DMARC導入にはどうしてSPFかDKIMが必要になるの？

１．3つの送信ドメイン認証技術

送信ドメイン認証技術には「SPF」「DKIM」「DMARC」といった複数の認証技術が存在します。

上記3つの送信ドメイン認証技術のうち、特に昨今導入が加速している認証技術が「DMARC」です。DMARCを導入するためには、SPFまたはDKIMが設定されている必要があります。本記事ではなぜDMARC認証にSPF、DKIMが必要になるのか、各認証がどのように関わるのかを深掘りしてみました。

3つの送信ドメイン認証技術について詳しく知りたい方は、こちらを参照ください。

2． DMARC認証とSPF認証の関係

理解を深めるために、SPF認証が有効化されたメールヘッダをのぞいてみました。

ヘッダReturn-Pathに記載されているドメイン①はエンベロープFromといい、実際のメール差出元を指します。そしてSPF認証ではこのエンベロープFromがチェック対象になります。
一方でヘッダFromに記載されているドメイン②も、メール差出元を指します。
…と考えると、おかしいですね。①と②、どちらもメール差出元を指しているはずなのに、ドメインが違います。これがなりすましです。

エンベロープFromとヘッダFromの違いは、よく手紙で例えられます。エンベロープは封筒、ヘッダは便せんです。

郵便局（システム）は封筒（エンベロープ）に書かれている情報をもとに配達しますが、手紙（メール）を受け取った人は便せん（ヘッダ）に書かれている情報をもとに差出元を確認します。悪意のある第三者がヘッダFromを書き換えることで、正規の送信者になりすますのです。多くの場合受信者はヘッダFromしか見ないため、気づくことができません。
こうしたなりすましを防ぐため、DMARC認証があります。そしてDMARC認証では、SPF認証でチェックされたエンベロープFrom（ドメイン①）の結果を受け取った上で、ヘッダFrom（ドメイン②）とドメインの突き合わせを行います。DMARC認証にはSPF認証で結果がでることが前提かつ、SPF認証のチェック対象のエンベロープFromがそのままDMARC認証におけるドメイン突き合わせの対象になるのです。
今回の場合、エンベロープFrom（ドメイン①）とヘッダFrom（ドメイン②）が合致しないため、DMARC認証には失敗します。

3. DMARC認証とDKIM認証の関係

次はDKIM認証が有効化されているときのメールヘッダを見てみましょう。
DKIMは、組織から送信されるメッセージのヘッダ部分に署名鍵を挿入し、対になる公開鍵情報をDNSに登録することで、送信元の正当性やメール内容が改ざんされていないことを検証する技術です。
ヘッダDKIM-Signatureに記載されているドメイン①は、DKIMの署名情報に対応する公開鍵があるドメインを指します。そしてDKIM認証ではこのDKIMの署名情報がチェック対象になります。 DKIMの場合、認証でチェックされたDKIM署名のドメイン（ドメイン①）の結果を受け取った上で、ヘッダFrom（ドメイン②）とドメインの突き合わせを行います。
DMARC認証にはDKIM認証で結果がでることが前提かつ、DKIM認証のチェック対象のDKIM署名のドメインがそのままDMARC認証におけるドメイン突き合わせの対象になるのです。
上記の場合、DKIM署名のドメイン（ドメイン①）とヘッダFrom（ドメイン②）が合致しないため、DMARC認証に失敗します。

4. まとめ

DMARC認証では、SPFもしくはDKIM認証でチェックされたドメイン情報を突き合わせの対象とするため、DMARC導入の前提条件にSPFもしくはDKIM認証の実装が必須となります。そしてDMARC認証を導入することで、SPFやDKIM認証では検知できなかったなりすましメールを防ぐことができ、より強固なセキュリティ体制を確立できるのです。
DMARC導入のみを目的とするのであれば、SPFだけ、もしくはDKIMだけ…といった導入の仕方もありますが、一部の大手クラウド企業では一括メール送信者に対して SPF、DKIM、DMARCすべての導入を推奨するような動きもあります。

業界別DMARC対策の動きについて詳しく知りたい方は、こちらを参照ください。

DMARCの導入を検討されている方、お悩みされている方向けに、ウェビナーを開催いたします。 本ウェビナーでは、昨今のメール環境を取り巻くセキュリティ課題、DMARC/DKIM対応の進め方と運用負荷を軽減するベストプラクティスについてご紹介いたします。

是非ご参加ください！申込はこちらです。