電子メールのセキュリティには、一見しただけではわからないことがたくさんあります。電子メールが、個人情報や機密情報を狙うフィッシングの最も被害の大きい分野の一つであることはよく知られています。
ハッカーは、本物そっくりのメッセージを作るのが非常にうまくなっており、多くの人を騙してコールトゥアクションをクリックさせ、なりすまし犯が求める情報(ログイン情報や金融機関へのアクセス情報など)を提供させています。
メール認証とは何か?
メール認証 is the system designed to protect your reputation by checking when you send an email campaign that you’re who you say you are. The four concepts are simple enough, yet setting each of the methods can be tricky. However, the protection offered when combined is as good as you can put in place under our current systems.
どのような方法が考えられますか?
現在の代表的なメール認証方法は以下の4つです。
- SPF – センダー・ポリシー・フレームワーク
この規格では、各メールが信頼できるIPアドレスから送られてくることを確認するための独自のチェックを行います。 - DKIM – DomainKeys Identified Mail(ドメインキーズ アイデンティファイド メール
もう一つのIDチェックですが、今回はデジタル署名として暗号鍵を使用します。 - DMARC – Domain Message Authentication Reporting and Conformance(ドメインメッセージ認証の報告と適合性
DMARCは、メールが配信される前にSPFとDKIMの両方を満たしていることを確認します。 - BIMI – メッセージを識別するためのブランド指標
BIMIは、送信者の信頼性に焦点を当てた最終チェックを行い、受信者の受信箱に送信者のブランドイメージを表示します(現在サポートされている場合)。
それぞれについてもう少し深く見ていきたいと思いますが、まずはなぜ重要なのか、その仕組みを少しだけ説明します。
メール認証の仕組みは?
それぞれの認証方法(SPF DKIM DMARC BIMI)は、メールドメインを使用してメールにセキュリティの層を適用し、あなたが主張する人物であることを確認します。
- 送信者は、自分のドメインがどのように認証されるかのポリシー/ルールを定義します。
- そして、そのルールを実行するために、ドメインのDNSやメールサーバーを設定します。
- 受信サーバーは、受信したメールを、ドメインのDNSに固定されたルールと照合して確認します。
- 認証された場合、受信者サーバーはメールを安全に処理します。認証に失敗した場合、メッセージはブロックされたり、隔離されたり、認証ルールに沿って管理されます。
どのようなメリットがありますか?
このように、メール認証を設定していないと、メールが拒否されたり、スパム率が上がったり、配信率が下がったりするリスクがあります。
苦労して考え、美しくデザインされ、作成されたメッセージが、本来の目的である受信箱に届く可能性ははるかに低くなります。
さらに悪いことに、メールの認証方法が確立されていないと、あなたのブランドははるかに簡単に偽装されてしまい、あなたやあなたの顧客はメール攻撃、ハッキング、フィッシングの危険にさらされてしまいます。
メール認証の設定
各認証方法を管理するためにドメインを設定するには、DNS設定へのアクセス権が必要です( ドメイン名 システム)を、ドメイン登録サービスを通じて利用することができます。
DNS設定にアクセスしたら、ドメインに様々なTXTレコードやCNAMEレコードを追加します。
ドメイン設定の値を確認するには、メールホストに確認する必要があります。ホストはSPFレコードの設定を提供し、ホスティングエリア内でDKIMセレクターを生成し、DMARCポリシーの実装方法を教えてくれるでしょうが、ホストによって設定方法が異なる場合があります。
あなたは、あなたのブランドへのパスを含むBIMIレコードを含むように、別のTXTレコードを追加します。 イメージファイル .
SPF – センダー・ポリシー・フレームワーク
SPFは、メール開発の初期に作られた標準的な認証です。初期のメールシステムには適していましたが、現代のメール手段にはいくつかの問題があります。そのため、4つの方法を駆使して完全にカバーする必要があります。
SPFレコードは、ドメインDNS内にプレーンテキストで保存されます。 ドメインからの送信を許可されたIPアドレス .
受信者のメールサーバーがSPFレコードを取得するためにDNSルックアップを実行すると、メッセージのリターンパスにその値が使用されます。
SPF認証の問題点
シンタックス – テキストレコードであるにも関わらず の構文は、DNSレコードを入力するときに厄介になることがあります。 .もしこれらが正確でなければ、メッセージと送信者が本物であっても、認証は失敗します。
承認されたIPアドレスの特定 – クラウドプラットフォームなどの共有システムでは、動的に割り当てられたIPアドレスで複数のサービスをホストすることができます。IPを決定して承認することができますが、SPFレコードを使用することで、誰でも同じ共有IPを使用することができます。
SPFはなりすましが可能 – SPFは、受信者がはっきりと見ることができる’from’フィールドではなく、隠れた戻り経路フィールドを認証に使用します。ハッカーがフィッシングで情報を得ようとする場合、Fromフィールドに正当なドメインと電子メールアドレスを表示し、return-pathに自分の電子メールを指定し、独自の認証システムを使ってサーバーチェックを通過させることができます。
SPFがメール転送に対応していない – 識別するドメインが元のドメインではなく転送サーバのドメインであるように見えるため、受信者サーバは転送されたメッセージの検証に失敗します。
このように、かつては受け入れられていた方法が、現在では大きな欠陥を抱えていることがわかります。この方法は、総合的なセキュリティを向上させるための基礎となるものです。しかし、それだけでは今の技術には対応できません。
DKIM – DomainKeys Identified Mail(ドメインキーズ アイデンティファイド メール
DKIMは、公開鍵/秘密鍵の暗号化を使用して電子メールメッセージに署名します。これにより、メールがドメインから送信されたものであること、およびメールが送信中に変更されていないことが検証されます。
これは、配信中にメッセージが変更されていないことを保証するため、より安全な認証方法です。また、DKIM認証はメールの転送時にも有効です。
ドメイン所有者は、公開鍵と秘密鍵のペアで暗号鍵を作成します。公開鍵は、ドメインのDNSにTXTレコードとして配置されます。電子メールが送信されるとき、「ハッシュ」が公開鍵と秘密鍵をもとに生成されます。 メッセージの内容 .このハッシュは、ドメインの秘密鍵で暗号化され、メールのヘッダーに添付されます。
受信者のメールサーバーは、DNSに格納されている公開鍵を使って暗号化された情報を読み取り、すべてが一致すれば認証が成立します。
DKIMセレクター
各ドメインは、いくつかのセレクタを利用することができます。これらの値は、サブドメイン、ユーザー、ロケーション、サービスなどの固有のプロパティを識別するために使用されます。それぞれのセレクタは、独自の公開鍵を使用して動作し、すべての状況に対応する単一の共有鍵を放棄します。
DKIM認証の問題
署名の不一致 – 有効なDKIM署名は、「from」フィールドに表示されているものとは全く異なるドメインを使用することができます。そのため、他のメールドメインからフィッシングを行うことは簡単です。 プロセス .
鍵の安全性 – 他のユーザーのドメインを使ってメッセージに署名したハッカーは、そのドメインの秘密鍵を使って自分のメールを完璧に検証することができます。
鍵の導入と管理 – 長くて安全性の高い鍵は、ドメインDNSに適用する際に問題となります。このような長い文字列のデータは、コピー&ペーストしても、簡単に誤適用されてしまいます。
DKIMを最大限に活用するには、DMARCと組み合わせる必要があり、「from」フィールドで使用されるドメインが重要になる。このように、各システムが前の方式に依存して、完全で効果的な認証システムを構築していることがおわかりいただけると思います。
DMARC – Domain Message Authentication Reporting and Conformance(ドメインメッセージ認証の報告と適合性
すでに述べたように、DMARCはfromフィールドに設定されたドメインの使用を強制し 防ぐ ハッカーや攻撃者が別のドメインを使用して安全性チェックを回避することができます。
また、送信者が認証結果をどうするかを決めることができる報告メカニズムも含まれています。DMARCレコードは、受信者サーバーがレポートを送信する場所と方法を制御する。
事実上、DMARCはSPFとDKIMの間のギャップを埋め、メールの配信能力を向上させます。スパマーは保護されたドメインを悪用することができないため、ドメインの評価が高まり、配信率が向上します。
DMARCエンフォースメント
DMARCレコードは、認証に失敗したメールをどうするかを指示するものです。このポリシーには、「何もしない」、「隔離する」、「拒否する」という3つの結果があります。DMARCレポートは、そのような失敗したメッセージがどこから来たのかをドメイン所有者に知らせ、違反についての重要な情報を提供し、さらに保護措置を取るために何ができるかを示します。
BIMI – メッセージを識別するためのブランド指標
BIMIのメール認証を導入することで、配信によるエンゲージメントが10%程度向上すると期待されていますが、これは決して軽視できる数字ではありません。
この認証方法はまだ初期段階にあり、多くのメールプロバイダーが導入を検討していますが、最終的に私たちのサーバーに導入されたときに、ユーザーが準備を整えられるようにするためのいくつかのステップがあります。
ひとつ確かなことは、GoogleがG SuiteにBIMIの統合機能を搭載していることから、他の国々が追いつくのは時間の問題であるということです。
BIMIの準備をするには?
BIMI電子メール認証を有効にするには、まずSPF、DKIM、DMARCで電子メールを認証し、整合性を確保する必要があります(ドメインが全体的に同じであること)。DMARCポリシーは、検疫または拒否のいずれかで実施され、ドメインのDNSには正しいBIMIレコードがなければなりません。
また、受信者の受信箱に表示される認証結果のリンクとして、適切なロゴファイルをホストする必要があります。ロゴは正しいSVG形式で、場合によってはファイルを認証するためのVMC(Verified Mark Certificate)が必要となります。
メールキャンペーンの完全な認証
これらの方法は、それぞれ単独では、生活をシンプルにするためのワンストップソリューションにはならないことが分かっています。しかし、それぞれのシステムをひとつにまとめるためのちょっとした工夫があれば、より安全に メールキャンペーンやメッセージは それがなければ、この先もずっと。
その結果、お客様のサービス、お客様を守ることができるのであれば、時間と労力をかける価値があります。 加入者 を実現し、マーケティングへの接続性とリターンを高めます。