送信ドメイン認証
送信ドメイン認証
実在するメールアドレスになりすまして送られる「なりすましメール」が社会問題となっています。
不正なサイトへ誘導しパスワードやクレジットカードの番号を盗み取るもの、ウィルスに感染させデータを盗み取るもの、データを勝手に暗号化し解除に法外な金額を要求するものなど、被害が後を絶ちません。
この「なりすましメール」の対策に有効なものが「送信ドメイン認証」です。
送信ドメイン認証には、大きく以下の3つの種類があります。
送信元メールサーバのIPアドレスの確認を行います。
ドメイン所有者が管理するDNSサーバーに、送信メールサーバーのIPアドレスを記載した「SPFレコード」を登録しておきます。
例:差出人:ediontaro@enjoy.ne.jp 宛先:eri@example.com でメール送信
ドメイン
ドメイン
| ① | 送信メールサーバーへメールを送信 |
|---|---|
| ② | 送信メールサーバーが、ドメイン「example.com」のメールサーバーへ送信 |
| ③ | 送信元メールアドレスのドメイン「enjoy.ne.jp」の送信メールサーバーのIPアドレスを、 DNSサーバーに問い合わせ(SPFレコードの照会) |
| ④ | ③で問い合わせたIPアドレスと、②の送信メールサーバーのIPアドレスが一致すれば認証成功 |
| ⑤ | 受信メールサーバーよりメールを受信 |
メールに付与された電子署名を検証します。
ドメイン所有者が管理するDNSサーバーに「公開鍵」を登録しておきます。
例:差出人:ediontaro@enjoy.ne.jp 宛先:eri@example.com でメール送信
ドメイン
ドメイン
| ① | 送信メールサーバーへメールを送信 |
|---|---|
| ② | 送信メールサーバーが、メールに電子署名を付与(秘密鍵で暗号化しヘッダー部分に挿入) |
| 送信メールサーバーが、ドメイン「example.com」の受信メールサーバーへ送信 | |
| ③ | 受信メールサーバーが、送信元メールアドレスのドメイン「enjoy.ne.jp」の公開鍵を、 DNSサーバーに問い合わせを行いダウンロード |
| ④ | ダウンロードした公開鍵で、メールに付与された電子署名の復号化が出来れば認証成功 |
| ⑤ | 受信メールサーバーよりメールを受信 |
送信元を確認する為の特別なコードです。メールヘッダーに挿入され、非公開の「秘密鍵」により暗号化が行われます。この「秘密鍵」より作られた「公開鍵」でのみ復号化が可能です。
上記の例では、 の秘密鍵で暗号化された電子署名は の公開鍵でのみ復号化でき
の秘密鍵で暗号化されたものは復号化できません。
ドメイン認証「SPF」「DKIM」では、認証されなかったメールをどうするかは受信者サーバー側に委ねられています。そのため、なりすましメールが送られてきた場合は、受信者サーバーの設定次第では一旦は受け取ってしまう可能性があります。
「DMARC」は、この認証されなかったメールの処理(受信拒否や隔離など)をドメイン所有者により制御する仕組みで、所有するドメインのDNSサーバーに登録します。(DMARCポリシー)
例:差出人:ediontaro@enjoy.ne.jp 宛先:eri@example.com でメール送信
ドメイン
ドメイン
| ① | 送信メールサーバーへメールを送信 |
|---|---|
| ② | 送信メールサーバーが、ドメイン「example.com」のメールサーバーへ送信 |
| ③ | 受信メールサーバーで「SPF」「DKIM」いづれかのドメイン認証が失敗した場合、送信メールのドメイン「enjoy.ne.jp」のDNSサーバーに「DMARCポリシー」を問い合わせ |
| ④ | ③で問い合わせたDMARCポリシーに基づき、メールを処理 |
| ⑤ | ドメイン認証が成功した場合、受信メールサーバーよりメールを受信 または、DMARCポリシーが「指定なし」の場合も受信 |
| ⑥ | DMARCポリシーが「隔離」の場合、受信メールサーバーの迷惑メールフォルダ等へ移動 |
| ⑦ | DMARCポリシーが「受信拒否」の場合、受信メールサーバーで削除等を行う |
エディオンネットのメールサーバーでは、SPF、DKIM、DMARCに対応しています。
ただし、DKIM署名はポート587もしくは465ポートからの送信、かつ送信アドレスをエディオンネット提供のドメイン(enjoy.ne.jp/kualnet.jp)とした場合のみです。
送信先サーバーがSTARTTLS*に対応していれば、エディオンネットの送信サーバーと送信先サーバー間の暗号化が可能です。 *SSL/TLSの暗号化通信
インターネット上の住所のようなものになります。
エディオンネットでは「enjoy.jp」「enjoy.ne.jp」「kualnet.jp」のドメインを所有しており、このドメインが付くサーバーやメールアドレス・DNSサーバーの情報等は、ドメイン所有者のエディオンネットが管理しております。
インターネット上の住所録のようなもので、ホームページの実際の場所(IPアドレス)やメールの送り先(メールサーバー)などの問い合わせ先になります。
| 動作の一例 | DNSサーバーに問い合わせ | DNSサーバーからの回答 |
|---|---|---|
| ホームページを見る | www.enjoy.jp はどこにある? | IPアドレス:202.224.64.xxx です |
| メールを送る | ediontaro@hi.enjoy.ne.jp はどこに送ればいい? | メールサーバー:xxx.enjoy.ne.jp です |
ドメイン認証に関わる応答(SPFレコードの回答、公開鍵の配布)の役割などもあります。