図●スパイラルの事前検証画面(出典:パイプドビッツ)
図●スパイラルの事前検証画面(出典:パイプドビッツ)
従来もDKIMの設定内容を事前にチェックできていたが、新たにDMARCを含めた設定内容をチェックできるようになった。
[画像のクリックで拡大表示]

 パイプドビッツは2015年1月21日、メール配信やアンケートといった名簿ベースの業務アプリケーション機能を提供するPaaS/SaaS基盤「スパイラル」において、メール配信時の迷惑メール対策を強化した。メール配信の前にチェックできるセキュリティ項目を増やし、メール送信者認証の設定に問題がないかどうかだけでなく、メール送信者認証を活用しやすくする仕組みであるDMARCの設定に問題がないかどうかを調べられるようにした()。

 スパイラルは、メール配信サービスにおける迷惑メール対策強化の第1弾として、メールの受信者がメールの送信者を認証できるようにする送信ドメイン認証技術である「DKIM」を、2010年12月に採用した。まず、スパイラルのドメインによる第三者署名によって配信元がスパイラルであることを受信者が認証できるようにした。さらに、作成者署名によってメール作成企業を認証できるように、DKIMで利用する署名鍵の管理機能を搭載した。

 前提となるDKIMとは、公開鍵/秘密鍵を使ってメールに電子署名を施すことによって、メール送信者を認証する仕組みである。メール送信者は、あらかじめ自社ドメインのDNSサーバーに、公開鍵を記載しておく。送信したメールのヘッダーに電子署名が含まれるので、メール受信者はこの電子署名と公開鍵を用いて、送信者のドメインから送られてきたものかどうかを認証する。一方で、DKIMと並ぶもう1つの送信ドメイン認証技術であるSPFは、DNSサーバーにメール送信サーバーのIPアドレスを記載しておき、IPアドレスで認証する。

DKIMやDMARCの設定をメール配信前に事前にチェック

 スパイラルのDKIM対応では、メール配信時に、DKIMの設定が正しいかどうかを事前にチェックできる画面を用意していた。例えば、「DNSサーバーにDKIMの公開鍵が記載されていない」といった設定の不備を調べ、不備があった場合はメールの配信を停止する。さらに、青色(問題ない)、黄色(注意すべき点がある)、赤色(不備がある)の3色のアイコンとメッセージを用いて、事前チェック内容を分かりやすく提示する。

 今回、迷惑メール対策強化の第2弾として、DKIMやSPFを活用しやすくするための仕組みであるDMARCに対しても、その設定内容を事前にチェックするようにした。事前チェック可能な項目が増えたことで、より適切な迷惑メール対策をメール送信者側でとれるようになった。例えば、スパイラルの第三者署名を使ってDKIM署名を施している場合は、事前チェック画面上で注意を促すようになった。この場合、受信サーバー側のDKIM検証の結果によらず、メールを配送することになる。

DMARCを使えば受信拒否などを送信側が制御可能

 今回の機能強化の前提となるDMARCとは、DMARCに対応しているメール受信サーバー側の振る舞いを、メール送信側でコントロールできるようにする仕組みである。メール送信者は、DNSサーバーのDMARCレコードに、メール受信サーバーがとるべき振る舞いを記載しておく。こうすると、メール受信サーバーがDKIMとSPFを使ってメール送信者の認証に失敗した場合、つまり成りすましの疑いが大きいメールを受信した場合、DMARCレコードに従って、何もせずに配送するのか、迷惑メールとして隔離するのか、受信を拒否するのか、を切り替えるようになる。一般的には、まずは何もしない設定で運用し、送信ドメイン認証の結果などを見ながら段階的にポリシーを厳しくしていく。

 DNSサーバーのDMARCレコードには、レポート報告先のメールアドレスも記載できる。メール受信サーバーは、送信ドメイン認証に失敗したメールの情報をレポート化して、メール送信者のメールアドレスに送付する。これを見ることで、メール送信サーバー側でのDKIMとSPFの設定に不備があってメール受信サーバー側で送信ドメイン認証に失敗してしまっているといった情報や、第三者による成りすましメールがあるといった情報などが分かる。