迷惑メールの送信元として判定されないために
システム管理のつぼ(2017年1月号)
ソリューション開発部 丸吉 祐也
メール無害化は2016年で話題になったキーワードの一つではないでしょうか。これは標的型攻撃に備えて、どうすれば安全にメールを受信できるのかを考えて生み出された対策の1つです。
デージーネットが開発したSaMMAに無害化対策の機能が追加され、社内でもすぐに運用を開始しました。実際に運用を始めて、どのような効果や発見があったのかを紹介していきます。
SaMMAは送信ドメイン認証として、送信者のDNS逆引きとSPF(Sender Policy Framework)の確認を利用しています。導入をして最初に感じたことは「メール送信ドメイン認証の普及率は意外に低い」ということです。
SPFとはメールの送信者なりすましを防ぐ仕組みです。メールを送信するサーバのIPアドレスまたはネットワークアドレスを記載したSPFレコードをDNSに登録します。メールを受信するシステムでは、登録されているSPFレコードと実際の送信元のIPアドレスを照らし合わせて、正しい送信元であることを確認します。
弊社のメールのログから、ある1週間分の統計を取ったところ、送信ドメイン認証でエラーとなった割合はメール全体の約40%でした。40%という数字を見て、皆さんはどのように感じたでしょうか?
弊社はBtoBの取引がほとんどです。また保守サポートに影響がでないように、契約のあるお客様に対してはメール無害化のルールを緩和して運用を始めました。それら踏まえると40%は低い値ではないかと考えています。
SPFレコードはDNSにレコードを追加するだけの簡単なセキュリティ強化の一つです。統計を調べた中では、SPFレコードが全くなかったり、SPFレコードの書き方が間違っていたりするケースも多々ありました。最近ではクラウドサービスを利用してメールを送信している企業も増えています。クラウドサービスを利用している場合でも、管理者ヘルプサイトでSPFレコードの登録を推奨しているところがほとんどです。
迷惑メールの送信元として判定されないようにするために、SPFレコードを導入してはいかがでしょうか。また導入している場合でも書式に誤りがないか、送信サーバの定義に抜けや漏れがないか、一度チェックすることをお勧めします。