送信ドメイン認証のSPFとDKIMの普及が進んでいる。総務省の情報によれば、通信事業者や企業・団体の9割以上がSPFに対応しているという。
理由の一つは、送信側だけなら簡単に対応できるからだ。DNSサーバーにTXTレコードを追加するだけでよい。
「NTTドコモが対応を進めたことも、普及を後押しした」(メール関連の製品やサービスを手掛けるTwoFive 代表取締役社長の末政 延浩氏)。NTTドコモは2007年9月、携帯電話の迷惑メール対策の一環として、SPFによる検証機能を用意。ユーザーがなりすましメールを拒否する設定にした場合、SPFに対応していないドメインからのメールは届かなくなった。このため、企業やISP▼などはSPFに対応。2011年後半の時点で、SPF対応は9割を超えた。
DKIMについては、送信側の対応だけでもメールサーバーに手を入れる必要があるので、SPFよりはハードルが高い。それでも徐々に導入が進み、2013年には4割を超えた。
送信者名の詐称が常套手段
導入が進んでいるSPFとDKIMだが、なりすましメール対策の決定打にはなっていない。いくつか問題点があるからだ。
受信側での最も大きな問題は、メールのFromヘッダーに記載されている送信者アドレスの詐称を見破れないことだ。送信者アドレスはメールソフトなどで「送信者名」などとして表示されるので受信者の目に付く。しかも送信者が設定できる情報なので、「フィッシングメールなどでは、送信者アドレスを詐称するのが常套手段」(IIJの櫻庭氏)。
だが、SPFやDKIMは送信者アドレスを検証しない。送信者アドレスが詐称されていても、DNSサーバーのTXTレコードなどが正しければ、問題なしと判断する。
また、認証に失敗した場合、本当になりすましのメールなのか、TXTレコードの登録ミスといった技術的な問題が発生しているのか、受信側では判断に迷う。
正当なメールである可能性が少しでもあれば、認証に失敗したからといって、メールサーバーで該当メールを遮断するのは危険だ。このためSPFやDKIMの運用では、前出のAuthentication-Resultsヘッダーに検証結果を書き込むだけにしているケースが多い。つまり、怪しいメールであっても、ユーザーに届いてしまい、だまされる恐れがある。
きちんと届いているか不安
送信側での問題点としては、送信したメールが受信側でどのように取り扱われているのかわからない点が挙げられる。自社ではSPFやDKIMに対応しているつもりでも、登録ミスなどによって受信側で認証に失敗して遮断されているかもしれない。
もう一つの問題点が、自社をかたるなりすましメールがどの程度出回っているのかわからないことだ。「現状では、受信者からのクレームでしか、自社をかたる迷惑メールの流通状況がわからない」(IIJの櫻庭氏)。「企業名をかたられると、ブランドの毀損につながる。なりすましメールが増えると、自社からのメールを信用してもらえなくなる」(TwoFiveの末政氏)。
Internet Service Providerの略。
