セキュリティの
学び場

メールに潜在するセキュリティリスク

電子メールはWebの発展以前から存在する技術で、コンピュータ間のメッセージ交換を目的に長く使われてきました。当時、サイバーセキュリティに関する状況が現在とは大きく異なる中で設計された仕組みであるため、幾度の仕様変更によりセキュリティ強化が試みられたものの、メールには未だにさまざまなセキュリティの課題があります。

その大きな課題のひとつは、送信者を偽装したメールの送付です。送信元を別のメールアドレスに改ざんできてしまうと、迷惑メールの送信や詐欺、マルウェア導入のように多くの問題へ及んでしまいます。

そのため、送信者が正しいものであるか、すなわち、そのメールアドレスを所有する者が送信元であるかという真正性を確認することが、受信側にとって重要な行為となります。

送信者の真正性を確認する技術として、SPFとDKIMが広く使われています。

SPF

メールは、送信側から受信側へ、複数のメールサーバを媒介して受信者へ転送されます。

SPF（Sender Policy Framework）は、メールの送信側メールサーバが、送信者ドメインにより許可されているサーバと一致するかどうかを検証する仕組みです。それによって、第三者のサーバからそのドメインに偽ったメールが送られることを防ぐことができます。

SPFを有効にするには、ドメインの管理者がDNSのSPFレコードを登録し、メール送信に利用するメールサーバのIPアドレスを設定します。そのドメインからのメールが届くと、受信側メールサーバはSPFレコードを参照し、メールを転送してきたサーバのIPアドレスを照合します。合致するかどうかで正しい送信元サーバかどうかを判定できます。

DKIM

DKIM（DomainKeys Identified Mail）は、送信側メールサーバがメールに付与する電子署名を用いて、送信者ドメインに紐づくサーバから送信されたことを検証する仕組みです。さらに、送信側サーバから受信側サーバに転送される過程でのメールの改ざんを検知することもできます。

DKIMを有効にするには、ドメインの管理者がDNSのDKIMレコードを登録し、署名鍵と対になっている公開鍵を設定します。送信側メールサーバでは、署名鍵を使って生成した電子署名をメールヘッダに付与します。受信側メールサーバは送信ドメインのDKIMレコードを参照し、公開鍵を用いて電子署名を検証します。署名が正しければ、正しい署名鍵をもつサーバによってメールが送信されたことが分かります。

SPFとDKIM

SPFがIPアドレスによって送信ドメインを認証するのに対し、DKIMでは公開鍵の仕組みで認証します。設定がより単純なのはSPFですが、改ざん防止も含めた対応ができるのはDKIMです。

自社ドメインにSPFもDKIMも設定されていない場合、メールを送っても正当性を受信側が検証できないため、迷惑メールに分類されやすくなります。メールを確実に届けるためにも、最低限としてSPFを設定し、可能であればDKIMの設定も検討しましょう。