により受信メールを検疫し、拒否することができる。
実施すべき最低限の作業は、実にシンプルだ。送信側で使用するDNSサーバーにDMARCのためのテキストレコードを1行追加して、サービスを再起動またはリロードすればいい。
もし、DKIMを実施していなくても、SPFを実施していればDMARCは導入可能だ。またDNSに変更を加えるため「何か間違ってメール送受信が止まったら困る」と心配する人もいるだろう。そこで、日本プルーフポイント シニアセールスエンジニア、CISSP、セールスエンジニアリング部の佐藤 剛氏は「ポリシーを"none"に設定するところから始めましょう」とアドバイスをおくる。
