メール配信の記事
ARTICLE送信ドメイン認証「DMARC」でなりすましメールを受信トレイに入れさせない!vol.2
- メルマガ購読者から、メールが届かないと問い合わせを受けたことはありませんか?
- スパイラルのメール配信設定にて、黄色信号のまま配信していませんか?
- あなたの組織になりすましているメールがどのくらいあるか、知っていますか?
前回は、なりすましメールを受信トレイに入れさせない解決策「DMARC」の概要をお伝えしました。送信ドメイン認証を使って、なりすましメールを受信トレイに入れさせないためには、メールの送信側および受信側の両方が取り組む必要があります。
今回は、送信ドメイン認証「DMARC」の送信側および受信側の導入状況をお届けします。
前回の記事は「送信ドメイン認証「DMARC」でなりすましメールを受信トレイに入れさせない!vol.1」をご覧ください。
総務省のデータで見るDMARC
DMARCの導入を推進する目的で、総務省がJPドメインのDMARC設定状況を公表しています。この調査によると、2018年1月に調査開始してから、2020年6月までの間に、全JPドメイン数に対するDMARC設定数の割合が
0.53 % → 1.28 %
に上昇しています。
出典:総務省 電気通信消費者情報コーナー 迷惑メール対策ページ
上昇はしていますが、1.28%という数値を見ていかがでしょうか。
まだまだ導入が進んでいないと言えるかと思います。
スパイラル利用者はどうしてる?
当社では、スパイラルを利用されている組織の送信ドメイン認証「DKIMの作成者署名」および「DMARC」対応状況を調査いたしました。
※ 送信ドメイン認証「SPF」はスパイラル側で設定しており、ユーザ側の対応は不要のため、調査対象から除外。
調査期間:2020年4月 – 5月
調査対象:スパイラルのDKIM署名ドメイン管理に登録されているドメイン
※ 組織ドメイン「example.com」とサブドメイン「aaa.example.com」は別ドメインとして集計。
どのくらいの組織がDMARC認証に成功するメールを配信してる?
スパイラルのDKIM署名ドメイン管理に登録されたドメインおよびDKIM識別情報を元に、メールの送信元メールアドレスのドメイン(以下、送信ドメイン)のDNSに、DKIM署名の公開鍵が設置されているかどうかを調査しました。
公開鍵をDNSに設置しているドメインは、49.6%でした。
公開鍵をDNSに設置している場合、作成者によって署名された(作成者署名と言います)信頼性の高いメールとなり、DMARC認証が成功します。
※メールを受信するまでの間、何らかの原因でDKIM署名が壊れた場合など、DMARC認証に失敗する可能性はあります。
スパイラルのExpress2配信設定画面にて、配信する前に、信頼性の高いメールとなるかどうかを送信元認証の信号表示でお知らせします。
どのくらいの組織がDMARC対応をしてる?
次に、DKIM署名ドメイン管理に登録されている送信ドメインに対し、DMARCレコードが設定されているかどうかを調査いたしました。
DMARCレコードが設定されているドメインの割合は、9.2%でした。
上記の総務省調査に比べると、DMARC導入率は高いと言えるのではないでしょうか。
DMARC認証に失敗したメールの扱いはどうしてる?
DMARCレコードでは、送信ドメインを管理する側が、認証に失敗したメールの扱い「ポリシー」を宣言することができます。
図3でDMARC有(DMARCレコード設定済み)となったドメインのDMARCレコードについて、設定されているポリシーを調査いたしました。
受信メールの扱いポリシーは以下の3種類から選択できます。
- 何もしない(受信側はそのまま配信します)
- 隔離する(受信側は迷惑BOXに振り分けます)
- 拒否する(受信側は受信を拒否します)
65.9%が「何もしない」に設定されています。
DMARC導入直後は、いきなり受信拒否を開始するのではなく、なりすまされている状況の様子を見ることが多いため、「何もしない」に設定されていることが多いです。
22.0%が「隔離する」に設定されています。「隔離する」の場合、メール受信側によって、送信したメールは迷惑BOXに振り分けられることが多いです。
12.2%が「拒否する」に設定されています。この場合、メール受信者の受信BOXには届かないため、各ISPの対応状況など慎重に判断して「拒否する」を設定します。
業種別に見てみると?
DKIM署名ドメイン管理に登録されているドメインについて、ドメインを管理されている組織団体の業種を調査いたしました。
DKIM署名ドメイン管理に登録されているドメインを管理している組織を業種で見ると、サービス業と情報通信業が一番多い結果となりました。
次に多いのが金融保険業でした。
次に、DKIM署名ドメイン管理に登録されている送信ドメインについて、DMARCレコードを設定している組織の業種を調査いたしました。
DMARCを導入している組織の業種についても、情報通信業およびサービス業が一番多くなりました。次に多いのが製造業となっています。
メール受信側のDMARC対応状況は?
メールを受信する側のISP各社では、どのくらいDMARCへの対応が進んでいるのでしょうか。
日本データ通信協会 迷惑メール相談センターが、各社の送信ドメイン認証実施状況をまとめています。(2020年6月30日時点)
参照:送信ドメイン認証実施状況 | 送信ドメイン認証について | 迷惑メール対策技術 | 迷惑メール対策 | 迷惑メール相談センター
- 対応している主なプロバイダは、 IIJmio セーフティメール、mineo、au one net、ODNなどです。
- 対応している携帯会社は、NTTドコモ、KDDI、ソフトバンクです。
- 対応している主なフリーメールは、Outlook.com、Yahoo!メールです。
メール送信側がDMARCを設定していて、かつメールの送信先が上記事業者のサービスだった場合、送信ドメイン認証でNGとなったメールは、メール送信側の要望通りに振り分けられ、本物のメールのみが受信者に届くことになります。
また、上記サイトには掲載されていませんが、Gmailにおいて、DMARCの認証結果が表示されることを確認しています。
国レベルで取り組むDMARC
最後に、世界的な導入が進んでいる送信ドメイン認証「DMARC」について、各国の取り組みを紹介します。
日本では、内閣サイバーセキュリティセンターが政府機関に対し、DMARCポリシーを設定することとしたガイドラインを作成しました。
参照:政府機関等の対策基準策定のためのガイドライン (平成 30 年度版) (PDF)
アメリカでは、国土安全保障省が連邦機関に対して、拘束力のある運用司令として、DMARCポリシーの設定を要求しました。
参照:Binding Operational Directive 18-01
「90日以内」、「1年以内」と期限を切って導入を進める重要な決定となっております。
オーストラリアでは、サイバーセキュリティーセンターが組織に対して、DMARCを実装することを呼びかけました。
参照:Malicious Email Mitigation Strategies | Cyber.gov.au
イギリスでは、英国内閣府の一部である政府デジタルサービスがドメイン「xxx.gov.uk」で動作するサービスに対して、2016年10月1日までにDMARCのポリシーを「受取拒否」に設定していない場合、外部の電子メールプロバイダーによって電子メールが拒否される可能性があることを発表しました。
参照:Updating our security guidelines for digital services – Technology in government
SPIRAL® の送信ドメイン認証技術への対応
スパイラル® では、特電法対応の機能提供やなりすましメール対策技術である送信ドメイン認証SPF、DKIM、DMARCにいちはやく対応し、受信プロバイダに迷惑メールと判定されにくいメール送信の環境提供に日々努めております。
スパイラル®の「DKIM」「DMARC」への対応については こちら もご覧ください。
本日のまとめ
日本国内およびスパイラル利用者内での導入は進んでいないが、メールの受信側と送信側の両方が取り組む必要がある。
では、いざDMARCを導入するとなった場合、作業や手続きが難しかったり大変なことはあるのでしょうか。
次回はDMARC導入の流れと運用についてお届けします。
