- Rspamd〜迷惑メール対策スパムフィルタシステム〜
- ここでは、様々なルールによってメッセージを評価することができる、高機能なオープンソースソフトウェアのスパムフィルタシステムを紹介します。
- RspamdでDMARC対応はどう実現する?モジュールの仕組みと機能を解説
- ここでは、電子メールにおける送信ドメイン認証技術の一つであるDMARCについて紹介します。
RspamdでDMARC対応はどう実現する?モジュールの仕組みと機能を解説
DMARCとは、電子メールにおけるSPF認証やDKIM認証などの仕組みを活用することで、認証をさらに強化する送信ドメイン認証技術の1つです。DMARCは、SPF/DKIMの認証が失敗した際に、そのメールをどのように処理するかを決める役割を担っています。この記事では、Rspamdに搭載されるDMARCモジュールについて解説します。
- +
目次
DMARCモジュールとは?
DMARC(Domain-based Message Authentication, Reporting, and Conformance)とは、電子メールにおける送信ドメイン認証技術の1つです。送信ドメイン認証で用いられる技術には、SPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)があります。
SPFとは、IPアドレスを使用し、受信したメールが正しい送信元のメールサーバから送られているかを判別できるようにする仕組みです。DKIMとは、秘密鍵と公開鍵の技術を用いてメールに電子署名を付与し、受信側が公開鍵を用いてその署名を検証することで、送信者の正当性やメール内容が改ざんされていないかを確認できる仕組みです。DMARCは、両者を利用したメールのドメイン認証を補強し、セキュリティを強化するための技術です。
SPFおよびDKIMのみを用いて送信ドメインを認証する際、認証に失敗したメールをどのように取り扱うかは、受信者の決定に委ねられます。また、認証に失敗したことや、そのメールがどのように処理されたかを、送信者が把握することができません。そういったSPFおよびDKIMの挙動を補強するために、DMARCが提案されました。
DMARCの仕組み
DMARCとは、前述の通り、SPF/DKIMによる認証を強化する送信ドメイン認証技術です。DMARC認証では以下のことを実施します。
SPF/DKIM認証に合格(pass)した場合
SPFまたはDKIMのいずれかの認証に合格(pass)したうえで、その認証に使用されたドメインとヘッダFromのドメインが一致しているかを確認する「アライメント(整合性確認)」を行います。
SPF/DKIM認証に失敗(fail)した場合
DMARC認証では、送信メールドメインの所有者が「DMARCポリシー」と呼ばれるレコードをDNS上で事前に公開し、SPFおよびDKIMのいずれの認証も失敗した場合にどのようにメールを処理すればよいかを定義しておきます。認証に失敗したメールを受け取った受信サーバは、このDMARCポリシーを参照し、それに基づいてメールをどのように取り扱うかを決定する仕組みとなります。DMARCポリシーでは、認証に失敗したメールについて、none(モニタリング)/quarantine(隔離)/reject(受信拒否)の3つのうち、どの処理を行うかを指定することができます。
| none | 認証失敗時もそのまま受信し、特別な処理を行わない |
|---|---|
| quarantine | 認証失敗時は不審、危険なメール、迷惑メールとして区別する |
| reject | 認証失敗時は受信を拒否する |
上記の仕組みによって、SPFとDKIMで対策しきれない部分を強化することができ、よりメールのセキュリティを向上させることが可能になります。
さらにDMARCでは、受信者から送信者に対して、認証に失敗した旨を通知するレポートを送ることができます。送信者は受信者から送られてきたレポートを受け取り、自身のメールシステムが正しく運用されているかどうかの判断や、迷惑メール対策などに役立てることができます。
RspamdのDMARCモジュール機能
RspamdのDMARCモジュールには、以下の機能があります。
メール配送を制御できる
DMARCレコードに登録された内容に応じて、受信したメールのふるまいを制御することで、なりすましメールの受信を制限したり、ヘッダを付与してSPAMメールとして検知することができます。
DMARCレコードに登録された送信先へレポート通知メールを送信できる
1日ごとにDKIM、SPFの認証結果を集計したレポートを作成し、DMARCレコードに登録されたメールアドレスへ、レポート通知メールを送信することができます。
レポート通知メールの中には、送信元のIPアドレスごとに以下の情報が記載されています。
- メールの数
- DMARCポリシーによってRspamdが実際に行ったふるまい
- SPF・DKIMの認証結果
- ヘッダーFromのドメインなど
送信者はこのレポートを受け取ることによって、自身のメールサーバから送信されるメールが受信者側でどのように扱われているか、詳細を知ることができるようになります。
「関連情報の一覧」
Rspamd調査報告書
Rspamdは、正規表現、統計分析、URLブラックリスト等のカスタムサービスを含む多くのルールによってメッセージを評価することができる、高機能なspamフィルタシステムです。
OSSによる送信ドメイン認証の対応方法
2023年10月に発表された、Googleと米国Yahoo!の「メール送信者のガイドライン」を踏まえて、メールの送信ドメイン認証の仕組みとOSSによる実装方法についての情報をまとめたものです。
Googleメール送信者ガイドラインに対応したDMARC設定の導入事例
ケーブルテレビ局様の保守を行っているメールサーバに、DMARCの設定を実施した事例です。お客様は、Google社や米国Yahoo!社が公開しているメール送信者ガイドラインの対応に向けた、メールサーバの設定追加を検討していました。
メールサーバ不正中継防止〜SpamGuard〜
SpamGuardは、メール送信元毎にメールの流量を制限することで、SPAMメールをゆるやかに受け取るように制御し、メールサーバを保護するソフトウェアです。デージーネットの製品として提供しています。
parsedmarc〜DMARCレポート解析ツール〜
送信ドメイン認証の仕組みを設定し運用していく上で、その設定が成功しているかを確認することが重要です。ここでは、DMARCレポート解析ツール「parsedmarc」を紹介します。
DMARC対応が可能なオープンソースのソフトウェア3選
メールセキュリティ強化やなりすまし対策を検討中の方に向けて、DMARCに対応した代表的なオープンソースソフトウェア3製品を比較し、それぞれの特徴や適した利用シーンを紹介します。
デモのお申込み
もっと使い方が知りたい方へ
操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。デモをご希望の方は、下記よりお申込みいただけます。
