邮件认证
本文约需 2 分钟阅读
メール認証とは、SPF、DKIM、DMARC の 3 つのプロトコルを 組み合わせて、メールの送信元ドメインが正当であることを検証する仕組みです。 メールプロトコル (SMTP) は 1982 年の設計当初から送信者の詐称が容易であり、フィッシングやビジネスメール詐欺の温床になっていました。 2024 年 2 月、Google と Yahoo が大量送信者に対して SPF/DKIM/DMARC の設定を義務化したことで、 メール認証は「推奨」から「必須」のインフラへと転換しました。
3 つのプロトコルの役割
DNS の TXT レコードに「このドメインからメールを送信してよい IP アドレス」を列挙する。 受信サーバーは送信元 IP が SPF レコードに含まれているかを検証し、 含まれていなければ不正な送信元と判断する。封筒の差出人 (Return-Path) を検証する仕組み。
送信サーバーがメールのヘッダーと本文に電子署名を付与する。 受信サーバーは DNS に公開された公開鍵で署名を検証し、メールが改ざんされていないことと 正当なドメインから送信されたことを確認する。手紙の封蝋のような役割。
SPF と DKIM の検証結果に基づいて、認証に失敗したメールをどう扱うかのポリシーを定義する。 none (監視のみ)、quarantine (隔離)、reject (拒否) の 3 段階。 さらに、認証結果のレポートをドメイン管理者に送信する機能を持つ。
認証フローの全体像
Google / Yahoo の 2024 年義務化
2024 年 2 月から、Google と Yahoo は 1 日 5,000 通以上を送信するドメインに対して 以下を義務化しました。
- SPF または DKIM のいずれかに合格すること (全送信者)
- SPF と DKIM の両方に合格し、DMARC ポリシーを設定すること (大量送信者)
- ワンクリックでの配信停止リンクを含めること (マーケティングメール)
- スパム報告率を 0.3% 未満に維持すること
この義務化により、メール認証を設定していないドメインからのメールは Gmail や Yahoo メールで迷惑メールフォルダに振り分けられるか、 受信自体を拒否されるようになりました。フィッシング対策の 観点からも、メール認証の設定は組織の信頼性を守る基本的な防御策です。
BIMI - ブランドロゴ表示の台頭
BIMI (Brand Indicators for Message Identification) は、DMARC の enforcement ポリシー (quarantine または reject) を設定済みのドメインが、受信トレイにブランドロゴを 表示できる仕組みです。Gmail、Apple Mail、Yahoo メールが対応しています。 ロゴが表示されることで受信者は正規のメールであることを視覚的に判断でき、スピアフィッシングへの 耐性が向上します。BIMI の導入には VMC (Verified Mark Certificate) の取得が必要で、 年間数十万円のコストがかかるため、現時点では大企業やブランド保護を重視する組織が 中心です。
よくある設定ミスと落とし穴
- SPF レコードの DNS ルックアップが 10 回を超える。外部サービスを多数利用していると include の連鎖で上限に達し、SPF が機能しなくなる
- DKIM の鍵長が 1024 ビットのまま。2048 ビット以上が推奨されており、 一部の受信サーバーは 1024 ビットの署名を弱いと判定する
- DMARC ポリシーを p=none のまま放置する。監視フェーズとしては有効だが、 実際にメールを拒否しないため防御効果がない。レポートを分析して p=quarantine → p=reject へ段階的に移行すべき
- メール転送時に SPF が壊れる。転送サーバーの IP は元の SPF レコードに含まれないため、 ARC (Authenticated Received Chain) の設定が必要になる場合がある
メールアカウント保護やAI 生成フィッシングの 記事も参照すると、メールセキュリティの全体像が把握できます。メールセキュリティの関連書籍 (Amazon)で実装の詳細を学ぶのもおすすめです。
这篇文章对您有帮助吗?