送信ドメイン認証 【sender domain authentication】

電子メールの制御情報として記載された送信元メールアドレスは差出人が設定したものがそのまま使われるため、偽のドメイン名を含むアドレスにしたり、自分とは無関係なドメイン名のアドレスを勝手に名乗る「なりすまし」行為が横行している。

送信ドメイン認証は受信側でこのような送信元を偽装したメールを検知して受け取りを拒否する技術で、偽の送信元から届くスパムメールやウイルスメール、フィッシング詐欺、標的型攻撃などの一部を受信者に届く前に阻止することができる。

送信ドメイン認証は大きく分けて、送信元メールサーバのIPアドレスがアドレスに記載されたドメインのものか確認する「SPF」（Sender Policy Framework）などの方式と、送信時に電子署名を付与する「DKIM」（DomainKeys Identified Mail）などの方式の2種類がある。

SPFはドメインについての情報を配布するDNS（Domain Name System）の仕組みを応用するもので、各ドメインが自身がメールを送信するのに使うIPアドレスをDNSを通じて公開し、受信側で当該ドメインが公開しているアドレスから届いたものかを確認する。リストに無いアドレスが送信元の場合は無関係な第三者のなりすましであると判断できる。

DKIMは公開鍵暗号を応用した電子署名（デジタル署名）で送信元を確かめる方式で、各ドメインは一対の公開鍵と秘密鍵を生成し、公開鍵はDNSを通じて公開する。正規の送信元サーバはメールの送信時に秘密鍵から署名を生成して付与する。受信側は秘密鍵と対になる当該ドメインの公開鍵を取り寄せ、付与された署名を検証することにより、なりすましでないことを確認できる。

SPFやDKIMで不正と判定されたメールの取り扱いを偽装されたドメイン側で指定するため、「DMARC」（Domain-based Message Authentication, Reporting, and Conformance）という規格が併用されることもある。なりすまし行為が確認されるのは受信側であり、勝手に送信元に使われたドメイン所有者は直接そのことを知ることができないため、DMARCで受信側に偽装メールを検知したら知らせるよう依頼することができる。

関連用語

DNS

【Domain Name System】

IPアドレス

【Internet Protocol Address】

スパム

【SPAM】

サーバ

【server】

DNSサーバ

【DNS server】

メールアドレス

【e-mail address】

メールサーバ

【mail server】

認証

【authentication】

電子署名

【electronic signature】

なりすまし

【スプーフィング】

公開鍵

【public key】

秘密鍵

【secret key】

ヘッダ

【header】

SPF

【Sender Policy Framework】

エンベロープ

【envelope】

DKIM

【DomainKeys Identified Mail】

システム

【system】

レコード

【record】

ポリシー

【policy】

レポート

【report】