送信元チェックの仕組み

送信元チェックは、メールが正規の送信元から発信されているかどうかを検証する機能です。

このトピックでは、不正メール対策として、Sophos Email に搭載されているさまざまな送信元チェック機能について説明します。

受信メールの処理に焦点をあてているため、ここでは送信元チェックの仕組みについては簡単な説明にとどめ、DNS レコード (DMARC、DKIM、SPF) の設定など詳細な説明は省いています。

SPF

SPF (Sender Policy Framework) は、受信するメールが送信ドメインの管理者が許可した IP アドレスまたはホストから送信されたものかどうかを検証する技術です。

送信元は、そのドメインを送信元としてメールを送信してもよいホスト、IP アドレス、サブネットを指定した SPF レコードを作成します。

Sophos Email はメールを受信すると、メールの送信元サーバーのアドレスを参照し、SPF レコードで許可されている送信元と比較します。この両方が一致しない場合、SPF 認証に失敗します。

DKIM

DKIM (DomainKeys Identified Mail) は、メールのドメイン名に関連するデジタル署名を検証することによりメール認証を行う技術です。

送信元は、メールのヘッダや本文など署名を作成する箇所を指定し、その箇所のハッシュを生成するようメールサーバーを構成します。生成されたハッシュはプライベートキーを用いて暗号化されます。また送信元は、署名の復号化に使用するパブリックキーを含む DKIM レコードも公開します。

Sophos Email は、DKIM 署名が追加されているメールを検出すると、DNS ルックアップを実行し、送信元ドメインと関連する DKIM レコードを検索します。パブリックキーを用いてデジタル署名をハッシュ値に復号化します。署名が追加されている元のメッセージの要素を取り出してハッシュ値を生成し、復号化したハッシュ値と比較します。この両方が一致しない場合、DKIM 認証に失敗します。

詳細は、DKIMを参照してください。

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) は、DKIM と SPF の両方を用いてメールの真偽を検証します。

送信元は、受信者に DMARC の実行と、DMARC 認証が失敗した場合の処理を指示する DMARC レコードを生成します。

メールを受信すると、Sophos Email で DNS チェックが実行され、メールの「From」(ヘッダ) アドレスで指定されているドメインの DMARC レコードが検索されます。DMARC レコードには、受信側 (ここでは Sophos Email) に DMARC を確認することと、DMARC の認証に失敗した場合にメールをどう扱うかが記述されています。DMARC の認証に失敗したメッセージに対する Sophos Email のデフォルトのオプションは、「送信元ポリシーに準拠」です。これは、DMARC レコードで定義されている内容に従ってメールを扱うことを意味します。「From」アドレスで指定されているドメインは、SPF レコードおよび DKIM レコード内の情報と照合され、ドメインが一致するかどうか検証されます。メッセージが DMARC のチェックを通過するには、SPF または DKIM の検証およびアラインメントのチェックを通過する必要があります。

  • SPF の場合、「MAIL FROM」(エンベロープ) のアドレスが、SPF レコードに記述されている IP アドレスまたはサブネットの 1つと一致する必要があります。その後、DMARC により、「MAIL FROM」アドレスと、「From」アドレスの照合が行われ、両方が一致するかどうかが確認されます。
  • DKIM の場合、署名の検証のほか、「From」アドレスで指定されているドメインと、DNS レコードで指定されている署名の作成に使用されたドメインが一致することが必要となります。

詳細は、DMARCを参照してください。

ヘッダーアノマリ

ヘッダーアノマリのチェックにより、自社のドメインから送信しているかのように装うメールを検出することができます。

メールの「From」ヘッダを、受信側のドメインおよびエンベロープの「MAIL FROM」アドレスと比較することにより、自社のドメインから送信されているかのように見えるものの、実際は外部のドメインから送信されているメールを検出します。

  • 「From」アドレスのドメインが、受信者ドメインの顧客と同じ顧客に所属する場合、メールはなりすましメールと判断されます。
  • ヘッダの「From」アドレスが、エンベロープの「MAIL FROM」アドレスと異なる場合、メールはなりすましメールと判断されます。
ヘッダーアノマリのチェックが開始されるためには、ヘッダが、上の条件の両方を満たす必要があります。