電子メール認証のしくみ

電子メール認証は困難な問題です。 多くの場合、頭字語と頭字語のアルファベットのスープがあります。 しかし、コアコンセプトは複雑ではなく、ほとんどの人がすぐに理解できるようになります。

スパマーやフィッシング詐欺師が不要または有害なメッセージを配信するために電子メールを使用し続けるにつれて、電子メール認証がますます必要になっています。 現在、ほとんどの電子メールサーバーは、目的の受信者に到達する前に、いくつかのプロトコルを使用して電子メールメッセージを検証しています。 適切に認証されていない電子メールには、電子メールの配信可能性の問題があり、配信されないか、スパムフォルダに入れられる可能性があります。

それでは、実際のアナロジーを使用して、プレーン言語での3つの最も重要な電子メール認証プロトコルについて話しましょう。

SPF – Sender Policy Framework

最初で最も古いものは、Sender Policy Framework（SPF）と呼ばれます。 SPFを使用すると、送信者は自分の信頼性を確認できます。 このように考えてみましょう。公式のレターヘッドに印刷されたメールボックスで手紙を受け取った場合、それが本物であると合理的に確信できます。 したがって、SPFを通過する電子メールを考える別の方法は、郵便局からの証明された手紙です。 追跡番号が提供されており、郵便局に電話することで送信者が誰であるかを確認できます。

SPFは、差出人住所の確認にも似ています。 商号が手紙の差出人住所に記載されているどの会社とも一致しない手紙を受け取った場合、あなたはその手紙に当然懐疑的です。 この種のチェックは通常、物理的なメールには不要ですが、他の人からのものであると主張するメッセージを送信するのは簡単なので、電子メールメッセージにも必要です。

SPF中に、受信側の電子メールサーバーは、電子メールの送信元であると主張するドメインに、そのドメインに代わって電子メールを送信できるIPアドレスのリストを要求できます。 ドメインが発信元サーバーを有効な送信者としてリストしていない場合、電子メールは本物ではない可能性が高く、SPFチェックは失敗します。

DKIM –DomainKeysIDメール

DomainKeys Identified Mail（DKIM）は、メッセージを認証するためのより新しく、より堅牢な方法です。 DKIMは手紙の封蝋のようなものです。 信頼できる郵便インフラの前に、手紙は、差出人が所有するシグネットリングがエンボス加工されたシーリングワックスで認証されていました。 硬化したワックスは羊皮紙と結合し、証拠を残さずに手紙を改ざんすることをほぼ不可能にしました。

シグネットリングにアクセスできるのは1人だけだったので、ワックスに押し込まれたシンボルは一種の署名として機能しました。 封筒を検査することにより、受信者は送信者の信憑性と内容が変更されていないことの両方を確認できました。

送信者の信頼性と転送中のメッセージコンテンツの整合性を確保する別の方法を想像してみましょう。 ロッキングドロワーとロッキングリッドが付いたボックスを考えてみてください。 引き出しは、送信者のキーでのみロックできます。 この鍵を送信者の秘密鍵と呼びます。

蓋は、自由に利用できるキーでロックおよびロック解除できます。 誰でもキーのコピーをリクエストできます。 実際、差出人は配達ルートに沿ったすべての郵便局にこの鍵のコピーを提供しました。 これを公開鍵と呼びます。

ふたの下にはガラス板があります。 蓋のロックを解除することで、誰でもガラス越しにパッケージを検査できますが、ガラスを割って証拠を残さずにパッケージを改ざんすることはできません。 検査の結果、関係者は公式のレターヘッドを確認し、ガラスに損傷がないことを確認し、引き出しが送信者だけが持っているキーでロックされていることを確認できます。 途中の各郵便局は、パッケージがまだ無傷であることを確認するために蓋を開けます。

DKIMはこのボックスと同じように機能します。 送信者は、メッセージヘッダーのエンコードに使用される暗号化秘密鍵を持っています。 公開鍵は、DNSまたはドメインネームシステムと呼ばれる分散型の公開インターネットレジストリで利用できます。 メッセージを最終的な宛先に渡すことに関与するサーバーはすべて、公開鍵を取得し、ヘッダーを復号化して、メッセージが有効であることを確認できます。 また、ロックされたボックスと同様に、公開鍵を使用してヘッダーを暗号化する（およびドロワーの内容をロックする）ことはできません。 秘密鍵だけがそれを行うことができます。

これは、郵便局で入手できる別の種類の郵便のようにも考えることができます。 SPF認証された電子メールが認証されたメールである場合、DKIM認証されたメッセージは書留郵便であり、改ざんを防ぐために配信ルートに沿って常にロックとキーが保持されます。

DMARC –ドメインメッセージ認証のレポートと適合性

誰かがあなたにこれらの豪華なダブルロックボックスの1つを送ったと想像してください。 パッケージを持ってきた宅配便業者は、パッケージを配達する前に1回の最終チェックを実行します。 彼女は、パッケージの送信者の配信適合ポリシーを調べます。 彼らのポリシーによると、パッケージは信頼できるアドレス（SPF）から発信されている必要があります。

パッケージは、秘密鍵を保持している信頼できるソースからのロックされたボックスに含まれている必要があり、転送中（DKIM）で検証可能に変更されていない必要があります。 ポリシーではさらに、SPFおよびDKIMの条件が満たされない場合、宅配業者はパッケージを検疫し、違反を送信者に通知する必要があると規定されています。

このポリシーは、ドメインメッセージ認証レポートおよび適合性（DMARC）ポリシーに類似しています。 DMARCは、SPFとDKIMの両方に基づいて構築された最新の認証ツールです。 これは、送信者が受信者に、チェックする認証方法と、受信者からのメッセージであると主張するメッセージが必要なチェックに合格しなかった場合の対処方法を通知する方法です。 指示には、メッセージを隔離済みとしてマークすることが含まれる場合があるため、疑わしい、またはメッセージを完全に拒否する可能性があります。

なぜ送信者がDMARCを通過しないメッセージの配信を許可したいと思うのか不思議に思うかもしれません。 DMARCはフィードバックループも提供するため、送信者は自分のドメインから発信されたように見える電子メールがポリシーに準拠しているかどうかを監視できます。

レビュー

確認するために、広く使用されている3つの認証プロトコルがあります。

1. Sender Policy Framework（SPF）は、差出人アドレスの検証と同様のチェックを実行して、送信者のIDを認証します。
2. DomainKeys Identified Mail（DKIM）は、送信者のIDも認証しますが、ロックされたボックスまたはワックスシールを使用して、メッセージの内容が変更されていないことを確認します。
3. Domain Message Authentication Reporting＆Conformance（DMARC）は、メッセージが配信される前にSPFおよびDKIMの要件を満たしていることを確認する宅配便です。

送信者にとっての電子メール認証の意味

DMARCを使用すると、ドメイン所有者は最終的に、受信者の電子メールクライアントに表示される「差出人」アドレスを完全に制御できます。 Yahoo!のような大規模なメールボックスプロバイダーとAOLはすでに厳格なポリシーを実装しています。 これらのドメインから発信されたように見えるが、認証チェックに失敗した電子メールはドロップされます。 Gmailの最新情報はこちら、Microsoftの最新情報はこちらでご覧いただけます。

これが意味するのは、DKIMとSPFを介してサーバーを許可するように構成されていないドメインから送信してはならないということです。 クライアントに代わって電子メールを送信する場合は、これを有効にするために、クライアントに正しいDNSエントリが設定されていることを確認する必要があります。

受信者にとって、これらのテクノロジーの人気の高まりは、配信されるフィッシングやスパムメールの減少を意味します。 そして、それは常に良いことです。

また、電子メール認証のサポートが必要な場合、または電子メールの配信可能性に問題がある場合、SendGridにはすべてを支援する電子メールプランと専門家サービスがあります。

追加リソース

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/what-is-dmarc/