メール送信認証のお話

今回、サーバーを再構築するにあたって、メール送信認証を導入しました。
最近は、これを導入していないとgmailなどにメール送信ができません。
そして、これを受信側からみてみると、おもしろい現実がみえてきます。
今回は、そのあたりのことを書いてみたいと思います。

メール送信認証を導入しました。

今回、サーバーを再構築するにあたって、メール送信認証を導入しました。
最近は、これを導入していないとgmailなどにメール送信ができません。
自前でメールサーバーを運営している者にとっては、必須の機能になります。

このメール送信認証とは、一言でいうとなりすまし防止機能です。
通常、メールソフトにはメールアドレスを設定する項目があります。
ここを書き換えることで、かんたんになりすましメールを送ることができるのですね。
そして受信相手を信じ込ませ、フィッシングなどの悪事を働く輩が後を絶たないのです。

そこで登場するのが、メール送信認証です。
大まかに説明すると、DNSサーバーを使って正しい送信元かどうかを確認するのですね。
詳しくは後述しますが、なるほど、これならなりすましの抑止力にはなりそうです。

このメール送信認証には、三種類あります。
以下に、その概要をまとめます。

  • SPF:IPアドレスで認証。
  • DKIM:公開鍵と秘密鍵で認証。
  • DMARC:DKIMの認証結果で送信メールをどうするのか指示

なお、DMARCには認証結果の統計をとる機能もあるようです。
今回は、この三つの認証機能をすべて入れてみました。
それでは、その詳細を以下に書いてみたいと思います。

送信側としての設定と受信側としての設定があります。

このメール送信認証は、DNSサーバーを使います。
たとえばSPFの場合、あらかじめDNSサーバーに送信サーバーのIPアドレスを登録しておきます。
そして、メールを受信したサーバーが、差出人のドメイン名でIPアドレスを照合するのですね。
なりすましの場合はIPアドレスに差異がでますから、そこで認証ができるという仕組みです。

同じような仕組みで、公開鍵と秘密鍵を使うのがDKIMです。
こちらは、あらかじめDNSサーバーに公開鍵を登録しておきます。
そして、それと対になった秘密鍵で送信サーバが電子署名を行い、それで認証するのですね。
仕組みがより複雑な分、SPFよりもより高度な認証を行うことができます。

また、DMARKについても、認証後の動作をDNSサーバーに登録しておくという仕組みです。
いずれにしても、DNSをフル活用するところがポイントですね。

そしてこれらを自前サーバーで実現するには、送信側と受信側の2つの話があることになります。
ところが、このあたりを体系的に整理しているサイトは少ないですね。
サイトによってはDNSへの登録だけでよかったりのところもあり、ちょっと混乱しました。
ということで、あらためてそのあたりのことをまとめておきたいと思います。

送信側としての設定受信側としての設定
SPF・DNSにIPアドレス登録・アプリで認証するように設定
DKIM・DNSに公開鍵を登録
・アプリで著名するように設定
・アプリで認証するように設定
DMARC・DNSに認証後の動作を登録・アプリで認証するように設定

ここでもし、gmailにメールを送りたいだけなら、送信側としての設定だけで大丈夫です。
gmailはSPFができていればメール送信できますから、ぶっちゃけDNSへの登録だけでOKですね。
そして、自分のところにきたメールを認証したいのであれば、アプリ導入が必要になります。

ちなみに、Ubuntu22.04で認証に必要なアプリは以下の通りです。

  • SPF:SPF Policy Agent
  • DKIM:OpenDKIM
  • DMARC:OpenDMARC

以上のことがわかれば、メール送信認証の導入に戸惑うことはないでしょう。
具体的な導入方法は詳しいサイトがたくさんありますので、そちらを参照してください。
DNSの登録だけからアプリの導入まで、サイトによって案内内容はさまざまです。
あとは、必要に応じて取捨選択して対応すればよいと思います。

メール送信認証の対応状況がおもしろいです。

今回のサーバー構築では、送信側はもちろん、受信側も認証できるように設定しました。
現在、私のところに届くメールは、送信認証がどこまで対応しているのかが一目瞭然です。
そして、これがなかなか興味深くおもしろいです。

まずは、googleやyahoo!、Amazone、Facebook といったネット大手は盤石ですね。
SPF、DKIM、DMARCの三者揃い踏みでパーフェクト対応です。

おもしろいのは新聞社からのメールで、日経新聞からのメールはパーフェクト対応です。
それに対して朝日新聞はSPFとDKIMまでです。
このあたり、両社のネットに対する意識がすこし垣間見れる感じですね。

数ある勧誘系のメールでは、リクナビやるるぶ、HMVがパーフェクト対応でした。
また、市町村からのメールもパーフェクトですね。
意外なのは、ソニー銀行がSPFのみだったこと、それとAmebaもSPFのみです。
あとは、SPFとDKIMに対応というところが多いようです。

いずれにしても、これをみると相手企業のネットリテラシーが手に取るようにわかりますね。
あるいは、その企業内におけるシステム部門の立ち位置といったところでしょうか?
このあたり、企業は見かけによらずという感じで、まぁいろいろと事情があるのでしょうね。

もちろん、あきらかに怪しいメールはまったく認証がされていないので、すぐに切り分けできます。
メール送信認証、もし受信サーバーが対応しているのなら、ぜひ確認してみてください。
怪しいメールの切り分け以外にも、いろいろと新しい気づきがあると思いますので。