あなたのメールアドレスは何点?【やってみた】

突然ですが、皆さんが事業でお使いのメールアドレス(ドメイン)は何点かご存知ですか?

そんなこと知らない」だったり「気にしたこともない」方が大半だと思います。

実は、皆さんがお使いのメールアドレス(ドメイン)はいろいろなところで『評価』され、大抵の場合『得点評価(スコアリング)』されています。

本日はその指標のひとつとして、「mail-tester」という迷惑メール度を判定してくれるサービスをご紹介します。

mail-testerサービスの概要
サイトに表示されるメールアドレスへ判定して欲しいメールアドレス/ドメインからメールを送信すると、様々な観点からチェックを行い、10点満点で評価をしてくれます。
また、評価項目毎に採点理由を表示してくれるため、改善ポイントがわかります。
送信したメールがどうして迷惑メールフォルダに入ってしまうのか判断の目安にすることができます。

主なチェック項目
○ SpamAssassinによる評価
○ メールのフォーマット
○ 各種認証設定の適用状況
 ・SPF
 ・Sender ID
 ・DKIM
 ・DMARC
○ 送信元IPアドレスの逆引き
○ 主なブラックリストへの登録状況

利用方法

1日に3回までならユーザ登録不要・無料で利用できます。
使い方もとても簡単です。

  1. サイトにアクセスして、テストメールを送信する宛先メールアドレスを確認します。
    mail-tester.com キャプチャ 1
  2. 上で確認したチェック用の宛先メールアドレスにテストしたいドメインのメールアドレスからメールを送信します。
  3. メールを送信後、しばらくしたら「THEN CHECK YOUR SCORE」ボタンをクリックします。
  4. 結果が表示されます。今回は某レンタルサーバーのデフォルトドメインのメールアドレスからメールを送信してみました。
    mail-tester.com キャプチャ 25点というなんとも怪しい雲行きの評価です…
    減点5点の内訳は次の評価項目でご確認ください。
  5. 「SCORE」が表示された下に、評価項目と項目ごとのマイナス点が表示されます。各項目の詳細な採点理由と対策が表示されます。
    mail-tester.com キャプチャ 3SpamAssassin(スパムフィルタ)に「スパム」である可能性として約2点減点されています。
    IPアドレスベースの送信ドメイン認証として、SPF/Sender IDが設定されていないため、それぞれ1点ずつ減点され、
    電子署名ベースの送信ドメイン認証として、DKIMが設定されていないため、1点減点され、送信ドメイン認証で計3点減点されています。


比較用に弊社”cast.works”ドメインの”info@cast.works”メールアドレスのテスト結果もご確認ください。
mail-tester.com キャプチャ 4


【総務省資料】DMRAC導入に関する法的な留意点

送信ドメイン認証や25番ポートブロックといった迷惑メール対策技術は、効果的な迷惑メール対策として実用化が図られてきたところです。
 他方、こういった技術の中には、その利用が電気通信事業法に規定されている通信の秘密の保護及び役務提供における差別的取扱いの禁止に抵触するおそれがあるものもあります。
 そこで、総務省ではこうした迷惑メール対策技術に関して、法的な整理を行い、迷惑メール対策技術の導入を促進しているところです。

総務省資料 平成29年7月6日

送信ドメイン認証技術等の導入に関する法的解釈について

概要
送信ドメイン認証及び25番ポートブロックに関する法的留意点の概要 [PDF資料]

法的整理
受信側における送信ドメイン認証技術導入に関する法的な留意点 [PDF資料]
DMRAC導入に関する法的な留意点 [PDF資料]

Gmailの各種表示の意味を解説します

GoogleのWEBメールシステムであるGmailをお使いの方は、御社のお客様にも多いのではないでしょうか。

以前の記事でもお知らせ致しましたが、Gmailアドレスへ御社のドメインからメールを送信した場合、どのように表示されているかを知ると、お客様が御社をどのようなイメージで見ているか…がわかるかもしれません。

下の図は、弊社のcast.worksメールサーバーからGmailへメールを送信したものを、画面キャプチャしたものです。
弊社のメールサーバーは
・送信ドメイン認証技術(SPFとDKIM)の設定
・メールサーバー間のSSL/TLSによる暗号化
を実装しているため、注意喚起すべき表示がありません。

この記事では、図中の赤い文字の部分を解説させていただきます。

Gmailの表示解説

御社のメールサーバーが送信ドメイン認証技術に対応していない場合
WEB版GmailとAndroidでは、送信ドメイン認証技術である”SPF”または”DKIM”のどちらかで認証がされない場合、メールのプロフィールアイコンに“?”(はてなマーク)が表示されます。

また、送信者の右側に「経由」と表示される場合があり、ドメインで署名したDKIMキーがFromアドレスで使用するドメイン名と異なる署名(第三者署名)であった場合に表示されます。
Gmailで経路情報が表示されないようにするためには、正しく設定されたSPFと、DKIMが第三者署名ではなく作成者署名である必要があります。
作成者署名で登録することで、この「署名元」に独自ドメインを表示することができ、受信者からみた際のメールの信頼度が上がります。

御社のメールサーバーがメールサーバー間のSSL/TLS通信に対応していない場合
赤い鍵アイコンが表示され、「暗号化」項目に【ドメイン名】はこのメッセージを暗号化していませんと表示されます。
※正確には赤い錠アイコン

【情報追記】
送信元項目
メール送信元のサーバー情報が表示されます。
メールマガジンの配信システムなどを利用している場合は、サービス提供者のドメインが表示される場合もあります。


自社のメールアドレスから送信したメールが、Gmailで赤い文字が多く表示されている事業者さまは、是非この際にメールサーバーの乗り換えをご検討ください。


Gmailに認証に関する警告機能が追加されます

参考リンク:
Google、「Gmail」にセーフブラウジング保護を追加 → 外部リンク

米Googleがメールサービス「Gmail」に認証に関する警告機能を追加します。
この機能の追加により、Web版とAndroid版のGmailで、SPFまたはDKIMで認証されないメールの送信者プロフィール画像・企業ロゴ欄に?マークを表示して、メールが認証されていないことをひと目で確認できるようになり、利用者が「このメールに使われているメールアドレスは危険かもしれない」という判断ができるようになります

※貴社のメールサーバーが送信ドメイン認証技術の「SPF」あるいは「DKIM」に対応していない場合、メールの送信相手がGmailをお使いであれば「?」マークが表示されますよ…という意味です。


「あやしいメールを開くな」…注意は無意味か?

米Verizonによる分析

参考リンク:
「あやしいメールを開くな」は無意味? 掛け声で終わらせない方法 → 外部リンク
米Verizonの分析では2015年に発生した900件以上のデータ侵害になりすましメールが使われた。
データ漏えい事案のうち900件以上で、フィッシングメール(なりすましメール、標的型攻撃メール)が使われ、受信者の30%が開封していたことが分かった。13%はマルウェアなどが密かに埋め込まれた添付ファイルを開き、11%はメールのリンクから誘導されるフィッシングサイト(なりすましサイト、偽サイト)にアクセスして個人情報などを入力してしまっていたことも判明した。
「あやしいメールを開くな」とよく言われるが、同社は補完的な対応が不可欠だと指摘する。


求められる「三位一体の対策」

前回のエントリー「三位一体の対策を – IPAが標的型攻撃に注意喚起」でも記載しましたが、もう一度さらに平易な言葉な置き換えて記載しておきたいと思います。

メールに対する警戒意識の向上と維持

      「あやしいメールを開くな」と普段から指示を行うことについて、間違っているとは思いません。
      が…現在のシステムにおいては「作業者が故意に開かなくても」システムの脆弱性を突いてセキュリティ上の重大な問題を引き起こすマルウェア・ウイルスが存在します。
      このような状況を利用者(従業員)がしっかりと認識をしたうえで警戒心の向上・維持を行うことが求められています。

受信メールの真正性を保証する仕組みの導入

      最近のメールは見た目で「あやしいメール」かどうかが判断できないほど巧妙になっています。
      なりすましメールへの対応策として「見た目」ではなく、「送信ドメイン認証」(SPF・DKIM)等のシステマチックな対応が必要です。

個人情報を保有するデータベースをインターネットにアクセスするネットワークから切り分ける

      外部からのメールを受信するためだけに、VirtualBOXなど仮想化された環境を準備し、その仮想化PCの中のメール受信ソフトでメールを受信するようにします。
      このようにすることにより、万一ウイルス等に感染しても、会社内のネットワークを直接汚染することがなくなります。

三位一体の対策を – IPAが標的型攻撃に注意喚起

IPAによる注意喚起

標的型攻撃メールを起因とした個人情報流出の事案が後を絶ちません。
この状況に対し情報処理推進機構(IPA)は、大規模な情報漏えいに繋がりかねない企業を狙う標的型攻撃に対応するために、リテラシの向上適切な運用管理セキュアなシステムの構築 の三位一体で対策をする必要があると企業・組織に対して注意喚起を行いました。

参考リンク:
【注意喚起】攻撃の早期検知と的確な初動による深刻な被害からの回避を → 外部リンク


リテラシの向上・適切な運用管理 という側面から

メールに対する警戒意識の向上と維持

      非常に巧妙化している標的型攻撃メールの文面・タイトル等の内容に対し、従業員に定期的な教育を行い、攻撃メールに対する警戒心の向上・維持を図ることを勧めています。
      また、誤ってメールを開いてしまった場合も含めた、従業員から所定の担当部門への報告訓練などにも言及されています。

受信メールの真正性を保証する仕組みの導入

      なりすましメールへの対応策として「送信ドメイン認証」(SPF・DKIM)などメールの真正性を保証する仕組みの導入も検討に値する…としています。

セキュアなシステムの構築・適切な運用管理 という側面から

個人情報を保有するデータベースをインターネットにアクセスするネットワークから切り分ける

      ことが必要…としています。
      また、不審な添付ファイルを開かなければならない場合については、仮想環境で開くなど添付ファイル確認用の環境のシステム面での整備も検討を要する…としています。

認証メール配信とは(送信ドメイン認証まとめ)

認証メール配信」に利用している技術、第四回は「送信ドメイン認証」についてまとめをしてみたいと思います。

このブログ第一回第二回第三回に書いてきましたとおり、送信ドメイン認証という技術は、大きく二種類に分けられます。
一つは送信元IPアドレスを根拠に、正規のサーバーから送られたかどうかを検証する技術で、
もう一つは、送られたメールの中に電子署名を挿入し、その正当性を検証する技術です。

実は前者にはSPF以外にもSender IDという技術があり、後者にはDKIM以外にDomainKeysという技術があります。
Sender IDはライセンスの自由性に問題があるため普及率が低く、DomainKeysは後継技術としてDKIMが策定されたため、普及しませんでした。

さらに、現在最も普及しているSPFとDKIMの送信ドメイン認証技術の認証結果を基に、自動でアクセスを制御したりレポーティングしたりできるようにする仕組みとしてDMARCが策定されましたが、未だ一般的に利用されている技術ではないのが実情です。

送信ドメイン認証のまとめ

【送信元IPアドレスを根拠に、正規のサーバーから送られたかどうかを検証する技術】
SPF(Sender Policy Framework) → 第一回参照
Sender ID → ライセンスの自由性に問題

【送られたメールの中に電子署名を挿入し、その正当性を検証する技術】
DomainKeys → 後継技術としてDKIM
DKIM(DomainKeys Identified Mail) → 第二回参照、第三回参照

【SPFとDKIM両方を利用する、次世代の送信ドメイン認証技術】
DMARC(Domain-based Message Authentication、Reporting & Conformance) → 2012年1月、Google・Facebook・Microsoftをはじめ15社の企業がスパムやフィッシングの脅威撲滅を目的としたワーキンググループ。未だ普及率云々というフェーズではない

『認証メール配信』はどうして迷惑メールになりにくいのか まとめ

SPFを利用し、全てのヘッダ情報においてドメインが一致しているから
・メールサーバのIPアドレスを逆引きした時に返ってくるホスト名のドメインでメールを送信するから
DKIMを利用し、電子署名には第三者署名ではなく作成者署名を用いているから

目次へ戻る

認証メール配信とは(DKIM作成者署名と第三者署名編)

認証メール配信」に利用している技術について。第三回は「DKIMの署名」についてです。

第二回 認証メール配信とは(DKIM編) でご紹介したとおり、DKIMという技術は電子署名をベースとして成す技術ですが、この電子署名、実は二つの種類が存在します。
作成者署名
第三者署名

メールのFromアドレスに記載されているメールアドレスのドメイン名で署名した場合を作成者署名といい、それ以外を第三者署名といいます。

作成者署名で電子メールを正しく認証できた場合は、間違いなくメール送信者のドメインから送信されたメールであることが確認できます。
しかし、第三者署名で電子メールを正しく認証できた場合であっても、メール送信者のドメインであることは確認できず、どのドメイン名のメールサーバから送信されたのか…であれば確認できる…という、署名の違いが存在します。

この二つの署名の違い、つまり『署名の強度』なわけですが、ASP(アプリケーションサービスプロバイダ)のサービスとしてメルマガ配信を利用するような他社のサービスの場合、サービス提供の仕様上DKIMを使用できても「第三者署名」である可能性が高く、「作成者署名」である可能性はほぼありません(このブログ記載時)。
※一部「作成者署名」を提供しておられる事業者様が居られますが、弊社のサービス提供価格とは比べ物にならない程高価な状況です。

認証メール配信サービスでは、この作成者署名を利用しており、電子メールの身元について明らかなサービスであるため、迷惑メールフォルダに送られにくいサービスであると言えます。

目次へ戻る

認証メール配信とは(DKIM編)

認証メール配信」に利用している技術についての第二回は「DKIM」についてです。

DKIMは送信側で電子メールに電子署名を付加し、受信側でその電子署名を照合するという方法で送信者のドメインの認証を行います。

SPFの場合、DNSサーバのSPFレコードに記載される情報は(基本的には)IPアドレスですが、DKIMの場合は公開鍵が登録されています。

電子メールの送信側は、電子メールのヘッダおよびボディを元に電子署名を作成し、作成した電子署名をDKIM-Signatureヘッダとして電子メールに付与します。

電子メールの受信側では、メッセージに付与されたDKIM-Signatureヘッダを取り出し、あらかじめ決められた手順に従い、署名の照合を行います。
この手順の中で公開鍵を利用し、電子署名から取り出したハッシュと受信したメールから作成したハッシュを比較して同じであれば認証成功となり、電子メールの正当性を担保します。

単純にDNSサーバのSPFレコードの記載との比較を行うSPFと比較して、鍵情報を元に演算を行うDKIMはメールサーバーへの設定も高度であり、携帯キャリアメール(docomo、au、SoftBank)に搭載されているSPFに比べて普及が遅れているのが現状です。

ハッシュとは、データの確認や探索に用いる小さなデータの事である。 ハッシュ値は元データを何らかのルールで要約したものと捉えることができる。 ハッシュはある特定のアルゴリズムによって生成され、次のような場合に用いられる。 ダウンロードしたファイルが改竄されたり破損したりしていないかを確認する。
ハッシュとは (ハッシュとは) [単語記事] – ニコニコ大百科
dic.nicovideo.jp/a/ハッシュ

目次へ戻る

認証メール配信とは(SPFと逆引き編)

弊社がサービスを開始いたしました、「認証メール配信」に利用している技術について、ブログを書くことにいたしました。第一回は「SPFと逆引き」について、短めに書いてみます。

SPFとは、メールを送信するサーバの情報を予めDNSサーバ上で公開し、送信されたメールのドメイン名とDNSサーバのSPFレコードとの整合性を受信サーバ側で照合することで、そのメールが正当なメールサーバから送信されたものかを認証する技術です。
これにより「なりすましメール」を判別することが可能になります。
(SPF : Sender Policy Framework)

SPFは、SMTPセッションのMAIL FROM(MFROM:エンベロープに書かれたFromアドレス)からドメインを認識します。
エンベロープFromアドレスは、配送に問題があった場合の戻り先アドレスとなります。

メール配信システムでは多数のメールを配信するため、メールを送ったFromアドレスに全てのエラーメールが返ってくると、受信者が返信したメールと一緒に多数のエラーメールを受け取ることになってしまうため、「ヘッダのFromアドレスとは異なるシステムが自動的に受信することができるメールアドレス」をエンベロープFromアドレスに指定するのが一般的です。
※一般的には「バウンスメール」(宛先メールアドレスに届かなかった不達メール)と言います。

よって、一般的なメール配信システムでは、エンベロープFromアドレスにASP提供元のドメインが記載されていることが多く、
エンベロープFromアドレスのドメイン ≠ Fromアドレスのドメイン
となってしまいます。

メールにおいて送信元を識別するヘッダ情報は、以下のような種類
・エンベロープFrom
・From
・Received
・Return-Path
・Reply-To
があり、SPFには直接的に関係が無いものの、「迷惑メールフォルダ」に入りにくい「メールアドレス」にするためには、全てのヘッダでドメインが一致していることに意味があります。

「認証メール配信」システムは、お客様専用のメールサーバーを構築しますので、
全てのヘッダでドメインが一致しているのが最大の特徴です。

お客様用に専用サーバーを構築します
また、「共有サーバー」ではなく「お客様専用のメールサーバー」ですので、
メールサーバのIPアドレスを逆引きした時に返ってくるホスト名のドメインでメルマガを発行します。

SPFは「認証メール配信」の技術の一部ですが、上記の技術によりスパム判定されにくいメール配信システムとなっています。

目次へ戻る