4 迷惑メール対策技術

4-2 送信ドメイン認証

送信ドメイン認証とは?

送信ドメイン認証技術は、メール送信者情報のドメインが正しいものかどうかを検証することができる仕組みです。
現在のメール送信においては、送信者情報を詐称することが可能で、実際、多くの迷惑メールは他のアドレスになりすまして送られています。

送信ドメイン認証技術が普及し、送信側・受信側メールサーバ双方で広く実装されるようになれば、送信者情報を詐称しているメールの判定が可能となり、判定結果を活用したフィルタリングにも利用することができるようになります。

また、メール受信者は、そのメールが正規の送信者から送られてきたものかを判定することができるようになるため、正規の送信者を装って不正サイトへ誘導するいわゆるフィッシングメールなどの被害を未然に防止することもできます。

2つの認証方式

送信ドメイン認証技術には、(1)SPF/SenderIDという送信元のIPアドレスを認証に用いる方法と、(2)DKIM/DomainKeysというメールに電子署名を付与する方法の2種類があります。

(1)SPF/SenderID

SPF/SenderIDは、受信したメールのIPアドレスを元に、送信者情報のドメインが正規のものであるか検証できるようにする方式の送信ドメイン認証技術です。

SPFを利用した送信ドメイン認証の判定結果の例:
 Authentication-Results: ****.ne.jp;
 
spf=pass smtp.mailfrom=****@dekyo.or.jp;
 sender-id=pass header.from=****@dekyo.or.jp

送信側は、あらかじめ送信メールサーバで使用するIPアドレスをDNS(ドメインネームサーバ)に登録しておき、受信側で、送信者の称するドメインとIPアドレスを比較することで、詐称の有無を判定するものです。
受信側での認証処理の結果は、以下のように表示されます。

意味
Pass 送信元のドメインは認証処理に成功した
PermError 送信元のドメインはSPFレコードの記述に誤りがあるなどで認証処理を実行できなかった
TempError 送信元のドメインは一時的な障害により認証処理が失敗した
Neutral 送信元のドメインはSPFレコードが“?”として、認証の成功・失敗について明確にしていない
SoftFail 送信元のドメインはSPFレコードが“~”として、認証に失敗したが送信元は失敗と扱うべきではないとしている
hardfail 送信元のドメインは認証に失敗した
None 送信元のドメインはSPFレコードを宣言していない
(2)DKIM/DomainKeys

DKIM/DomainKeysは、受信したメールが改ざんされていない正当なメールかどうかを調べることができる電子署名を付与する方式の送信ドメイン認証技術です。

SPFを利用した送信ドメイン認証の判定結果の例:
 Authentication-Results: ****.co.jp from=****.com; domainkeys=pass (ok); dkim=pass (ok) header.i=@****.com
 Received: from 00.00.00.00 (EHLO ****.com) (00.00.00.00)
 by mta567.****.co.jp with SMTP; Wed, 18 Apr 2012 11:07:23 +0900
 DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=k1; d=****.com;
 h=From:To:Subject:Date:Message-ID:MIME-Version:Content-Type:Content-Transfer-Encoding; i=****@****.com;
 bh=****(暗号化された文字列);
 b=****(暗号化された文字列)

送信側は、あらかじめ送信メールサーバにおいて、自ドメインに対する公開鍵をDNSに登録しておきます。メールが送信されると送信メールサーバでメールを配送する際に秘密鍵でデジタル署名を付加し、受信側では署名されたメールが配送された時点で、その送信ドメインからDNSに登録された公開鍵を取得し、その署名内容を検証することで、改ざんされていないか判定することができます。

どちらかひとつでは不十分

SPF と DKIMの2種類の方式がありますが、どちらにも詐称を判定する際に不完全な部分があるため、送信ドメイン認証の精度を上げるには、SPF/SenderID、DKIMそれぞれ異なる技術を組み合わせて使うことが必要とされています。 (参考サイト:FAQ|dkim.jp 

国内ISP・CATV・携帯/PHS事業者の実施状況について

以下より、現在の各プロバイダ(ISP)、CATV(ケーブルテレビ)、ケータイ/PHS事業者における送信ドメイン認証実施状況について調査を行い、その結果をとりまとめました。

各ISP・CATV・ケータイ/PHS事業者における送信ドメイン認証実施状況

関連ページ

4-1 Outbound Port 25 Blocking

関連サイト

総務省
迷惑メール対策 技術的解決策
迷惑メール対策技術導入を検討されている事業者の方へ
受信側における送信ドメイン認証技術導入に関する法的な留意点(PDF 271KB)

DKIM(DomainKeys Identified Mail) 

有害情報対策ポータルサイト -迷惑メール対策編-(財団法人インターネット協会)

Adobe Reader PDFファイルをご覧いただくには、Adobe Systems社から無償提供されているAdobe® Readerが必要です。