メールソフトの送信者名欄などに表示される「送信者アドレス」を信用してはいけない――。筆者が常日頃、記事で呼びかけている。メールの送信者アドレスは送信者が設定できるからだ。フィッシング詐欺メールやウイルスメールでは、送信者アドレスを詐称するのが常套手段である。

 だが、新しい迷惑メール対策技術「DMARC(ディーマーク)」(Domain-based Message Authentication, Reporting&Conformance)の登場により、その常識が変わろうとしている。DMARCが普及すれば、送信者アドレスが信頼できる情報になるのだ。

送信者アドレスはヘッダーの一部

 メールは、ヘッダーと本文、添付ファイルで構成される。

メールの実体であるテキストデータの構造
メールの実体であるテキストデータの構造
[画像のクリックで拡大表示]

 メールソフトなどに表示される送信者アドレスは、Fromヘッダー(図中の「From:yama<yama@example.jp>」の部分)と呼ばれる情報に含まれる。Fromヘッダーを含むほとんどのヘッダー情報は、メールの送信には使われない。受信側のメールソフトでの表示などに使われる情報で、送信者が自由設定できる。このため、フィッシング詐欺メールやウイルスメールでは詐称されることが多い。

 筆者は、表示される送信者アドレスを信用しないよう何度も書いてきた。だが、だまされる人は後を絶たないようだ。

 なりすましメールを防ぐ技術としては、送信ドメイン認証という技術が既に存在する。現在普及している送信ドメイン認証は、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)である。総務省の調査によれば、SPFは9割以上、DKIMは5割程度の企業・組織が対応しているという。