ベアメール

blogベアメールブログ

ニュース・トレンド

迷惑メール対策に必要な「SPF」と「DKIM」とは?

なりすましメール

目次contents

一日に送信される16億通のメールの内、4割が迷惑メール

メール配信をした後、きちんと相手に届いているかを確認されたことはありますか?メール配信ツールに配信ログを確認する機能がない場合、わざわざサーバのログを取得しに行かなくてはならないため、そこまではしていない担当者の方も多いのではないでしょうか?

実はそのメールが、システムによって迷惑メールやなりすましメールだと判断されて、相手に届いていない可能性があります。

総務省が通信事業者10社に対して行った調査によると、一日に送信されるメールの内、2011年頃には7割程度、ここ数年では大体4割前後のメールが迷惑メールに該当しています。

出典:迷惑メール白書 2018

迷惑メール対策技術の最新動向

では、迷惑メール対策技術とはどういったものがあるのでしょうか?日本データ通信協会や総務省のサイトからわかる最新動向は下記のようなものになります。

a ) 送信トラフィックの制御(大量メールの一括送信を制御)

b ) OP25B(25番ポートの使用禁止)

c ) 送信者認証(SPF、DKIM、DMARK)

この3つの中で今回注目するのは、c ) のSPFとDKIMです。こちらは迷惑メールの大半を占めるというなりすましメールの対策になる重要な技術です。

その前に確認しておきたい!IPアドレスのブラックリストに自社は入っていないか?

さて、SPFやDKIMを説明する前に、「RBL(Real-time Blackhole List)/ DNSBL(DNS Blackhole List)」という言葉を聞いたことはありますか?

RBL/DNSBLは、迷惑メール送信元のIPアドレスのリストを集めたもので、いわゆるブラックリストと呼ばれるものです。昨今のキャリアやISPでは、このリストに掲載されているIPアドレスから配信されるメールの受け取りを拒否する設定にしています。以前はよく届いていた迷惑メールが、そういえば最近届かないな、と思っているのならばブラックリストに入った可能性があります。

その為、まずはRBL/DNSBLを使って自社のメールサーバのIPアドレスがこのリストに含まれていないかの確認をおすすめします。

ブラックリストに登録されているIPアドレスは、メールサーバの設定に問題があるケース(第三者が利用できるようになっている等)や、宛先不明のメールを大量に送信しているなどの条件がありますが、リストの管理団体によってそのルールは多少異なるようです。もしリストに入ってしまったならば、解除するための必要な措置をとる必要があります。これは各団体によって対処法が異なりますので、都度確認をしてください。リストに登録されても、管理者に届くことはないので、定期的にリストの確認を行うことをおすすめします。

確認方法

DNSBLを運営している団体は複数ありますが、今回はMX TOOL BOX(https://mxtoolbox.com/)について解説します。同サイトは、ブラックリストに登録されているかの確認に加え、SPF、DKIM、DMARKに対応しているかも検証することができます。

入力すべきなのはドメイン名かIPアドレスのみで、あとはMX Lookupのボタンをクリックするだけです。ほとんどのRBL/DNSBLも同様で、面倒な項目はないので、時間があるときに調べてみましょう。

なりすましメールだと思われないように必要な対策「SPF」と「DKIM」

そもそもなりすましでメールを送信できてしまうのは、メール送信者情報(From)を詐称できてしまうことにあります。それゆえ、送信ドメイン認証技術の重要性は高く、主要ISPを始めとしてほとんどの通信事業者で採用が進んでいます。 では、自社のアドレスが不審者扱いされて悲しい想いをする前に、送信ドメイン認証技術である「SPF」と「DKIM」がどういったものなのかの確認と対策にふれていきたいと思います。

SPFとは?

SPFは、メール送信元のグローバルIPアドレスを利用して、送信元ドメインが偽装されていないドメインであることを確認し、正規の物であることを認証するための技術です。

評価は、6段階(None、Neutral、Pass、Fail、SoftFail、TempError、PermError)で判定されます。迷惑メールと判定されないようにするためには、送信者側のIPアドレスがPass、もしくは最低でもSoftFailになるように対処してください。

もし、ブラックリストにIPアドレス/ドメインが登録されていた場合は、SPFが設定されているか、誤った設定になっていないかを確認することが重要です。

DKIMとは?

受信したメールが改ざんされていないかを、電子署名を利用して確認するのが「DKIM」です。

あらかじめ送信メールサーバのDNSに公開鍵を登録しておく必要があります。メールの送信時には秘密鍵によって発行されるデジタル署名をもとに、受信者側がメールの送信元ドメインの情報を辿って公開鍵を取得・検証を行い、メールが改ざんされていないか、送信元ドメインが偽装されていないかを認証します。評価は7段階(None、Neutral、Pass、Policy、Hardfail、TempError、PermError)で判定されます。

迷惑メールと判定されないようにするためには、判定結果がPassになるように対処してください。

また、「SPF」と「DKIM」のメリット・デメリットやSPFレコードの書き方についてはこちらの記事で紹介しています。

迷惑メール対策にはSPFの対応は必須

総務省による調査結果によれば、日本でのSPFの導入率は約50%、DKIMは約0.8%ということです。この結果から分かるとおり、SPFへの対策は必須であり、対策を講じなければ迷惑メール送信元と判定され、ブラックリスト入りすると考えた方がよさそうです。

DKIMはまだまだ普及段階ではありますが、対策を打っておくことは迷惑メール判定率を低下させることに繋がりますので、余力があるならやっておきたいところです。

SPFとDKIMで忘れてはいけないこと

ここまでいろいろと説明してきましたが、SPFやDKIMは受信拒否をするためのものではなく、あくまで迷惑メールであるかどうかを判定して点数をつけるものであり、どのレベルから拒否をするかはキャリア・ISPのセキュリティポリシーによります。

昨今では、米国で立ち上げられたDMARKが主要プロバイダで導入が進み始められており、現在約0.6%にまで普及が進んでいますので、今後はこちらも無視できないものになってくるでしょう。DMARKはSPFとDKIMの判定結果を利用するもので、今後テーマとして取り上げていく予定です。また、今回のSPFとDKIMの技術的な側面として、重要なのに間違っていることが多いレコードの記述方法についても説明していく予定です。

本稿で紹介したデータは総務省のサイトでご覧いただけます。白書など関連文書も掲載されていますのでご興味のある方は下記サイトをご参照ください。

※迷惑メール対策に関する取組みの情報を詳しく知りたい方は下記URLをご参照ください。

参考:総務省|電気通信消費者情報コーナー|迷惑メール対策

まとめ

本稿ではなりすましメールの送信者にならないために必要なSPFとDKIMについて説明してきました。

今後、より普及率が上がっていくであろうこれらの技術に加え、新たに生まれたDMARKへの対応は、より長い期間、より確実にお客さまへメールを届けることが可能になります。

とはいえ、こうした対策を自社で行うにはコスト面や人的リソース面で難しく、対応するまでに時間がかかってしまいます。

ベアメールなら、面倒な設定や管理、運用がサービスに含まれているのに月額5,000円から利用できる低価格設定です。本サービスを利用することで、面倒な運用の手間を考えることなく、より効果的なメールコンテンツの作成に力を入れることが可能になります。ぜひご利用ください。

ベアメール
https://baremail.jp/

この記事を読んだ人へオススメrecommended