Eメールの標準的なメール認証方式

2020年11月20日

以前のコラムで、Eメールの新しいセキュリティ標準としてメッセージ識別用の新しいブランドインジケーターであるBIMI (Brand Indicators Message Identification)をご紹介したことがある が、今までのグローバルの標準的なメール認証方式として、
SPF (Sender Policy Framework)、
DKIM (DomainKeys Identified Mail) 、
DMARC (Domain-based Message Authentication, Reporting & Conformance)がある。

SPFは特定のドメインからEメールの送信が許可されているメールサーバーを特定するのに役立つ認証方法、DKIMはEメール内で偽造された送信者アドレスを検出するように設計された認証方法、DMARCはSPFおよびDKIMを使用して、Eメールメッセージの信頼性を判断するプロトコルである。

この中でSPFとDKIMの設定は広く行われているのに対し、送信ドメインの不正使用を防止するグローバル標準のDMARCは、利用が増加しているとはいえ、Fortune 500でもまだ80％程度の利用となっている。(LAJET Business Consultingの調べ)
事実、各企業から届くキャンペーンEメールやニュースレターを見ると、DMARCのチェックが行われていないものもかなりある。(SPFやDKIMやDMARCの状況は、配信されたEメールのソースやオリジナルを見るとわかる。)

DMARCは、この3つの中では比較的新しい認証方式であることに加え、設定するにはすべてのEメールに施行ポリシーを適用すること、ドメインに加えてすべてのサブドメインにも適用する必要があること、SPFとDKIMの有効化を前提としていることなどがその対応への遅れの要因になっているのかも知れない。
このような中、DMARCはBIMI標準の前提条件の一つとなっていること、またすべてのサイバー攻撃の90％にフィッシングが関与し、そのフィッシング対策ソリューションとして、DMARCとその施行機能の標準化が最も効果的であると考えられていることから、早期のDMARC対応の向上が望まれる。
ちなみに、中規模の企業は1回のフィッシング攻撃で最大160万ドル失う可能性があるとも言われているほどである。

自社のドメインにてDMARCが正しく完全に構成されているかどうか、および基になるSPFレコードが正しく設定されているかどうかは、企業のコンプライアンスを確保するために送信者のIDを検証および認証して、フィッシングを阻止するクラウドネイティブなプラットフォームを提供するValimailのDMARC監視ソリューション”Valimail DMARC Monitor”にて確認できる。
ちなみにValimailは、全世界で施行されているDMARCレコードの26.1％を管理する世界最大のDMARCベンダーとなっている。

また、フィッシング攻撃はEメール以外にも新しいファイル共有およびコラボレーションプラットフォームで増加しているというデータもでており、SkypeやFacebook Messengerなどのメッセージングサービス、あるいは他のビデオコラボレーションプラットフォームなどのユーザーも、個人情報からなりすましやフィッシングの危険にさらされている。
主要なEメールAPIプラットフォームを提供するTwilio SendGridは、Valimailとの提携によりこれらのフィッシング対策を施している。
特に最近は新型コロナウィルスによるパンデミックを悪用したフィッシング攻撃も増えているようで、それらへの対策を万全に行うにこしたことはないだろう。