送信ドメイン認証「DMARC」でなりすましメールを受信トレイに入れさせない！vol.1

• メルマガ購読者から、メールが届かないと問い合わせを受けたことはありませんか？
• スパイラルのメール配信設定にて、黄色信号のまま配信していませんか？
• あなたの組織になりすましているメールがどのくらいあるか、知っていますか？

今回は、最近増えている迷惑メールの中でも、送信者を装う「なりすましメール」とその対策について、お届けします。

氾濫するメール。本物なのかも分からない

2020年1月以降、COVID-19の世界的な流行により、セミナー会場に集合したセミナーからオンラインセミナーへ、会社に出勤する形からテレワークへ変更になるなど、電子メール送受信者を取り巻く環境が劇的に変化しており、離れた場所にいる人への電子メールを使った一斉連絡の重要性も増しています。

実はこの電子メールは、差出人の情報であるFromアドレスを、実際にメールを送信したアドレスではなく、任意のアドレスに指定できるようになっています。
これにより、一度に大量にメールを送信するメールマガジンやメールニュースにおいて、外部の配信システムから配信しながらFromアドレスは自社が管理するメールアドレスを表示することが可能です。

しかし、その仕様を逆手にとり、消費者にあたかも金融機関や一般の企業からのメールのようになりすましてメールを送り、IDやパスワード、クレジットカード番号などの大切な情報を詐取するフィッシング犯罪が後を絶ちません。

参考： 迷惑メールの量が急増中！ 2020/1Q 緊急レポート | IIJ Engineers Blog

もし、悪意ある第三者があなたの組織のメール送信者になりすまし、消費者が不幸になるようなメールを大量に配信したとしたら、消費者はあなたの組織のことをどう思うでしょうか。
また、世界中のインターネットサービスプロバイダー（以下、ISP）や通信事業社が「誰が迷惑メールを配信しているか」を情報収集しています。
本物のメールもなりすましメールと一緒に迷惑メールと認定されて、本物なのに見られなくなってしまいます。

当社としても、スパイラル利用者がスパイラルから配信したメールは受信者に届くようにしたい、スパイラル利用者の送信ドメインの評価を下げないようにしたいと考えます。

本物かどうかは送信ドメイン認証で見分ける

なりすましメールが増える中、ウェブメールやISPが提供するメールサービスにおいて、2006年頃からなりすましメールを判別する送信ドメイン認証技術の普及が進んでいます。

この送信ドメイン認証技術はメールの送信者が自身の送信情報をインターネット上に公開することで、受信側がメール受信時に送信者情報を認証し、正しい送信者かどうかを判別するものです。

なりすましメールは受信トレイに振り分けないように。そして、信頼される送信ドメインに

送信ドメイン認証技術はいくつかありますが、その中で世界的に導入が進んでいるのが「SPF」「DKIM」「DMARC」です。

「SPF」は、送信元のネットワーク情報を公開し認証する技術です。
「DKIM」は、送信ドメインを電子署名を用いて認証する技術です。

参考：送信ドメイン認証技術　～なりすましメールと判定されないために〜

「DMARC」は、送信ドメイン認証「SPF」と「DKIM（※）」を組み合わせて活用する技術
で、送信ドメインをなりすましたメールを受信側がどう扱うべきかのポリシーを送信ドメイン
管理者側が宣言することで、送信ドメイン認証に失敗するメールを排除することができます。
※DKIM署名は作成者署名であることが前提です。

受信者が求めるメールを送る企業や組織は、早い段階から送信ドメイン認証「DMARC」に対応したメールを送信することが求められています。

SPIRAL® の送信ドメイン認証技術への対応

スパイラル® では、特電法対応の機能提供やなりすましメール対策技術である送信ドメイン認証SPF、DKIM、DMARCにいちはやく対応し、受信プロバイダに迷惑メールと判定されにくいメール送信の環境提供に日々努めております。
スパイラル®の「DKIM」「DMARC」への対応については こちら もご覧ください。

本日のまとめ

それでは海外や日本において、DMARCはどのくらい普及しているのでしょうか。
次回は、メールの送受信側のDMARC導入状況をお届けします。