いっしー@Webエンジニア
トップページポートフォリオブログIT用語辞典

送信ドメイン認証 (ソウシンドメインニンショウ) とは | 意味や読み方など丁寧でわかりやすい用語解説

作成日: 更新日:

送信ドメイン認証 (ソウシンドメインニンショウ) の読み方

日本語表記

送信ドメイン認証 (ソウシン ドメイン ニンショウ)

英語表記

Sending Domain Authentication (センディング・ドメイン・オーセンティケーション)

送信ドメイン認証 (ソウシンドメインニンショウ) の意味や用語解説

送信ドメイン認証とは、受信した電子メールの送信元が、本当に名乗っているドメインから送信されたものであるかを検証するための技術的な仕組みの総称である。インターネット上でやり取りされるメールは、その仕組み上、送信元アドレス(Fromアドレス)を比較的容易に詐称できるという脆弱性を抱えている。このため、悪意のある第三者が実在する企業やサービスになりすまし、ウイルスを仕込んだメールや個人情報を盗み出すためのフィッシング詐欺メールを送りつけるといった問題が多発している。送信ドメイン認証は、こうしたなりすましメールを検知し、受信者が被害に遭うのを防ぐことを主な目的とする。具体的には、メールの送信元ドメインの管理者が、自身のドメインからメールを送信する正当なサーバー情報をあらかじめインターネット上に公開しておく。受信側のメールサーバーは、メールを受け取った際にその公開情報と照合し、送信元が正当なものかどうかを判断する。この認証プロセスを経ることで、メールの信頼性が向上し、安全なメールコミュニケーションの基盤を支える重要な役割を担っている。 送信ドメイン認証を実現する具体的な技術として、まずSPF(Sender Policy Framework)が挙げられる。SPFは、送信元IPアドレスに基づいた認証方式である。メールを送信するドメインの管理者は、自身の管理するDNSサーバーに、SPFレコードと呼ばれるテキスト情報を登録する。このSPFレコードには、そのドメイン名を送信元としてメールを送信することを許可されたメールサーバーのIPアドレスやホスト名の一覧が記述されている。一方、メールを受信する側のサーバーは、メールを受信すると、まずそのメールがどのIPアドレスを持つサーバーから送られてきたかを確認する。次に、メールヘッダに記載されている送信元ドメインのDNSサーバーに問い合わせを行い、登録されているSPFレコードを取得する。そして、実際にメールを送ってきたサーバーのIPアドレスが、SPFレコードに記載されている許可リストに含まれているかを照合する。もしIPアドレスがリストに含まれていれば認証は成功となり、メールは正当な送信元から送られた可能性が高いと判断される。逆に、リストに含まれていないIPアドレスから送信されていた場合は認証失敗となり、なりすましメールの疑いがあるとして、迷惑メールとして扱ったり、受信を拒否したりといった対応が取られる。ただし、SPFはメールが転送されると認証に失敗しやすいという課題がある。メールが転送されると、転送サーバーのIPアドレスから送信されたことになるため、元のドメインのSPFレコードには含まれず、認証が失敗してしまう。 SPFの課題を補う技術として、DKIM(DomainKeys Identified Mail)が存在する。DKIMは、電子署名を用いてメールの送信元ドメインの正当性と、メッセージが途中で改ざんされていないことを保証する認証方式である。送信側のメールサーバーは、メールを送信する際に、まずメールのヘッダや本文などの特定の部分からハッシュ値と呼ばれる一意のデータを計算する。次に、そのドメイン専用の秘密鍵を使ってこのハッシュ値を暗号化し、電子署名を作成する。この電子署名は、DKIM-Signatureというヘッダ情報としてメールに追加されて送信される。一方で、ドメイン管理者は、この秘密鍵と対になる公開鍵をDNSサーバーにDKIMレコードとして公開しておく。メールを受信したサーバーは、メールヘッダからDKIM署名と送信元ドメインを特定し、そのドメインのDNSサーバーから公開鍵を取得する。そして、取得した公開鍵を使ってDKIM署名を復号し、元のハッシュ値を取り出す。同時に、受信したメールの同じ部分から自身でもハッシュ値を計算する。この二つのハッシュ値が一致すれば、署名が正当であり、かつメール内容が送信時から改ざんされていないことが証明され、認証は成功となる。DKIMはメールの内容自体に署名を行うため、SPFとは異なり、途中でメールが転送されても署名は有効なまま維持されるという利点がある。 さらに、SPFとDKIMの二つの認証技術を統合し、より強力ななりすまし対策を実現するのがDMARC(Domain-based Message Authentication, Reporting, and Conformance)である。DMARCは、SPFとDKIMの認証結果を基にして、認証に失敗したメールをどのように処理すべきかを、送信側ドメインが受信側に対してポリシーとして明示するための仕組みである。ドメイン管理者は、DNSサーバーにDMARCレコードを登録する。このレコードには、SPFまたはDKIMの認証に失敗したメールに対して、受信側が取るべきアクション(ポリシー)を指定する。ポリシーには、何もしない(none)、迷惑メールフォルダなどに隔離する(quarantine)、受信を完全に拒否する(reject)の三段階がある。これにより、送信者は自ドメインからのなりすましメールが受信者の手元に届くことを強力に防ぐことが可能になる。また、DMARCのもう一つの重要な機能がレポーティング機能である。DMARCレコードには、認証結果のレポートを送付するメールアドレスを指定することができる。受信側サーバーは、そのドメインから送信されたメールの認証結果(成功、失敗の件数や送信元IPアドレスなど)を集計し、定期的にレポートとして指定されたアドレスに送信する。送信者はこのレポートを分析することで、自社の正規のメールが正しく認証されているかを確認したり、どの程度なりすましメールの攻撃を受けているかを把握したりすることができ、SPFやDKIMの設定の見直しやセキュリティ対策の強化に役立てることができる。DMARCは、SPFとDKIMを前提としており、これら三つが連携することで、多層的で堅牢な送信ドメイン認証が実現される。 結論として、送信ドメイン認証は、SPF、DKIM、DMARCといった複数の技術を組み合わせて機能する、現代の電子メールシステムにおけるセキュリティの根幹をなす仕組みである。これらの技術は、送信元の正当性をIPアドレスや電子署名といった異なる側面から検証し、なりすましメールを高い精度で検出する。さらに、認証失敗時のメールの取り扱いポリシーを送信側が制御し、その結果をフィードバックする仕組みを提供することで、継続的なセキュリティレベルの維持向上を可能にしている。システムエンジニアを目指す者にとって、これらの認証技術の仕組みと相互関係を深く理解することは、安全で信頼性の高いメールシステムの構築・運用に不可欠な知識と言える。

送信ドメイン認証 (ソウシンドメインニンショウ) とは | 意味や読み方など丁寧でわかりやすい用語解説