Oba-Q's Free Space

World of self-satisfaction by Q

DMARC

by · 2016年5月6日

友人B登場!

しばらく(と言っても2週間位)ぶりに会うと
ため込んであったのか矢継ぎ早の質問攻めです。。。

ubuntu16.04LTSがリリースされたけど日本語
リミックスはいつ頃?
という即答できるものから始まりだんだん面倒くさい
質問になってきて、極めつけは最後の
SPFやDKIMに関してはなんとなく分かったけど
SenderID DomainKeys DMARCってナニモノ?
という質問でした。

気軽に質問されるのですが、サーバーや
ネットワークのプロでない友人Bに決して気軽に口頭で
お教えできるような簡単なものではありません。(笑
そう思いつつ気合も入らない状態で一応言葉で
説明してみましたが、やはりちんぷんかんぷんで
あったようなので、ここになるべく削ぎ落とした
最低限を書いてみます。

まず最初に・・・いずれもなりすましメール対策です。

SenderIDはSPF同様、送信元IPアドレスから
ドメインを検証するサーバー認証の技術です。
違いはIPアドレスの特定方法です。

DomainKeysはDKIM同様電子署名による認証で、
違いは送られてきたメールに電子署名がなかった場合や
あっても認証に失敗するときの処理のしかたです。

ではDMARCとはナニかというと、SPF・DKIMの認証に
どっちも失敗した時、受信したサーバでどのような処理を
して欲しいのかを明示的に示すためのレコードです

認証成功例

oba-q.comからGmailに送信したメール

メールヘッダ部分の抜粋

Authentication-Results: mx.google.com;
dkim=pass header.i=@oba-q.com;
spf=pass (google.com: domain of oba-q@oba-q.com・・・

SPFとDKIMともにパスしています。
しかしいつも認証が成功するとは限りません。
設定方法やメールの配送経路などにより、稀に受信側の
サーバーが的確な判断を下せない場合もあります。
問題なのは受信側は認証の失敗は当然分かっていますが
送信側にその事実を知る術がないのです。

失敗を認識できる受信側においても、配送経路などのせいなのか
なりすましのメールなのか判断が下せないこともあります。
そこでDMARCの登場です。

DNSサーバーのzoneファイルにTXTレコードとして以下のように
記述します。

“v=DMARC1; p=none; pct=100; rua=mailto:info@XXX.jp”

送信側は受信側に対し認証結果のリポートを受け取る窓口
(具体的にはメールアドレス)をDNSのレーコードとして
記述し公開します。【rua=mailto:info@XXX.jp】
受信側の処理も指定できます。【p=none】
・none 指定なし
・quarantine 隔離
・reject 拒否
のどれかを記述します。
処理を行うメールのパーセントを指定します。【pct=100;】

DMARCを採用した運用のコツは、最初は20%程度のメールを
処理方法指定なしで様子見をして、徐々に強い処理方法を
選択してゆくことです。

このようにDMARCはSPFとDKIMの欠点を補うものと言って
良いでしょう。

なおなりすましメールにはいずれも非常に有効な手段では
ありますが、送信側の対応はまずまずなのに受信側はあまり
普及しているとはいえません。
なぜなら受信側で採用したGmailなどに対し、届かなくなる
メールが増えてきたので、仕方なく送信側が対応せざるを
得ないというのが現実であり、受信もとなるとそれなりの
スキルや手間、そしてサーバーのリソースなど(=コスト)が
かかるからです。

ただこれらの認証方式が単なるスパムをフィルタリング
するのとは異なり、送受信双方に100%採用された場合、
根本的にスパムをネットワークから排除することが出来ます。
そのドメイン全てのメールに署名していればそれ以外は
偽装であるという確実な判断を下すことができるからです。
近い将来送受共に(特にDKIMへの)対応は必須となるのでしょう。

お気づきとは思いますが、なりすましの判断はメールアドレスと
ドメイン・IPアドレスが関係しますので、メールサーバ技術
というよりはDNSサーバーの技術と言えると思います。

参考 zoneファイルのtxtレコード
   oba-q.comの例

oba-q.com. IN TXT “v=spf1 ip4:36.3.108.180 -all”
XXXX._domainkey.oba-q.com. IN TXT “v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDx73I5J10vkX5GiVjh2fQOigTa0qBh3Scedh9qM/shIkEoPxMPclAzp8owb9maBQfdQ81DA6TpTiUglIWtZyUEmx84zy7CxpdTzxEBPT53NHYCnQsffaMaNjrR8ve90LBGql3vD6Xo6s7LUUQlZlA/ZXaiRj27uayMwpq0ZlCKTwIDAQAB” ; —– DKIM key 20160411 for oba-q.com
oba-q.com. IN TXT “v=DMARC1; p=none; pct=100; rua=mailto:info@oba-q.com”

ホンマモンのoba-q.comからのメールはこのipアドレスからしか
送信しないゾというspfレコードによる宣言。
DKIMのdomainkeyは当然公開鍵であります。(1行)
別途サーバー内に秘密鍵を作成・保存してあります。
DMRCは先述したとぉりです。

HOME

おすすめ