なりすまし防止のための標準技術「DMARC」概要から登録まで
メール詐欺対策は多岐にわたるものの、今回はメール認証「DMARC」にフォーカスを当てる。
DMARC(Domain-based Message Authentication, Reporting and Conformance)はEメール認証のためのプロトコル。ドメインのなりすましを防ぐのに効果的な技術だ。しかも最小限の対策でも、抑止効果が期待できる。やらない理由がないくらいだ。
また、Google、Facebook、Microsoftなどもメールのなりすましや改ざんを防ぐことを目的として「DMARC.org」を設立し、普及を進めている。
もともとメールは古くからあるインターネットのコミュニケーション手段だ。古いためプロトコルはシンプルで、厳しいセキュリティが施されていない。送信元の改ざんも簡単にできてしまう。そこで送信元ドメインの確認のための手法としてSPF(Sender Policy Framework)があり、メールサーバーで使用するIPアドレスを登録しておくことができる。
また改ざん防止にはDKIM(DomainKeys Identified Mail)があり、こちらはメールに電子署名を添付することで改ざんされてないかを確認できる。ところが、SPFとDKIMではなりすましメールを完全に防ぐことはできないのだ。
そこで、DMARCはSPFとDKIMを補強し、なりすまし防止を狙う。送信元ドメイン側がDMARCレコードをDNSに登録することで認証やレポート機能が加わり、なりすまし検知や不正抑止に役立てる。なりすましメールが送られれば、本来のドメインを持つメールサーバーにDMARCレポートが送信される。このとき、受信側でDMARC検証機能を有効にしておくことで認証の結果により受信メールを検疫し、拒否することができる。
実施すべき最低限の作業は、実にシンプルだ。送信側で使用するDNSサーバーにDMARCのためのテキストレコードを1行追加して、サービスを再起動またはリロードすればいい。
もし、DKIMを実施していなくても、SPFを実施していればDMARCは導入可能だ。またDNSに変更を加えるため「何か間違ってメール送受信が止まったら困る」と心配する人もいるだろう。そこで、日本プルーフポイント シニアセールスエンジニア、CISSP、セールスエンジニアリング部の佐藤 剛氏は「ポリシーを"none"に設定するところから始めましょう」とアドバイスをおくる。
この記事は参考になりましたか?
- Security Online Day 2020レポート連載記事一覧
- この記事の著者
-
加山 恵美(カヤマ エミ)
EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
