電子メールのセキュリティには、一見しただけではわからないことがたくさんあります。電子メールが、個人情報や機密情報を狙うフィッシングの最も被害の大きい分野の一つであることはよく知られています。

ハッカーは、本物そっくりのメッセージを作るのが非常にうまくなっており、多くの人を騙してコールトゥアクションをクリックさせ、なりすまし犯が求める情報(ログイン情報や金融機関へのアクセス情報など)を提供させています。

メール認証とは何か?

メール認証とは、お客様がメールキャンペーンを送信する際に、お客様がご本人であるかどうかを確認し、お客様の評判を守るためのシステムです。4つのコンセプトはシンプルですが、それぞれの方法を設定するのは難しいものです。しかし、これらを組み合わせることで、現在のシステムでも十分な保護効果を得ることができます。

どのような方法が考えられますか?

現在の代表的なメール認証方法は以下の4つです。

  1. SPF - センダー・ポリシー・フレームワーク
    この規格では、各メールが信頼できるIPアドレスから送られてくることを確認するための独自のチェックを行います。
  2. DKIM - DomainKeys Identified Mail(ドメインキーズ アイデンティファイド メール
    もう一つのIDチェックですが、今回はデジタル署名として暗号鍵を使用します。
  3. DMARC - Domain Message Authentication Reporting and Conformance(ドメインメッセージ認証の報告と適合性
    DMARCは、メールが配信される前にSPFとDKIMの両方を満たしていることを確認します。
  4. BIMI - メッセージを識別するためのブランド指標
    BIMIは、送信者の信頼性に焦点を当てた最終チェックを行い、受信者の受信箱に送信者のブランドイメージを表示します(現在サポートされている場合)。

それぞれについてもう少し深く見ていきたいと思いますが、まずはなぜ重要なのか、その仕組みを少しだけ説明します。

メール認証の仕組みは?

それぞれの認証方法(SPF DKIM DMARC BIMI)は、メールドメインを使用してメールにセキュリティの層を適用し、あなたが主張する人物であることを確認します。

  1. 送信者は、自分のドメインがどのように認証されるかのポリシー/ルールを定義します。
  2. そして、そのルールを実行するために、ドメインのDNSやメールサーバーを設定します。
  3. 受信サーバーは、受信したメールを、ドメインのDNSに固定されたルールと照合して確認します。
  4. 認証された場合、受信者サーバーはメールを安全に処理します。認証に失敗した場合、メッセージはブロックされたり、隔離されたり、認証ルールに沿って管理されます。

どのようなメリットがありますか?

このように、メール認証を設定していないと、メールが拒否されたり、スパム率が上がったり、配信率が下がったりするリスクがあります。

苦労して考え、美しくデザインされ、作成されたメッセージが、本来の目的である受信箱に届く可能性ははるかに低くなります。

さらに悪いことに、メールの認証方法が確立されていないと、あなたのブランドははるかに簡単に偽装されてしまい、あなたやあなたの顧客はメール攻撃、ハッキング、フィッシングの危険にさらされてしまいます。

メール認証の設定

各認証方法を管理するための設定を行うには、ドメイン登録サービスを通じてDNS設定(Domain Name System)にアクセスする必要があります。

DNS設定にアクセスしたら、ドメインに様々なTXTレコードやCNAMEレコードを追加します。

ドメイン設定の値を確認するには、メールホストに確認する必要があります。ホストはSPFレコードの設定を提供し、ホスティングエリア内でDKIMセレクターを生成し、DMARCポリシーの実装方法を教えてくれるでしょうが、ホストによって設定方法が異なる場合があります。

ブランドイメージファイルのパスを含むBIMIレコードを含むように、別のTXTレコードを追加します。

READ MORE
なぜ私のメールがSPAMになってしまうのですか?

SPF - センダー・ポリシー・フレームワーク

SPFは、メール開発の初期に作られた標準的な認証です。初期のメールシステムには適していましたが、現代のメール手段にはいくつかの問題があります。そのため、4つの方法を駆使して完全にカバーする必要があります。

SPFレコードは、ドメインのDNS内にプレーンテキストで保存されており、ドメインからの送信を許可されたIPアドレスを指示します。

受信者のメールサーバーがSPFレコードを取得するためにDNSルックアップを実行すると、メッセージのリターンパスにその値が使用されます。

SPF認証の問題点

構文 - テキストレコードであるにもかかわらず、DNSレコードを入力する際には構文が難しい場合があります。正確に入力しないと、メッセージや送信者が本物であっても認証に失敗します。

承認されたIPアドレスの特定 - クラウドプラットフォームなどの共有システムでは、動的に割り当てられたIPアドレスで複数のサービスをホストすることができます。IPを決定して承認することができますが、SPFレコードを使用することで、誰でも同じ共有IPを使用することができます。

SPFは、受信者がはっきりと見ることのできる「from」フィールドではなく、隠れたリターンパスフィールドを認証に使用します。ハッカーは、情報を得るために以下のような表示をすることができます。 有効 ドメインとメールアドレスを「from」フィールドに入力しているにもかかわらず、リターンパスとして独自のメールを使用し、独自の認証システムを使用してサーバーのチェックを通過しています。

SPFがメール転送に対応していない - 識別するドメインが元のドメインではなく転送サーバのドメインであるように見えるため、受信者サーバは転送されたメッセージの検証に失敗します。

ご覧のように、かつては受け入れられていた方法が 此の度 大きな欠陥があります。これは、総合的なセキュリティを向上させるための基礎となるものです。しかし、単独の方法では、現在の技術では十分ではありません。

 

DKIM - DomainKeys Identified Mail(ドメインキーズ アイデンティファイド メール

DKIMは、公開鍵/秘密鍵の暗号化を使用して電子メールメッセージに署名します。これにより、メールがドメインから送信されたものであること、およびメールが送信中に変更されていないことが検証されます。

これは、配信中にメッセージが変更されていないことを保証するため、より安全な認証方法です。また、DKIM認証はメールの転送時にも有効です。

ドメイン所有者は、公開鍵と秘密鍵のペアで暗号化された鍵を作成します。公開鍵は、ドメインのDNSにTXTレコードとして置かれます。電子メールが送信されると、メッセージの内容に基づいて「ハッシュ」が生成される。このハッシュは、ドメインの秘密鍵で暗号化され、電子メールのヘッダーに添付されます。

受信者のメールサーバーは、DNSに格納されている公開鍵を使って暗号化された情報を読み取り、すべてが一致すれば認証が成立します。

DKIMセレクター

各ドメインは、いくつかのセレクタを利用することができます。これらの値は、サブドメイン、ユーザー、ロケーション、サービスなどの固有のプロパティを識別するために使用されます。それぞれのセレクタは、独自の公開鍵を使用して動作し、すべての状況に対応する単一の共有鍵を放棄します。

DKIM認証の問題

シグネチャの不一致 - 有効なDKIMシグネチャは、「from」フィールドに表示されているドメインとは全く異なるドメインを使用することができます。これにより、別のメールドメインからのフィッシングを簡単に行うことができます。

鍵の安全性 - 他のユーザーのドメインを使ってメッセージに署名したハッカーは、そのドメインの秘密鍵を使って自分のメールを完璧に検証することができます。

鍵の導入と管理 - 長くて安全性の高い鍵は、ドメインDNSに適用する際に問題となります。このような長い文字列のデータは、コピー&ペーストしても、簡単に誤適用されてしまいます。

DKIMを最大限に活用するためには、DMARCと連携して、「from」フィールドで使用されるドメインを活用する必要がある。このように、それぞれのシステムが、完全で効果的な認証システムを構築するために、以前の方法に依存していることがお分かりいただけると思います。

DMARC - Domain Message Authentication Reporting and Conformance(ドメインメッセージ認証の報告と適合性

すでに述べたように、DMARCは、ハッカーや攻撃者が安全チェックを回避するために代替ドメインを使用することを防ぐために、fromフィールドに設定されたドメインの使用を強制しています。

また、送信者が認証結果をどうするかを決めることができる報告メカニズムも含まれています。DMARCレコードは、受信者サーバーがレポートを送信する場所と方法を制御する。

事実、DMARCはSPFとDKIMの間のギャップを埋め、その結果として メール配信性.スパマーはこれらの保護されたドメインを悪用することができなくなるため、ドメインの評判が高まり、配信率が向上します。

DMARCエンフォースメント

DMARCレコードは、認証に失敗したメールをどうするかを指示するものです。このポリシーには、「何もしない」、「隔離する」、「拒否する」という3つの結果があります。DMARCレポートは、そのような失敗したメッセージがどこから来たのかをドメイン所有者に知らせ、違反についての重要な情報を提供し、さらに保護措置を取るために何ができるかを示します。

BIMI - メッセージを識別するためのブランド指標

BIMIのメール認証を導入することで、配信によるエンゲージメントが10%程度向上すると期待されていますが、これは決して軽視できる数字ではありません。

この認証方法はまだ初期段階にあり、多くのメールプロバイダーが導入を検討していますが、最終的に私たちのサーバーに導入されたときに、ユーザーが準備を整えられるようにするためのいくつかのステップがあります。

ひとつ確かなことは、GoogleがG SuiteにBIMIの統合機能を搭載していることから、他の国々が追いつくのは時間の問題であるということです。

BIMIの準備をするには?

BIMI電子メール認証を有効にするには、まずSPF、DKIM、DMARCで電子メールを認証し、整合性を確保する必要があります(ドメインが全体的に同じであること)。DMARCポリシーは、検疫または拒否のいずれかで実施され、ドメインのDNSには正しいBIMIレコードがなければなりません。

また、受信者の受信箱に表示される認証結果のリンクとして、適切なロゴファイルをホストする必要があります。ロゴは正しいSVG形式で、場合によってはファイルを認証するためのVMC(Verified Mark Certificate)が必要となります。

メールキャンペーンの完全な認証

これらの方法は、それぞれ単独では、生活をシンプルにするためのワンストップソリューションにはならないことがわかりました。しかし、それぞれのシステムを1つにまとめるために少し工夫をすれば、メールキャンペーンやメッセージの配信において、これまでよりもはるかに安全になるでしょう。 苟も なくてはならないものです。

サービスや加入者を確実に保護し、接続性やマーケティング効果を高めることができるのであれば、時間と労力をかける価値はあります。

バウンサーによるリストクリーニング