どんな事でもお気軽にお問い合わせください
0120-803-656
24時間受付いたします

迷惑メールフィルタからメールを守れ!送信ドメイン認証のお話①


初めに

こんにちは。
システムソリューション部運用管理課の情報処理安全確保支援士(仮)兼、万年留守番係の三木田です。
日々の業務で、お客様からお預かりしているサーバ上で稼働しているメールサーバから送信したメールが受信先のメールサーバで迷惑メール判定を受けてエラーメールで帰ってきたり、迷惑メールフォルダに入ってしまうとのお問い合わせをいただくことがあります。
本来は迷惑メールを撃退するはずの迷惑フィルタが間違えて迷惑でないメールを撃退してしまっている事態が発生しており、本末転倒感がぬぐえません。
よくある事例としてはWebフォームから送信されるメールがプログラム側で正しく設定されていなかったり、多くの迷惑メールフィルタが採用している送信ドメイン認証の設定が正しくされていないといったことがあります。
そこで今回は送信ドメイン認証についてどのようなものがあるかについて書いてみたいと思います。
なお、電子メールの送信ドメイン認証については一度に書くと大変長くなりますので、何回かに分けて書かせていただきます。

送信ドメイン認証って何?

送信ドメイン認証とは、送信者のメールアドレスが正しいものかどうかを検証するアドレスです。
基本的な動作としては、送られてきた送信元のメールアドレスから送信元メールサーバを確認し
それがが正規のメールサーバーから発信されているかどうかを確認します。

送信ドメイン認証ってどんな種類があるの?

現在良く利用されている送信ドメイン認証については以下4つがあります。

■送信者メールアドレスから送信元メールサーバを割り出し、正規のメールサーバから送られてきたものか確認する
動作イメージ

  1. SPF(Sender Policy Framework)(RFC4408)
  2. Sender ID(RFC4406)

上記の2つについてはいずれも送信元のメールサーバが登録されているDNSにSPFレコードを問合せ、その情報をもとにメール送信元の整合性を確認します。なお、SPF、SenderID双方ともDNSにSPFレコードを登録する必要があるのですが、書式については同一なので書き分けて登録する必要はありません。
双方の違いは送られてきたメールの送信元アドレスから送信元メールサーバを識別する方法です。

■メールのヘッダーに電子署名を挿入し、その署名を検証しメールの正当性を確認する
動作イメージ

  1. DomainKeys(RFC4870)
  2. DKIM(DomainKeys Identified Mail)(RFC4871)

上記2つについては事前に公開鍵方式の鍵を作成し、秘密鍵の方をメールサーバに登録、公開鍵の方をDNSサーバに登録します。なお、DNSサーバに登録する方法はtxtレコードを用い、所定の書式に従い登録する必要があります。その際に署名検証が失敗した場合の振る舞いについても記載することができますのでそちらも記載しておきます。こちらについても先程同様書式には違いがないので書き分けて登録する必要はありません。
双方の違いは署名を検証した後の挙動にあります。DomainKeyについては署名検証するのみで、DKIMについては署名検証後の成否により、DNSから回答のあった振る舞い情報に基づき対応を実施します。

終わりに

いかがでしたでしょうか。
送信ドメイン認証の種類と違いについて簡単ではありますが説明させていただきました。
次回からはそれぞれの設定方法や実際のメールログ、メールヘッダーにどのような記載がされるのか深堀して説明したいと思います。
ではまた来月(多分)。


お問い合わせ 採用情報 エンジニアブログ
ISO27001認証
Contact PageTop
株式会社ビヨンド

© beyond Co., Ltd. All rights reserved.