迷惑メール送受信防止対策について総務省のとりまとめ(平成27年4月)

平成27年4月21日付け、総務省のツイッターアカウント(@MIC_ICT)による上記ツイートのとおり、特定電子メール等による電子メールの送受信上の支障の防止に資する技術の研究開発及び電子メールに係る役務を提供する電気通信事業者によるその導入の状況という報道資料が公開されましたので、見てきました。

概要PDFはコチラ(総務省資料へのリンク)
本文PDFはコチラ(総務省資料へのリンク)

結論を言えば、SPF・DKIMに対する普及率について2014年6月時点のものを引用しており、情報の目新しさはありません。
官庁の報道資料らしい読みにくさはありますが、概要PDFの資料は一枚にまとまっていて良資料なのではないでしょうか。

貴社から送信されるメールは認証されていますか?

当社のドメインは、弊社代表進藤がコチラにも書いているとおり cast.works です。
が、実は castworks.co.jp という日本国内の企業向け(co.jp)ドメインも他者によるいたずら防止のため、所持しています。

これら二つのドメインはいずれも cast.works のサーバで処理されるようになっているため、同一のコンテンツが表示されています。

最近のレンタルサーバでも、ここまではできるようになってきたサーバが見受けられますが、これ以上となるとなかなか「レンタル」で要件を満たすサーバは借りられません。

さらにタイトルのとおり、認証されたメールを送信可能な「レンタル」サーバはまだ多くありません。

皆さんも日々数多くの迷惑メールを受けとっていると思いますが、この迷惑メールのFromアドレスをよく見てみると、どこかの企業やサイトになりすましたメールが多いことに気がつきます。
電子メールは仕様上、送信元であるFromアドレスを自由に設定し、送信できてしまう仕組みです。
このためフィッシングメールなど、迷惑メールのほとんどは Fromアドレスをなりすまして送信されています。

【送信ドメイン認証とは?】
とは、送信者のアドレスが正規なものであることを証明する技術です。正確に言うと、そのメールアドレスのドメインを見て、それが正規なサーバーから発信されているか否かを検証します。

送信ドメイン認証の技術は、大きく二種類に分けられます。
一つは送信元IPアドレスを根拠に、正規のサーバーから送られたかどうかを検証する技術。
もう一つは、送られたメールの中に電子署名を挿入し、その正当性を検証する技術。
前者には SPF という技術があり、後者には DKIM があります。

総務省が、これらの技術についての普及率を(2014年6月時点)公開していますが、実際には携帯キャリアの数字が大半であろうことから、一般に使用されるメールアドレスにはこれらの数字はあてはまりにくいのではないかと思います。

BtoC や 一部の信用が重要な BtoB の事業では、ますます『メールアドレス(ドメイン)』の正当性に対する重要性が増してきています。
メールを送信しても、顧客のメールソフトにおいて「スパムメール」または「迷惑メール」フォルダにメールが自動で送られ、顧客の目にとまらない…そのような事態をさけるためにも、御社がお持ちのドメインに『送信ドメイン認証』を導入できるサーバーを運用してみませんか?

興味がある方は、お気軽に お問い合わせフォーム からご相談ください。

【注記】ちなみに、弊社のメールアドレスは、info@cast.works でも info@castworks.co.jp でも同一のメールボックスに届くため、別々のメールアドレスを管理する必要はありません。また、両ドメインとも当然ながら SPF・DKIM を別々に設定しているため、どちらのドメインでメールを送信しても「failed」(不正なメール)として扱われることはありません。

WEBサーバのSSL設定

WEBサーバのSSL設定は、デフォルトのまま利用すると今の世の中の現状からするとかなり甘い設定になっています。
デフォルトのまま利用し続けると、セキュリティ上かなり心配です。

Google Chrome の SSL認証鍵マーク
Google Chrome の SSL認証鍵マーク

しかし、一方でガラケーへの対応が必須になっているサイトであったりする場合、むやみやたらとセキュリティを高く設定すると、古いガラケーがサイトに接続できなくなってしまいます。
また一般的なレンタルサーバではこのような設定項目は無く、ホスティング業者さんの設定に任せるしかありません。

利用者の環境とセキュリティの強度という相反する事柄に対応しなければならないため、このあたりの設定はバランスが非常に難しく、いつも悩ましいところです。

右の図は、WEBブラウザ Google Chrome の 当サイトにおける SSL認証時のセキュリティ表示です。

大抵のブラウザにおいて、SSL認証がかかっているページでは URL表示欄右側が緑色に表示されますが、この状態のとき、鍵マークをクリックしてみてください。
このような表示が現れます。

貴社のサイトに「◯◯◯への接続は古い暗号化技術により暗号化されています」等と表示されている場合は、WEBサーバの管理者へ連絡し TLSのバージョンと、CipherSuite の値について設定を見直してもらってください。

※ガラケー対応が必須、特定のバージョンの WEBブラウザへの対応が必要など場合を除いてどうしても対応できない場合もあります。