メールにつきまとう影。迷惑メール。メールは、コミュニケーションツールとして非常に有効なだけに迷惑メールという厄介な問題がつきまといます。
SPF/DKIMの普及が迷惑メール対策に効果、Googleが調査結果を公表 -INTERNET Watch
迷惑メールは放置されているわけではなく、様々な形でそれを防止する仕組みが進められています。そして、迷惑メール防止技術であるSPF/DKIMが一定の効果を上げているようです。喜ばしい限りですね。
マーケティングに従事している方であれば、普段の個人的なコミュニケーションでのメールとは別にニュースレターとして大量のメール配信をされている方が多いでしょう。つまり、マーケッターは大量のメールと非常に密接な関係にあると言えます。こう考えると、マーケッターは知識として迷惑メール周りの情報は理解しておいた方がよいのではないでしょうか。自分の中での整理も兼ねて迷惑メール対策のためのSPFとDKIMの情報をまとめてみます。
そもそもメールの仕組みおさらい
SPF/DKIMの前にメールの仕組みを簡単におさらいしてみたいと思います。メールで重要なFromですが、このFromにはエンベロープのFromとヘッダのFromという2種類が存在します。
メールサービス等を使ってニュースレターを配信する時は、Fromを自分で指定する事でしょう。ここで入力しているFromはヘッダのFromです。また、受信する時にメールソフトで見えているのもヘッダのFromです。
では、エンベロープのFromは何に使っているのでしょうか?これは、メールのやりとりをするメールサーバーが使っています。メールがエラーになった時はバウンスメールが戻ってくると思いますが、これはエンベロープのFromに配信されます。
ざっくり、ここで大事なのは受信者がメールソフトで見えるFromは自由に書き換える事ができる。という事ですね。
迷惑メール
このFromを自由に書き換える事ができるという事は、簡単になりすましができるという事です。存在しないアドレスでもいいし、他人のアドレスでもいい。つまり簡単になりすまして迷惑メールを作る事ができるという事です。
これを防止する仕組みがSPFとDKIMです。
SPF
SPFはメールを送っている元のサーバーに本当にドメインあっている?というのを問い合わせる仕組みですね。
- メールを受信
- FromのドメインのDNSサーバーにメールをおくるサーバーのIPアドレスを確認
- 実際にメールが送られてきたサーバーのIPアドレスと照合
という感じですね。もし、なりすましている場合は2と3が照合できなくなるので、なりすましを防止できるという寸法です。
弱点としては、メールサーバーを踏み台にされると詰むという事でしょうか。
- ASCII.jp:メール送信元のなりすましを「SPF」で防ぐ|週刊セキュリティレポート
- IPA 独立行政法人 情報処理推進機構:なりすましメール撲滅に向けたSPF(Sender Policy Framework)導入の手引き
- www.ietf.org/rfc/rfc4408.txt
DKIM
DKIMはDomain Keys Identified Mailの略です。フル名称を見ればなんとなく想像がつきますが、電子署名方式を使ったなりすまし防止技術です。DKIMを使うとメールを送る時に電子署名を付けておくり、受信側はその電子署名が正しいのかをDNSサーバーに問い合わせるという仕組みです。SPFと違いメール単位というのが利点ですね。
- ASCII.jp:SPFに続くメールなりすまし防止技術「DKIM」とは?|週刊セキュリティレポート
- 大企業・中堅企業の情報システムのセキュリティ対策~脅威と対策~
- FAQ | dkim.jp
- Analysis of Threats Motivating DomainKeys Identified Mail (DKIM)
難しいですね......
実際に、SPFやDKIMに対応するのかを決めるのはマーケッターではなく、情報システム部門やインフラ担当部門でしょう。ただ、日々係る技術であるだけに知識として理解しおくとともに、もし自社でこのような仕組みを導入する場合は、こころよく協力したいものですね。