[なりすまし対策]GoogleのSPF・DKIM・DMARC・BIM導入方法

ホーム » Windows11 » [なりすまし対策]GoogleのSPF・DKIM・DMARC・BIM導入方法

■このページを読んでわかること

GmailのSPF,DKIM,DMARCの導入・設定方法
SPF,DKIM,DMARCの詳細について

■対象者

・Gmailを主に使用しており、メールセキュリティ向上のためSPF,DKIM,DMARCを導入したい担当者の方
・SPF,DKIM,DMARCについて知りたい方

■そもそも何故必要??

結論から言えば、メールのなりすまし対策になります。
メールアドレスの書き換えは簡単にできます。
そのため、相手がなりすましていないか確認する必要があります。

■SPF

〇SPF(Sender Policy Framework)とは

  ・電子メールの送信元ドメインの詐称を検知する技術

  ・DNSを利用して本当に送信元アドレスに記載のドメインから
   送信されたメールかを調べることができる。

  ・認証失敗したメールの挙動は受信側の設定に依存する。

  ・SPFを利用するためにDNSサーバーの「TXTレコード」に下記の登録が必要

         ・SPFレコード・・・DNSで定義されるドメインについての情報の種類の一つ

          電子メールの送信ドメイン認証を利用するためのもの。

         ・日本国内では約8割の企業が設定している。

■DKIM

■DKIM(DomainKeys Identified Mail)とは

  ・デジタル署名を利用して送信元のなりすましやメール内容の改竄を確認できる

  ・公開鍵暗号方式における公開鍵と秘密鍵を利用する

  ・この際使用する公開鍵、秘密鍵は送信メールサーバーごとに登録が必要              

  ・認証出来なかったメールの挙動は、受信側の設定に依存する。

  ・DKIMを利用するために下記の登録が必要

         ・送信メールサーバーに秘密鍵

         ・ドメインのDNSサーバに公開鍵

  ・上記を登録後すべての送信メールにデジタル署名を追加できる

  ・受信側は署名を検証後、本当に正しいドメインからのメールか確認できる。

         ➡SPFと併用することで更になりすましメールを防ぐことが可能になる

  ・日本国内での普及率は約5割ほど。

■DMARC

■DMARC(Domain-based Message Authentication, Reporting, and Conformance)とは

  ・SPFやDKIM、送信ドメイン認証技術を利用する

  ・上記で認証失敗したメールの挙動を、送信側で設定できる。

  ・送信側で設定することで、自社ドメインになりすましたメールの受信を防ぐことができる。

  ・認証に失敗したメールについて、受信側から失敗レポートをもらうことができる。

   レポートを調査することで、失敗メールの詳細となりすましメールが確認できる

  ・認証に失敗した際の挙動として下記の3つを設定できる

         ・何もしない(認証に失敗するメールもそのまま受信してもらう)

         ・隔離する(受信側の迷惑メールBOXに振り分けられる)

         ・拒否する(受信を拒否してもらう)

  ・国内企業での普及率は約2割ほど

     ※Internet Infrastructure Review「定期レポート」          

➡一方で英国やアメリカでは適用を義務化している。

■それぞれの違い

それぞれの対策が何を基に認証しているか、誰が認証するのかということを基準に覚えましょう
SPF,DKIMは設定するのは送信側。認証するのは受信側になります。
DMARCは送信側の設定のみで可能です。
3つとも受信側の設定は特に不要です。

Google WordPless設定画面

・Gmailアカウントは既定で、SPF,DKIM設定がされています。
 Google公式サイト手順
 DMARCまで設定する方ように設定方法を記載しておきます。
管理画面>アプリ>Google Workspace>Gmail>メールの認証を開きます。

「選択したドメイン」で設定したいドメインを選ぶ。
TXTレコードの値をコピーして、プライマリードメインに貼り付けて完了となります。

■最後に

長くなってしまったので、Googleの設定方法は次の記事に記載します。

タイトルとURLをコピーしました