認証メール配信とは(送信ドメイン認証まとめ)

認証メール配信」に利用している技術、第四回は「送信ドメイン認証」についてまとめをしてみたいと思います。

このブログ第一回第二回第三回に書いてきましたとおり、送信ドメイン認証という技術は、大きく二種類に分けられます。
一つは送信元IPアドレスを根拠に、正規のサーバーから送られたかどうかを検証する技術で、
もう一つは、送られたメールの中に電子署名を挿入し、その正当性を検証する技術です。

実は前者にはSPF以外にもSender IDという技術があり、後者にはDKIM以外にDomainKeysという技術があります。
Sender IDはライセンスの自由性に問題があるため普及率が低く、DomainKeysは後継技術としてDKIMが策定されたため、普及しませんでした。

さらに、現在最も普及しているSPFとDKIMの送信ドメイン認証技術の認証結果を基に、自動でアクセスを制御したりレポーティングしたりできるようにする仕組みとしてDMARCが策定されましたが、未だ一般的に利用されている技術ではないのが実情です。

送信ドメイン認証のまとめ

【送信元IPアドレスを根拠に、正規のサーバーから送られたかどうかを検証する技術】
SPF(Sender Policy Framework) → 第一回参照
Sender ID → ライセンスの自由性に問題

【送られたメールの中に電子署名を挿入し、その正当性を検証する技術】
DomainKeys → 後継技術としてDKIM
DKIM(DomainKeys Identified Mail) → 第二回参照、第三回参照

【SPFとDKIM両方を利用する、次世代の送信ドメイン認証技術】
DMARC(Domain-based Message Authentication、Reporting & Conformance) → 2012年1月、Google・Facebook・Microsoftをはじめ15社の企業がスパムやフィッシングの脅威撲滅を目的としたワーキンググループ。未だ普及率云々というフェーズではない

『認証メール配信』はどうして迷惑メールになりにくいのか まとめ

SPFを利用し、全てのヘッダ情報においてドメインが一致しているから
・メールサーバのIPアドレスを逆引きした時に返ってくるホスト名のドメインでメールを送信するから
DKIMを利用し、電子署名には第三者署名ではなく作成者署名を用いているから

目次へ戻る

認証メール配信とは(DKIM作成者署名と第三者署名編)

認証メール配信」に利用している技術について。第三回は「DKIMの署名」についてです。

第二回 認証メール配信とは(DKIM編) でご紹介したとおり、DKIMという技術は電子署名をベースとして成す技術ですが、この電子署名、実は二つの種類が存在します。
作成者署名
第三者署名

メールのFromアドレスに記載されているメールアドレスのドメイン名で署名した場合を作成者署名といい、それ以外を第三者署名といいます。

作成者署名で電子メールを正しく認証できた場合は、間違いなくメール送信者のドメインから送信されたメールであることが確認できます。
しかし、第三者署名で電子メールを正しく認証できた場合であっても、メール送信者のドメインであることは確認できず、どのドメイン名のメールサーバから送信されたのか…であれば確認できる…という、署名の違いが存在します。

この二つの署名の違い、つまり『署名の強度』なわけですが、ASP(アプリケーションサービスプロバイダ)のサービスとしてメルマガ配信を利用するような他社のサービスの場合、サービス提供の仕様上DKIMを使用できても「第三者署名」である可能性が高く、「作成者署名」である可能性はほぼありません(このブログ記載時)。
※一部「作成者署名」を提供しておられる事業者様が居られますが、弊社のサービス提供価格とは比べ物にならない程高価な状況です。

認証メール配信サービスでは、この作成者署名を利用しており、電子メールの身元について明らかなサービスであるため、迷惑メールフォルダに送られにくいサービスであると言えます。

目次へ戻る

認証メール配信とは(DKIM編)

認証メール配信」に利用している技術についての第二回は「DKIM」についてです。

DKIMは送信側で電子メールに電子署名を付加し、受信側でその電子署名を照合するという方法で送信者のドメインの認証を行います。

SPFの場合、DNSサーバのSPFレコードに記載される情報は(基本的には)IPアドレスですが、DKIMの場合は公開鍵が登録されています。

電子メールの送信側は、電子メールのヘッダおよびボディを元に電子署名を作成し、作成した電子署名をDKIM-Signatureヘッダとして電子メールに付与します。

電子メールの受信側では、メッセージに付与されたDKIM-Signatureヘッダを取り出し、あらかじめ決められた手順に従い、署名の照合を行います。
この手順の中で公開鍵を利用し、電子署名から取り出したハッシュと受信したメールから作成したハッシュを比較して同じであれば認証成功となり、電子メールの正当性を担保します。

単純にDNSサーバのSPFレコードの記載との比較を行うSPFと比較して、鍵情報を元に演算を行うDKIMはメールサーバーへの設定も高度であり、携帯キャリアメール(docomo、au、SoftBank)に搭載されているSPFに比べて普及が遅れているのが現状です。

ハッシュとは、データの確認や探索に用いる小さなデータの事である。 ハッシュ値は元データを何らかのルールで要約したものと捉えることができる。 ハッシュはある特定のアルゴリズムによって生成され、次のような場合に用いられる。 ダウンロードしたファイルが改竄されたり破損したりしていないかを確認する。
ハッシュとは (ハッシュとは) [単語記事] – ニコニコ大百科
dic.nicovideo.jp/a/ハッシュ

目次へ戻る