MDaemonの送信ドメイン認証について

   

    

スパムメールやその他不正なメールのほとんどが、メールアドレスを偽装して配信されています。

偽装された「成りすまし」メールを判定すること、そして、自社から送信されたメールが成りすましメールではなく、正規の発信元メールサーバーから配信されたものであることを証明すること、の2つが、ドメイン認証の役割です。

ドメイン認証機能として、MDaemonは、SPF, DKIM, DMARCを標準搭載しています。

SPF (Sender Policy Framework)

SPFとは、送信元ドメインのDNSへメールサーバのIPなどを登録しておき、このDNS情報をメール受信時に、受信側のメールサーバーが確認することで、メールの送信が正規のメールサーバーから行われたものであるかを確認するものです。

      SPFは送信元のDNSサーバーへメールサーバのIPなどの情報を追加するだけで済むため、簡単に送信元サーバーの正当性を確認できる手段ではありますが、メールサーバーを複数台経由してメール送信する場合や、ウィルスチェックサーバーなどの中継サーバーを経由してメール送信を行った場合、MAIL FROMの値とDNSのレコードが一致せず、認証に失敗してしまいます。

      DKIM

      これに対し、DKIMは、メールの送信時、送信側のメールサーバーで、メールのヘッダーと本文から、公開鍵暗号方式を使って電子署名を生成し、メールヘッダへ秘密鍵として格納します。

      この秘密鍵に対応した公開鍵を、送信元のDNSへ登録しておきます。

      メール送信時、受信側メールサーバーは、送信元ドメインのDNSから公開鍵を取得し、電子署名が正規なものかどうかを判定しています。 MDaemonは、商用メールサーバーで初めてDKIMを搭載したメールサーバーです。

      ※画像はクリックで拡大します
      worldclient worldclient worldclient

      DKIMの場合は、先述の、中継サーバーを経由した場合などであっても、正しく送信元の認証が行えます。

      ただし、メーリングリストのメールなど、途中でメール本文が書き換えられてしまうような場合、(メール本文から電子署名を生成するため)認証に失敗してしまうという欠点があります。

      ※これを避けるため、MDaemonでは、デフォルトで、メーリングリスト用の受信メッセージから、DKIM署名を自動的に削除するよう構成されています。

      SPFやDKIMなどのドメイン認証に関する詳細

      DMARC(Domain-based Message Authentication, Reporting & Conformance)

      DMARCは、セキュリティポリシーに加え、先述の2つのドメイン認証では搭載されていなかった「レポーティング」を搭載する事で、メールの配信失敗やフィッシングメールの検出などの情報を知ることができ、後の精度向上につなげる事ができるというドメイン認証の手法の1つです。

      MDaemonはこのDMARC署名の検証や、送信メールに対するDMARC署名の付与、レポーティングの送信に完全対応しています。

      ※画像はクリックで拡大します
      DMARC DMARC
      DMARC DMARC
          送信ドメイン認証DMARCに関する詳細