TOPセキュリティ > メールのセキュリティ対策、SPF/DKIM/DMARCの勘所...

セキュリティ

メールのセキュリティ対策、SPF/DKIM/DMARCの勘所(上)

2018/03/05

Phillip Windley Computerworld

 フィッシングメールやスパムメールは、ハッカーが企業のネットワークに入り込むのにうってつけの手段だ。悪質な添付ファイルを社員1人がクリックするだけで、ランサムウエア、クリプトジャッキング(マシンの処理能力を仮想通貨のマイニングに無断利用する行為)、データ流出、アクセス権の昇格といった形で、社内全体に危険が及びかねない。

 こうした攻撃の可能性を減らすために、メールのなりすましや詐称を排除するセキュリティの仕組みがいくつか考案されている。代表的なものは次の3つだ。IT界でよくあるように、それぞれの守備範囲は必ずしも重なり合ってはおらず、複数の仕組みが互いに大きく補完し合う関係にある。ごく普通の企業でも、この3つの対策がすべて必要となるケースは多々ある。

  • SPF(Sender Policy Framework):DNSに特別なレコードを追加して、自ドメインのメールの送信に使えるサーバーを限定するための仕組み

  • DKIM(DomainKeys Identified Mail):メールの中身が信用できるかどうかや、詐称や改ざんがないかどうかを検証するための仕組み

  • DMARC(Domain-based Message Authentication, Reporting and Conformance):SPFとDKIMを組み合わせ、一貫したポリシーのもとで運用するための仕組み

 SPF/DKIM/DMARCという3種類の対策が必要な理由は、フィッシングメールやスパムメールを防ぐためのどの部分に対処するかという点で、この3つは対象が少しずつ異なることだ。3つを併用すると、公開鍵/秘密鍵を使った署名や、DNSのレコードを使った送信元ドメインの検証など、認証と暗号化のための標準的な手法を組み合わせて適用できる。

↑ページ先頭へ