メール商人

DKIM（DomainKeys Identified Mail）について

2024-07-01 [記事URL]

メール認証技術の一つであるDKIM（DomainKeys Identified Mail）について説明します。

DKIMは、メールの送信元のドメインを確認し、メールの内容が改ざんされていないことを証明するための認証技術です。（メール本文改ざん防止認証）DKIMを使用することで、受信者はメールが正当な送信元からのものであり、途中で改ざんされていないことを確認できます。

DKIMの基本的な仕組み

1.メール作成:

・メールが送信されると、メールの本文やヘッダーからハッシュ値（固定長の文字列）が生成されます。
・送信者のメールサーバーは、このハッシュ値を送信者の秘密鍵で署名します。この署名がDKIM署名です。

2.DNSに公開鍵を登録:

・送信者のドメイン（例：example.com）のDNS（（Domain Name System））には、公開鍵が登録されています。
・受信者のメールサーバーは、この公開鍵を使って署名を検証します。

3.メール送信:

・署名付きのメールが送信されます。このメールには、DKIM署名が含まれています。

4.メール受信：

・受信者のメールサーバーは、送信者のドメインのDNSから公開鍵を取得します。
・この公開鍵を使って、DKIM署名を検証し、メールの改ざんがないことを確認します。

+————-+
| 送信者 |
| example.com |
+————-+
|
| 1. メール作成
|
+————-+
| メールサーバー|
+————-+
|
| 2. ハッシュ値生成と署名
| 3. DNSに公開鍵を登録
|
+————-+
| DNS |
| (公開鍵) |
+————-+
|
| 4. 署名付きメール送信
|
+————-+
| 受信者 |
| receiver.com|
+————-+
|
| 5. 署名検証
|
+————-+
| メールサーバー|
+————-+
|
| 6. 受信者の確認
|
+————-+
| 受信者 |
| receiver.com|
+————-+

DKIMの利点

メールの改ざん防止:

DKIMにより、送信後のメールの内容が改ざんされていないことを確認できます。これにより、途中で内容が変更されるリスクを減少させます。

送信元の信頼性向上:

DKIM署名を使用することで、受信者はメールが正当な送信元から送信されたものであると信頼できます。これにより、スパムやフィッシングメールのリスクが軽減されます。

メールの配信率向上:

DKIM署名付きのメールは、受信者のメールサーバーによって信頼性が高いと判断されやすくなります。これにより、メールが迷惑メールフォルダに振り分けられるリスクが低くなり、受信箱に届きやすくなります。

具体的な例

秘密鍵と公開鍵の生成:

ドメイン所有者は、秘密鍵と公開鍵のペアを生成します。秘密鍵はメールサーバーに保存され、公開鍵はDNSに登録されます。

メール送信時の署名:

メールを送信する際、メールサーバーは秘密鍵を使用してメールのヘッダーや本文の一部に基づいてデジタル署名を生成し、メールヘッダーに追加します。

DNSに公開鍵を登録:

ドメインのDNS設定に公開鍵を追加します。これは、TXTレコードとして登録されます。

メール受信時の検証:

受信者のメールサーバーは、メールのヘッダーに含まれるDKIM署名を確認し、DNSから公開鍵を取得して署名の検証を行います。署名が有効であれば、メールは信頼できるものと判断されます。

DKIM設定の確認方法

DKIMの確認を行う場合はGmail宛にメールを送信し、Gmailで受信したメールを開き、メニューから「メッセージのソースを表示」をクリックし、DKIM欄が「PASS」となっているかをご確認ください。

まとめ

DKIMは、メールの送信元ドメインの信頼性を確認し、メールの内容が改ざんされていないことを証明するための重要な認証技術です。正しく設定することで、メールの信頼性が向上し、スパムやフィッシングのリスクを軽減し、メールの受信率を向上させることができます。

Gmailセキュリティ対策の準備はできましたか？

2024-06-25 [記事URL]

Gmail のセキュリティ強化に関する続報ご案内いたします。

以前もお話ししたように、今年に入り、Gmail では段階的なセキュリティ強化を実施しております。

今年の2月には、送信者に義務付ける新しい要件が適用され、今年の4月からは、新しい要件を満たしていない送信者に対する規制が本格的に開始されました。

さらに、6月以降にもセキュリティ強化の実施されております。

本セキュリティ強化の影響を受けた事例として、送信IPアドレスの逆引き設定に不備のあった環境でGmail から規制されるようになり、大幅な配信遅延が発生した事例も確認されております。

現在、正常に配信できていても、6月以降のセキュリティ強化のタイミングで規制をかけられるようになる可能性もございますので、Gmail の新しい送信者ガイドライン要件を満たしていない送信者は、急ぎご対応を進めるか、専門家にアドバイスを求めるようにしてください。

Gmail の送信者ガイドライン要件

Gmail の送信者ガイドライン要件を満たすための対策については、以前、ご紹介をしております。

　⇒　Gmail のセキュリティ強化について

Gmail のセキュリティ強化スケジュール詳細

１回目の規制強化： 2024年2月

送信者ガイドラインに掲載されている要件のうち、以下要件の適用が開始されました。

・SPF認証とDKIM認証

・Gmail From:ヘッダーのなりすまし

（『Gmail From: ヘッダーのなりすまし』とは、送信者が From: ヘッダーに @gmail アドレスを指定してメッセージを送信したが、そのメッセージが Gmail サーバーから送信されたものでない場合を指します。）

・From: ヘッダーの適合

・有効な正引きおよび逆引き DNS レコード

・RFC 5322 に合致する形式のメッセージ

(RFC5322はInternet Message Formatとなっており、電子メールの形式を定義しています。)

・TLS を使用して送信されるメッセージ

※要件を満たしていない場合、要件を満たしていない『一部のメール』で一時的なエラーが発生するようになります。

２回目の規制強化： 2024年4月

2024年2月に適用された送信者ガイドライン要件を満たしていない送信者への規制が本格的に開始されました。受信拒否は段階的に行われ、影響が及ぶのは非準拠のトラフィックのみです。

３回目の規制強化： 2024年6月 以降

さらに以下要件の適用が開始される予定です。

・DMARC認証の設定

・ワンクリックでの登録解除

・ユーザーから報告された迷惑メール率を 0.3% に抑える

エラーコードの例

エラーコード	説明
4.7.23	ip-address: このメールの送信元 IP アドレスに PTR レコードがないか、PTR レコードの転送 DNS エントリが送信元 IP アドレスと一致しません。迷惑メールからユーザーを保護するため、お客様のメールは一時的にレート制限されています。
4.7.27	このメッセージは SPF 認証に合格しなかったため、メールはレート制限されました。Gmail では、すべての一括メール送信者は SPF でメールを認証する必要があります。認証結果: SPF domain-name、IP アドレス: ip-address = 不合格。
4.7.29	このメッセージは TLS 接続経由で送信されたものではないため、メールに対してレート制限が設定されました。Gmail では、すべての一括メール送信者は SMTP 接続に TLS/SSL を使用する必要があります。
4.7.30	このメッセージは DKIM 認証に合格しなかったため、メールはレート制限されました。Gmail では、すべての一括メール送信者は DKIM でメールを認証する必要があります。認証結果: DKIM = 不合格。
4.7.31	送信元ドメインに DMARC レコードがないか、DMARC レコードに DMARC ポリシーが指定されていないため、メールはレート制限されました。Gmail では、すべての一括メール送信者は送信ドメインに DMARC レコードを追加する必要があります。
4.7.32	このメッセージの From: ヘッダー（RFC5322）が、認証済みの SPF または DKIM 組織ドメインと整合していないため、メールはレート制限されました。

SPF（Sender Policy Framework）レコードの設定方法

2024-06-10 [記事URL]

SPF（Sender Policy Framework）は、メールの送信元が正当であることを確認するための認証技術です。（送信元ドメイン認証）これにより、スパムやフィッシングメールの防止に役立ちます。以下に、SPFの基本的な仕組みとその利点についてわかりやすく説明します。

SPFの基本的な仕組み

DNSレコードの設定:

ドメイン所有者は、DNS（Domain Name System）にSPFレコードを追加します。このSPFレコードには、そのドメインからメールを送信することが許可されているIPアドレスやメールサーバーの情報が含まれています。

メール送信時のチェック:

メールが送信されると、受信側のメールサーバーは送信元ドメインのDNSレコードを確認します。具体的には、SPFレコードを参照し、そのメールが許可されたIPアドレスまたはメールサーバーから送信されたものであるかどうかを確認します。

認証結果に基づく処理:

受信側のメールサーバーは、SPF認証の結果に基づいて、メールを受信箱に配信するか、迷惑メールフォルダに振り分けるか、拒否するかを決定します。SPF認証に成功したメールは信頼性が高いと判断され、受信箱に届きやすくなります。

SPFの利点

スパムやフィッシングメールの防止:

SPFは、なりすましメール（偽の送信元を装ったメール）が受信者に届くのを防ぐための効果的な手段です。送信元が正当であることを確認することで、スパムやフィッシングメールのリスクを軽減します。

メールの信頼性向上:

SPFを適切に設定することで、受信者のメールサーバーは送信元が信頼できるものであると認識しやすくなります。これにより、メールの受信率が向上し、迷惑メールフォルダに振り分けられる可能性が低くなります。

ブランド保護:

正当な送信元からのメールであることを証明することで、ブランドの信頼性を保護し、顧客からの信頼を維持します。

具体的な例

例1) 自社のドメインが「yourcompany.com」で、自分が使用しているメールサーバーのIPアドレスが「192.168.1.1」とします。この場合、DNSに以下のようなSPFレコードを追加します。

v=spf1 +ip4:192.168.1.1 ~all
v=spf1 +ip4:192.168.1.1 +ip4:168.168.1.2 ~all

例2)自社のドメインが「yourcompany.com」で、自分が使用しているメールサーバーのサーバー名が「mail.example.com」とします。この場合、DNSに以下のようなSPFレコードを追加します。

v=spf1 a:mail.example.com ~all
v=spf1 a:mail.example.com a:mail2.example.com ~all

補足

プロバイダー（メール受信側）が実施している迷惑メール対策（なりすましメール対策）ではDNSの逆引き検索を行い、【エンベロープFromメールアドレスドメイン】及び【Fromメールアドレスドメイン】のSPFレコードをチェックしています。

SPFレコードが正常に登録されていない場合、「なりすましメール」と判定され受信拒否の対象となります。配信に使用している【エンベロープFromメールアドレスドメイン】及び【Fromメールアドレスドメイン】には、必ずSPFレコードの登録を行っていただく必要があります。

※エンベロープFromのメールアドレスは、メールヘッダの「Return-Path」に記載されているため、メーラーでも確認可能です。

▼以下サイトにて、自分のSPFレコードが正しく登録されているか確認できます。
https://mxtoolbox.com/spf.aspx

なりすましメールとは？

2024-06-10 [記事URL]

なりすましメールとは、一般的に送信者が本物の誰かを装って送られてくる偽のメールのことを指します。

なりすましメールを技術的（システム的）観点から説明すると、メールのヘッダー情報（送信元メールアドレス）に記載されている送信元のドメインと、実際にメールを送信したメールサーバーのドメインが異なっている状態でメールを送信することを指します。

なりすましメールと仕組みと、対策について説明します。

なりすましメールの技術的な仕組み

Fromフィールドの偽装:

攻撃者は、メールヘッダーの送信元メールアドレス（ヘッダーFrom）に偽のメールアドレスを設定します。このアドレスは、誰もが知っている信頼されている有名なドメインや知人のメールアドレスを装うことが多いです。

送信サーバーの違い:

メールは実際には攻撃者が制御するサーバーから送信されます。このサーバーのドメインは、送信元メールアドレス（ヘッダーFrom）に記載されたドメインとは異なります。

受信者側の認証不足:

受信者のメールサーバーが適切な認証技術（SPF、DKIM、DMARCなど）を使用していない場合、なりすましメールが検出されずに受信者の受信箱に届くことがあります。

SPF、DKIM、DMARCによる防止

これらの認証技術は、なりすましメールを防止するために開発されました。

SPF（Sender Policy Framework）:

SPFは、ドメイン所有者が許可したメール送信サーバーのリストをDNSに公開する仕組みです。受信者のメールサーバーは、メールが許可されたサーバーから送信されたものであるかどうかを確認します。

DKIM（DomainKeys Identified Mail）:

DKIMは、メールのヘッダーと本文にデジタル署名を追加し、送信ドメインがそのメールを実際に送信したことを証明します。受信者のメールサーバーは、この署名を検証して、メールが改ざんされていないことを確認します。

DMARC（Domain-based Message Authentication, Reporting & Conformance）:

DMARCは、SPFとDKIMの結果に基づいてメールの処理方法を定義し、なりすましメールの防止に役立ちます。DMARCポリシーは、DNSに設定され、メールが認証に失敗した場合の処理方法（例: 拒否、隔離、受信）を指定します。

なりすましメールの見分け方

メールヘッダーの確認:

メールヘッダーの詳細を確認し、送信元メールアドレス（ヘッダーFrom）と実際の送信メールサーバーのドメインが一致しているかをチェックします。

SPF、DKIM、DMARCの利用:

自分のドメインにSPF、DKIM、DMARCを適切に設定し、受信するメールにもこれらの認証技術が適用されているかを確認します。(gmailのヘッダー情報で確認することができます。）

不審な内容に注意:

メールの内容に不審な点がないかを注意深く確認し、特に個人情報の入力や金銭の送金を要求するメールには慎重に対応します。

まとめ

技術的に言えば、なりすましメールは、メールの送信元メールアドレス（ヘッダーFrom）に記載されたドメインと実際の送信サーバーのドメインが一致しない場合に発生します。SPF、DKIM、DMARCといった認証技術を使用することで、このようななりすましを防ぐことができます。メルマガ配信をする際は、なりすましメール対策を施してたメール配信システムご利用下さい。

送信元メールアドレス（ヘッダーFrom）についてのお話

2024-06-07 [記事URL]

昨今のメール配信においては、プロバイダー側での迷惑メール対策が強化されてきております。

そこで、皆様がメルマガを発行する際に送信元メールアドレス【ヘッダーFrom（Header-From）】は何を使用しているでしょうか。

フリーメールサービス（例: Gmail、Yahoo、Outlookなど）は、広く利用されており、そのドメイン（@gmail.com、@yahoo.com、@outlook.com）で使用できるメールアドレスを使用していないでしょうか。

メール配信システムを利用してメール配信を利用すると大抵は、メール配信システム会社のメールサーバーを利用することが多いと思い生ます。

その場合、送信元のメールアドレスで無料のメールアドレスを使用するとなりすましメールと判断され、迷惑メールフォルダに入る確率が高くなります。

メルマガ配信をされる方は、必ずドメインを取得（有料）して、メール配信をするようにしてください。

独自ドメインをお勧めする最大の理由は、SPF（Sender Policy Framework）、DKIM（DomainKeys Identified Mail）、DMARC（Domain-based Message Authentication, Reporting & Conformance）などのメール認証技術をカスタム設定をすることができるからです。

※ドメインを取得しないとSPFレコードなのどのメール認証技術は行えません。

メール認証技術をカスタム設定を行うことにより、送信したメールを迷惑メールフォルダに入ってしまうことを防ぎます。

※メルマガ配信者は、メールアドレスが存在しな等の配信不能のメール数は把握できますが、メールが迷惑メールフォルダに入ってしたかどうかを確認するこはできませんので、メールのクリック率等で、日々確認しながらメール配信を行ってください。