ドメイン認証・セキュリティ

なりすましメールを防ぐ技術:SPF・DKIM・DMARCの仕組み

なぜ送信ドメイン認証が不可欠なのか?役割とDNS設定を簡単解説

近年、フィッシング詐欺やランサムウェアの被害が増加の一途をたどっています。その攻撃の主要な入り口となっているのが「なりすましメール」です。

従来のメール(SMTPプロトコル)は、送信元の名前やメールアドレス(差出人)を簡単に偽装できる仕組みになっていました。これは、はがきの裏に誰でも好きな名前を書けるのと全く同じです。

この致命的な欠陥を補い、メールの正当性を証明するために開発された技術が、**「送信ドメイン認証」**です。本記事では、その中核を担う3つの規格 **SPF、DKIM、DMARC** の仕組みと、独自ドメインを安全に運用するために必要な基本設定を詳しく解説します。

1. SPF(Sender Policy Framework):送信サーバーのリスト化

SPFは、**「うちのドメインからのメールは、このIPアドレスのサーバーからしか送信しません」**という宣言をDNSに登録しておく仕組みです。

受信側のサーバーは、メールが届いた際に送信元IPアドレスを確認し、DNSに登録されたSPFレコードに合致するかどうかを照合します。合致しないIPから送られたメールは「なりすまし」の可能性が高いと判断されます。

例(SPFレコードのTXT登録):
v=spf1 include:spf.keeptempmailer.com -all

2. DKIM(DomainKeys Identified Mail):暗号署名による証明

DKIMは、**電子署名技術(公開鍵暗号)**を用いて、送信されるメールが改ざんされておらず、本当にそのドメインから送信されたものであるかを証明する仕組みです。

送信サーバーがメールのヘッダーにデジタル署名を付与し、受信サーバーは送信ドメインのDNSレコードから公開鍵を取得して、署名が本物であるか、内容が改ざんされていないかを検証します。

3. DMARC(Domain-based Message Authentication):不合格時のポリシー設定

DMARCは、上述の **SPF と DKIM を補完・統合する技術** です。

SPFやDKIMのチェックをパスしなかった(なりすましメールだと判断された)メールに対して、**「受信サーバーはどのようなアクションを取るべきか」というポリシー**をドメインの所有者自身が指定できます。

指定できるポリシーには以下の3つのステージがあります。

  • none(監視のみ): 認証失敗してもメールは正常に受信され、レポートだけがドメイン所有者に送られます。
  • quarantine(隔離): 認証失敗したメールを受信トレイではなく、迷惑メールフォルダ等に隔離します。
  • reject(受信拒否): 認証失敗したメールを即座に受信拒否(ブロック)し、受信側に届かないようにします。

独自ドメインで使い捨てメール(KeepTempMailer)を動かす際の設定

KeepTempMailerに独自ドメインを連携させる際、またはドメインを安全に保護する際にもこれらの設定は欠かせません。

例えば、KeepTempMailerのインフラ構成を構築しているTerraformコードでは、以下のようにドメイン保護の設定(SPFとDMARCレコードのTXT設定)が自動で行われています。 

# 送信ドメイン認証によるなりすまし防止のDNSレコード例
resource "cloudflare_record" "spf" {
  zone_id = var.cloudflare_zone_id
  name    = "@"
  type    = "TXT"
  value   = "v=spf1 -all" # このドメインからはメールを一切送信しない設定(受信専用)
}

resource "cloudflare_record" "dmarc" {
  zone_id = var.cloudflare_zone_id
  name    = "_dmarc"
  type    = "TXT"
  value   = "v=DMARC1; p=reject;" # 認証に失敗したなりすましメールを即座に受信拒否
}

上記の設定を行うことで、「あなたのドメイン名を使ったなりすましメール(偽装メール)」が他者に送信されることを世界中のメールサーバーで強力に防ぐ(rejectする)ことが可能になり、ドメインのブランド価値と信頼性を保護します。

まとめ:正しい認証設定で安全なドメイン運用を

SPF、DKIM、DMARCの3つは、現代のインターネットにおける「メールの信頼証明書」です。GmailやYahoo!メールも、2024年以降これらの設定がないドメインからの受信制限を極めて厳格化しています。

ご自身でドメインを管理する際は、単にメールを受信できるようにするだけでなく、DNS設定においてSPFとDMARCを正しく設定することが、ハッカーによる偽装を防ぐための必須ステップです。KeepTempMailerでは、こうしたセキュリティのベストプラクティスに準拠したシステム構成を提唱しています。

安全なセキュリティ設計をその手に

アプリを開く(完全無料)
Cookieの利用について: 当サイトでは、サービスの改善、トラフィックの分析、およびパーソナライズされた広告の提供(Google AdSense)のためにCookieを使用しています。 プライバシーポリシーをご確認いただき、同意の上でご利用ください。