セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場技術や仕組み DMARC / BIMIによるメールセキュリティ

DMARC / BIMIによるメールセキュリティ

2023.01.10 技術や仕組み

メールのFromなりすましと送信ドメイン認証
SPFとDKIMだけでは不十分
DMARCによるなりすまし対策
BIMIによるロゴ表示
DMARCとBIMI

メールのFromなりすましと送信ドメイン認証

OutlookやGmailといったメールクライアントで誰かに宛ててメールを送信したとき、複数のサーバを経由しながらメッセージが受信サーバまで転送されます。そのメッセージにはその件名や本文に加えて送信者や受信者の名前・メールアドレス（ヘッダFrom、ヘッダTo）といった情報をも含んでいます。

メッセージは自由に作成できるため、送信者を偽装したメッセージを用意して、他の送信者になりすましたメールを送付することができてしまいます。この問題は、迷惑メールやフィッシング詐欺、ビジネスメール詐欺（BEC）といった行為に悪用されることがあります。

送信ドメイン認証の技術では、送信者アドレスのドメインに対して、送信元のメールサーバがドメインにより許可されているものであるかを検証できるようにすることで、管理外のメールサーバから送信されたときに受信側メールサーバで検知できるようになります。

SPFとDKIMだけでは不十分

以前の記事で紹介したSPFとDKIMも、送信ドメイン認証の技術です。SPFでは、送信元メールサーバのIPアドレスに対して、送信ドメインにより公開されたIPレンジに含まれるかを検証します。DKIMでは、メッセージに付与されたデジタル署名を、送信ドメインにより公開された検証鍵により検証します。

しかし、どちらもヘッダFromに対する検証とはなっていない点に注意が必要です。SPFで検証する送信ドメインは、メールサーバ間でSMTP通信する際に伝達する「エンベロープFrom」で、ヘッダFromとは異なります。DKIMでは署名に付記されているドメインが検証対象となります。

ヘッダFromのドメインが検証対象のドメインと異なっていても、送信側の都合（例. Fromアドレスとメール送信専用サーバとで異なるドメインを利用している場合）で変更しているのか悪意によるものなのか受信側で判断できず、SPFとDKIMだけではヘッダFromの偽装への対策としては不十分です。

DMARCによるなりすまし対策

DMARC（Domain-based Message Authentication, Reporting, and Conformance）という仕組みを利用すると、ヘッダFromのなりすましを防止できます。

SPF、DKIMではメールの正当性検証に必要な情報を定義しますが、失敗したメールの取扱いは受信側メールサーバに委ねられます。これに対して、DMARCでは、SPFとDKIMの認証に失敗した場合の取り扱いポリシーを、DNSレコードとして公開します。これにより、送信側ドメイン管理者が受信側メールサーバに不正なメールの取扱いポリシー（拒否・検疫・配送）を指定できます。また、不正メールについてのレポートを受信側メールサーバから受け取ることもできます。

それに加えてDMARCではアラインメントと呼ばれる要件として、SPFとDKIMの検証対象ドメインがヘッダFromのドメインと一致していることが要求されます。つまり、SPFでは送信元メールサーバとヘッダFromが一致したときにIPアドレスが検証され、DKIMでは署名したドメインとヘッダFromが一致したときに署名が検証されます。これによりヘッダFromを他ドメインに偽装したメールは認証を通過できなくなります。

BIMIによるロゴ表示

DMARCによってFromアドレスへのドメイン悪用を防止していても、類似ドメインを使用したフィッシングメールは防止できません。

BIMI（Brand Indicators for Message Identification）という仕組みを利用すると、DMARCの認証を通過した受信メールに対して、ドメインと紐づく企業ロゴを表示させることが可能になります。対応しているメールクライアントとしてGmailが知られており、ロゴは送信者のアイコンの代わりに表示されます。

送信元が検証された場合に認証されたロゴを表示させることで、ユーザが信頼性の高いメールをより識別しやすくなり、同時にブランディングを促進できます。

ドメインをBIMIに対応させるには、ロゴに対する証明書（VMC）を認証局から発行してもらい、ロゴと共に公開する必要があります。現時点では申請に一定の費用が必要で、ロゴが商標登録されているといった要件もあります。

DMARCとBIMI

DMARCは、送信元として表示されるFromアドレスへのドメイン悪用を有効に防ぐことができます。DNSレコードにポリシーを設定することで導入できるため、SPFやDKIMが対応済みであれば積極的に検討しましょう。

BIMIを導入することで、本来であればメールに表示されるロゴを偽ドメインでは表示させることができません。これにより、近年多く発生している類似ドメインを使用したフィッシングメールに対してもBIMIの導入は（受信者の判断に依存しますが）一定の効果を期待できます。

国内でBIMIに対応している企業はまだ多くありませんが、BIMIがより普及するようになれば、企業からのメールにはロゴが表示されるのが当たり前になり、フィッシングメールによる被害が減っていくことでしょう。

SPF/DKIMによるメールセキュリティ

メールに潜在するセキュリティリスク
SPF
DKIM
SPFとDKIM

あなたの疑問を一緒に解決します！

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します！
ぜひご気軽にご投稿ください。

お問い合わせ

クラウドの脆弱性診断にご興味があるかたはこちら

お問い合わせ

この記事の著者蕏塚昌大

大学院では物理学の国際共同実験に携わり、機械学習を活用したソフトウェアモジュールを開発。2017年に新卒として株式会社SHIFT SECURITYに入社。
標準化エンジニアとしてWebアプリケーションやクラウドの診断をはじめとする各種セキュリティ診断サービスの標準化を推進。
週末は庭の雑草抜きに勤しむ。好きな言葉は「根こそぎ」。

こちらの記事もおすすめ！

SPF/DKIMによるメールセキュリティ

電子メールはWebの発展以前から存在する技術で、コンピュータ間のメッセージ交換を目的に長く使われてきました。当時、サイバーセキュリティに関する状況が現在とは大きく異なる中で設計された仕組みであるため、幾度の仕様変更によりセキュリティ強化が試みられたものの、メールには未だにさまざまなセキュリティの課題があります。

2022.10.12 技術や仕組み