ページの先頭です

ページ内移動用のリンクです
  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.31
  6. 2.メッセージングテクノロジー

Internet Infrastructure Review(IIR)Vol.31
2016年6月13日発行RSS

目次

2.3 メールの技術動向

ここでは、迷惑メール対策にも有効な送信ドメイン認証技術、特にDMARC(※2)の普及状況や技術動向について報告します。

送信ドメイン認証技術は、これまでSPF(※3)とDKIM(※4)それぞれについて、技術詳細や普及の動向を述べてきましたが、今後は、それら2つの技術を基盤として利用するDMARCが主体になると考えています。

2.3.1 DMARCの概要

DMARCについては、既にIIR Vol.15から度々取り上げてきましたが、ここで改めてその特徴についてまとめておきます。DMARCも送信ドメイン認証技術の1つで、送信者情報から利用しているドメインが正しい送信者であるかを認証する技術です。主な特徴を以下に示します。

  • SPFまたはDKIMで認証したドメインとメールヘッダ上のFrom(RFC5322.From)の一致(あるいは同じ組織であること)が前提
  • 送信側(ドメインの管理側)が認証失敗時の受信側の振る舞いをポリシーとして表明可能
  • 送信側が、認証失敗時のレポート先を指定可能
  • これらの情報は、DNS上のTXT資源レコードで表明

つまりDMARCは、既に普及している、あるいは進みつつあるSPFとDKIMの認証結果を利用するもので、DMARC認証が「pass」したということは、メール受信者が参照可能なヘッダ上の送信者情報(RFC5322.From)とも一致していることを示す技術、ということになります。送信側では、認証が失敗した場合の情報をレポートとして受け取れることにより、メールが正しい経路で送信されているかを確認できます。これまで、SPFやDKIMで認証してきたドメインは、必ずしも最終的なメール受信者が確認しやすい送信者情報とは言えませんでした。DMARCで認証することにより、ある意味では、認証するドメインを統一することができ、受信者にも分かりやすい形になりました。

2.3.2 DMARCの普及状況

IIJのメールサービスでは、2014年よりDMARCに対応しており、受信するメールをDMARCで認証しています。ここでは、2016年1月から3月までの3ヵ月間で、DMARCでの認証結果の割合を図-4に示します。DMARC認証の前提となる、同期間でのSPFとDKIMの認証結果割合を図-5と図-6にそれぞれ示します。

まず、図-5のSPFの認証結果の割合ですが、今回SPFで認証できなかった「none」以外の割合、すなわち送信側でSPFを導入している割合は77.4%でした。前回調査結果を示したのは、2014年のIIR Vol.23で、このときから4.2%増加しました。送信側でのSPFの導入は、比較的容易であることから、これまでもSPFの導入率は高い傾向がありましたが、今回の調査でも少しずつですが伸びていることが分ります。

図-4 受信メールのDMARCでの認証結果割合

図-5 受信メールのSPFでの認証結果割合

図-6 受信メールのDKIMでの認証結果割合

図-6のDKIMの認証割合では、「none」以外の導入割合は20.1%でした。同様に前回からは8.5%伸びており、もともと送信側の導入にコストがかかるDKIMの導入率は低かったわけですが、それでもこちらも少しずつ導入割合が伸びていることが分かります。これらSPFあるいはDKIMを導入していることが、DMARC導入の前提となるのすが、図-4に示したとおり、DMARCでの認証ができなかった「none」以外の割合、すなわちDMARCの導入割合は、13.1%です。DMARCは、SPFあるいはDKIMを導入していれば、"_dmarc"サブドメインのTXT資源レコードにDMARCレコードを記述するだけで導入できますので、SPF及びDKIMより導入割合が低かったということは、まだDMARCに対する認知度が低いと考えられます。今後も、DMARCの利点及び導入方法について働きかけを行う必要があると考えます。

もう1つ、図-4のDMARCの認証割合で特徴的なのが、認証結果「fail」の割合が4.6%と高いことです。メールの転送時に認証が失敗しやすいSPFでは、予めそうした事象が想定される場合に「softfail」とやや弱めの失敗結果となるようにSPFレコードを宣言する傾向があります。そのため、SPFで「softfail」となる割合が13.4%と多いことは想定可能です。しかしながら、SPFでより強い認証の失敗結果である「hardfail」の2.4%、DKIMの「fail」の0.7%と比べると、DMARCの認証失敗だった4.6%はとても高い割合と言えます。この要因については、次節で分析します。

2.3.3 DMARC認証成功と失敗の要因

図-7 DMARCが「pass」の要因

DMARCでは、SPFあるいはDKIMのどちらかの認証が成功した場合に、メールの「From:」ヘッダ上のドメインがDMARCレコードを宣言していた場合に、DMARC認証が評価されます。つまりDMARCの認証結果が「pass」であった、ということは、そのドメイン(RFC5322.From)とSPFあるいはDKIMで認証したドメインが一致あるいは関連のあるドメインで、SPFあるいはDKIMの認証結果のどちらかが「pass」であった、ということになります。そこで、DMARC認証が「pass」であった場合の、その要因について分析してみました。結果を図-7に示します。

DMARCが「pass」のときに最も多いSPFとDKIMの認証結果のパターンは、両方とも「pass」だった場合で、その割合は69.8%でした。つまり、DMARCレコードを宣言していて、正しくDMARC認証が「pass」するドメインの多くは、SPFとDKIMを共に導入しているドメイン、ということが分かりました。SPFとDKIMのどちらか一方の認証が失敗している、あるいは導入していない場合で、そのもう一方が「pass」だったためにDMARCとしては「pass」だった場合は、SPFが「pass」だった割合の方が多く、20.0%でした。DKIMだけが「pass」だった割合はそのおよそ半分で10.2%でした。SPFの普及率の高さが、そのままDMARC認証の「pass」の結果に結びついた、と考えられます。

図-8 DMARCが「fail」の要因

今度は、DMARCが「fail」したときに最も多いSPFとDKIMの認証結果のパターンを図-8に示します。

DMARCが「fail」したときに、最も多いSPFとDKIMの認証結果のパターンは、SPFだけで認証し(DKIMは「none」)そのSPFの認証結果が「fail」だった場合です。逆に、DKIMだけの認証結果を利用した際、DKIMの認証結果が「fail」だったためにDMARCも「fail」となってしまった場合は、0.6%と非常に低い割合となりました。これもSPFとDKIMの普及率の違いと、DKIM認証の堅牢さを示した結果と考えられます。SPFとDKIMの両方が「fail」するパターンは、0.7%と低い数値でした。これらのことから、DMARCの認証失敗を防ぐためには、DKIMを導入することが有効である、ということが分かりました。

DMARC認証失敗要因の割合の中で、「DMARC」と示された10.6%は、SPFあるいはDKIMで認証したドメインとDMARCで認証するRFC5322.Fromのドメインが一致しないことにより、DMARCとして認証が「fail」してしまった割合です。これが、SPFやDKIMでの送信者情報を詐称してRFC5322.Fromだけを詐称元のドメインとしている場合であれば、正しく詐称が見破られた好例となります。しかし、もしこれが正規の正しいメールが「fail」しているとすれば、せっかくSPFあるいはDKIMを導入し、DMARCレコードを宣言しておきながら、認証するドメインが異なるために「fail」してしまう残念なケースと言えます。こうしたケースの中には、メール配送を他の事業者に委託しており、SPFあるいはDKIMの認証ドメインが、それら委託先のドメインで認証されることによるドメインの不一致が原因としてあるようです。私が受信したメールの中でも、大手銀行などから送られるメールマガジンなどが、このケースでDMARC認証が失敗しているものがありました。メールの送信者情報は、メールの送信元を示すものなので、SPFやDKIMで利用するドメインも、正しく送信者のドメインとして分かりやすいように利用すべきではないでしょうか。

図-8で示される「none」の割合の意味は、SPFとDKIMの両方の認証結果が「none」であるにも関わらず、DMARCとして認証結果が「fail」となったパターンです。これも、DMARCとして詐称が判断できたのであれば良いのですが、そうではないパターンもあるようです。詳しく調べると、DMARCの特徴である、RFC5322.Fromのドメインは、その上位ドメインも同じ組織のドメインとして扱うという「Organizational Domain」という仕組みも起因しているようです。つまり、送信しているメールがSPFとDKIMの両方に対応していないが、ヘッダ上のRFC5322.Fromドメインの上位ドメインがDMARCレコードを宣言していることで、DMARCとして認証しようとして、その結果「fail」となってしまう、ということです。ドメインの管理者としては、DMARCレコードを宣言する場合には、そのサブドメインも含めてSPFあるいはDKIMの設定もすることをお勧めします。

2.3.4 DMARCの関連技術動向

これまでIIRでは、メーリングリストやメール転送など、メールの再配送時に正しいメールであってもDMARCの認証が失敗してしまうケースがあることを紹介しました。DMARCの仕様を検討している組織でも、この問題は認識しており、今回この課題を補うための仕様の1つとして、ARC(AuthenticatedReceived Chain)(※5)が提案されました。この技術は、その名前のとおりメールの再配送時などに、既に認証した情報をつないでいくことで、認証の連鎖を実現しようとするものです。ARCの仕様がある程度明確になった段階で、またその仕組みについて紹介したいと考えています。

  1. (※2)Domain-based Message Authentication, Reporting, and Conformance(DMARC), RFC7489(https://rfc-editor.org/rfc/rfc7489.txtblank)。
  2. (※3)Sender Policy Framework(SPF)for Authorizing Use of Domains in Email, Version 1, RFC7208(https://www.rfc-editor.org/rfc/rfc7208.txtblank)。
  3. (※4)DomainKeys Identified Mail(DKIM)Signatures, STD76, RFC6376(https://www.rfc-editor.org/rfc/rfc6376.txtblank)。
  4. (※5)Authenticated Received Chain(ARC)、draft-andersen-arc-04(https://tools.ietf.org/id/draft-andersen-arc-04.txtblank)。
2. メッセージングテクノロジー

ページの終わりです

ページの先頭へ戻る