送信ドメイン認証

送信ドメイン認証（そうしんドメインにんしょう、 Sender Domain Authentication）とは、差出人メールアドレスが詐称された電子メール（いわゆる、なりすましメール）の判別を目的とした技術。

概要

迷惑メール対策の一つとして使われており、受信側のメールサーバで送信者情報(reverse-path)を検証することで、差出人メールアドレス（ヘッダFrom）のなりすましを検出している。 SPFとDKIMがよく使われている^[1]。

主な技術

SPF

SPF認証の仕組み

→詳細は「Sender Policy Framework」を参照

差出人メールアドレス（ヘッダFrom）のIPアドレスと、送信元メールアドレス（エンベロープFrom）のドメインのSPFレコード（メール送信が許可されたメールサーバのIPアドレスのリスト）を、受信側のメールサーバで検証する方式。黃銘榮（英語版）によって提唱され、RFC 4408で規定。

ドメインの詐称には有効ではあるが、SPFレコードに記載されたメールサーバから詐称されたメールが送信された場合には検出できない。ただドメイン所有者側の対応は比較的容易で、DNSサーバ内のゾーンファイルにSPFレコードを記述するだけでよい。^[2][3]

Sender ID

→詳細は「Sender ID」を参照

Caller ID for E-mailとSPFを統合して作られた方式。マイクロソフトによって提唱され、RFC 4406とRFC 4407で規定。仕組みはSPFとほぼ同じであるが、検証時に送信元メールアドレスではなく、PRA (Purported Responsible Address)^[4]を使用する点が異なる。

インターネットサービスプロバイダや大企業で使用する際は、マイクロソフトとの無料のライセンス契約が必要であり、ライセンス契約という形式に懸念を示したApacheソフトウェア財団がSender IDに対応しないことを表明したこともあり^[5]、普及は進んでいない。

DKIM

DKIM認証の仕組み

→詳細は「ドメインキー」および「ドメインキー・アイデンティファイド・メール」を参照

アメリカのYahoo!が提唱したドメインキーを使用した方式。送信元はメールに電子署名を付加し、受信側は送信元メールアドレスのドメインのDKIMレコード（公開鍵）を使って電子署名を検証する方式。RFC 6376で規定。

電子署名を使用していることから、配送途中でのメール改竄の検出にも対応している。^[6][7]

DMARC

SPF・DKIMとポリシーを併用することにより、なりすましメール対策を強化したもの。RFC 7489で規定。^[8]

DKIM-ADSP

DMARCの機能の一つ。送信元メールアドレスのドメインにADSPレコードを設定することにより、DKIM認証に失敗した場合の取り扱い方法を決めることができる。RFC 5617で規定。

関連項目

• スパムメール
• Sender Policy Framework (SPF)
• ドメインキー・アイデンティファイド・メール (DKIM)
• DMARC
• Sender ID
• Outbound Port 25 Blocking