ドメイン所有者ができる“なりすましメール”対策 DMARC

「プロ生」を装うメールやアカウントに注意してください』で注意喚起しているように、メールの From アドレスを偽称した「なりすましメール」が出回ってしまっています。その内容は、特定電子メール(広告宣伝メール)であり、送信者情報を偽ったメールの送信は、特定電子メール法により懲役や罰金が処される犯罪行為です。

ドメイン所有者からすると、勝手にドメインを使用(偽称)した迷惑メールが送られ、受信者からの苦情対応やブランド価値が低下する迷惑行為です。

調べたところ、ドメイン所有者ができるなりすましメールの対策技術 DMARC を知ったので対応してみました。

お役立ちサイト

詳しくは、専門の Web サイトなどを参考にしてください。

まず、総務省の 迷惑メール対策技術導入を検討されている事業者の方へ より、技術情報と利用者の同意取得等に関する法的解釈の情報を得られます。

総務省 迷惑メール対策 より、「電子メールのなりすまし対策 第4版」があり、これが今回のなりすまし対策を説明した文書です。

また、わかりやすく解説した なりすまし対策ポータル ナリタイ というのもあります。……といってもそれなりに難しいかも。

DMARC の仕組み

まず、DMARC 以外に、SPFDKIM という送信ドメイン認証技術があります。

  • SPF: メールヘッダー記載の送信メールサーバーの IP アドレスが正しいか認証する仕組み
  • DKIM: メール内容が変更されていないか検証できる電子署名の仕組み

この SPF や DKIM と組み合わせて使えるのが DMARC です。

受信側のメールサーバーにより、SPF や DKIM による認証が失敗、もしくはメールの From アドレスのドメインと送信メールサーバーのドメインが異なる場合、From アドレスの DNS に該当メールの処理を問い合わせする仕組みです。

DMARC を使うと、ドメイン所有者は、なりすましメールを受信した場合

  • 何もしない(監視のみ)
  • 隔離する(迷惑メールとマークする)
  • 拒否する(削除する)

の3種類の動作を指定できます。またメールサーバーからレポートを受信することもでき、なりすましメールが送信されているかどうか、送信サーバーはどこかなどの情報を得れます。

DMARC の設定は、DNS のレコードに追加します。

DMARC 対応のサーバー

DMARC の仕組みは、受信側のメールサーバーが DMARC に対応している必要があります。Google、Microsoft、Yahoo! などのサーバーは対応していますが、日本のプロバイダー(ISP)のほとんどは対応していません。

つまり、日本のプロバイダーが提供するメールアドレス宛には、DMARC は無力です。なりすましメールが届いてしまいます。しかし、Gmail 宛に送られたメールは、ドメイン所有者側でメール削除の指定ができます。

例えば、microsoft.com の DMARC 設定を見る と、メールを拒否 (reject) するよう指定されているので、microsoft.com になりすましたメールを Gmail に送信しても、届かないことがわかります(実際に送信してはダメです)。

DMARC レポート

受信側のサーバーが DMARC レポートに対応していれば、送信者などの情報をドメイン所有者宛にメール送信してくれます。レポートは XML 形式で、XML to Human Converter などのツールで確認しないと、内容を把握しづらいです。

ある日の Google による jz5.jp ドメインの DMARC レポートです。

  • 迷惑メールサーバー → 宛先のメールサーバー →(転送)→ Google メールサーバー のように転送されたメールが 9,000通以上、
  • 迷惑メールサーバー → Google メールサーバー のように送信されたメールが 9,000通近くあることがわかります。

2万通近くのなりすましメールは、受信者が知ることもなく削除されていることもわかります。被害を最小限にできるので、悩まされている方は DMARC を導入してみるといいかもしれません。