最強のメール設定を目指して…

急に厳しくなってきた、迷惑メール対策界隈

2022年11月のChatGPT発表から、IT業界は生成AIの話題で持ち切りですが…そのせいもあってか…フィッシングメールの精度がバク上がりしています。その影響もありGoogleやYahoo!やdocomoが相次いで迷惑メール対策を実施しており、送信者側のセキュリティレベルアップが急務になっています。

「メルマガなどで大量メールを発信している場合」が一番影響を受けるのですが、Google Workspaceから送受信するメールもきっちり対策が必要な時代が見えてきました。後から困らないようにメールの設定はしっかりしておきましょう。

まずは自社の現状をチェック！

まずは自社の現状をチェックすることから始めましょう。

オススメなのはPowerDMARCによるチェックです。この手のサービスは日本語対応しているものが少ない中、対応しているので助かります。

ドメインを入れるだけでこんな感じで評価してくれます。

100%取るにはBIMIのVMC認証が必要です。これを取るには会社のロゴを特許庁に商標申請し登録後にかなり高い証明書を購入してセットする必要があります。数年後には値段がバク下がりする予感しますので、様子見で良いと思います。まずは、A+を目指しましょう。

設定すべき内容についてもPowerDmarcのチェッカーが示してくれます。それぞれの項目を一つ一つやっつけて行きましょう。

SPFはさすがにValidですよね？

まず大事なのは「Outgoing mail」。つまり送信メールですね。これが届かないのはとても困ります。しかしGoogle Workspaceの初期設定時に、SPFの設定は半強制的にしているかと思いますので、ここでは解説はしません。もし設定できていない場合は、こちらをご確認ください。

ちなみにSPF（Sender Policy Framework）とは、「ドメインとメール発信元を突き合わせて、なりすましでないか確認する」ことでなりすまし防止をする仕組みです。とっても大切ですが…何かしらの理由でメールが中継された場合に機能しない場合があります。ですのでSPFを対処するだけでは不十分といえます。

まずはDKIMから！

ということでまずはDKIM（ディーキムと読みます）対応をしましょう。DKIM（DomainKeys Identified Mail）とは暗号鍵を使ってドメインの持ち主からのメールかどうかを判定する仕掛けです。SPFが「メールサーバーの発信元」を突き合わせるだけなのに対し、DKIMはメール送信サーバが暗号鍵を毎回メールに仕込む必要があるので、対応していないメールサービスもありますが…Googleは当然対応しています。

設定方法はこちらをご覧ください。

DMARCまでできればひとまず合格点！

DMARCとは、SPFもDKIMもNGなメールが来た時の対処ポリシーを宣言する仕組みです。DMARCレコードはこんな感じでDNSに記載します。

ホスト名は「_dmarc」のTXTレコードをDNSに記録するだけです。設定パラメータは色々ありますので詳しく知りたい方はこちらをご覧ください。

一番重要なポリシーは、p（Policy）です。設定できる値は３つあります。

none : NGも許容してください！
quarantine：NGは迷惑メールフォルダ行きとして受信してください！
reject：NGはブロックしちゃってください！

です。最終的にはrejectにすべきなんですが…大企業など影響が大きい場合は、noneから初めてレポートを受け取って実態を把握しながら、徐々にレベルアップして行くのが良いかと思います。PowerDmarcなどの有料サービスを利用すると、自動で影響調査をして可視化してくれたりしますので便利です。一方…「メルマガなんか出してないし、そんなに大きな会社だから状況は把握できてる」って場合は、一気にrejectにしてしまっても良いかと思います。

ruaとrufはエラーを受け付けるメールアドレスです。管理者のエイリアスやGoogleグループなどで受けるようにしておけば良いかと思います。foは「どんなエラーの場合にメールを受けつけるか？」の値です。pctは全体のメールのうち何割をチェックするか？という値です。fo=1だと「SPFかDKIM、いずれかが失敗した場合にメールを受け取る」という意味です。

まずは、p=noneでも良いので始めつつ、rejectを目指しましょう。

次にIncoming mail対策へ

ここまでできたら、BIMIは一旦置いておき、受信メールを「盗み読みされない」対策をしましょう。受信メール対策は２つあります。

MTA-STS : メール通信の暗号化を強制する方法
TLS-RPT : メールの暗号通信に失敗した場合にレポートする方法を定義

が必要になります。

この設定は地味に大変なので…別記事にまとめます。

最後にBIMIをどうするか検討

Gmailなどで差出人名と一緒に、GWSに登録した顔画像などのアイコンが表示されると思います。あれを公式な会社ロゴにすることで…メールの信頼性を上げるという仕組みです。

正式なBIMIを設定するには、VMC認証が必要です。VMC認証とは

会社のロゴを指定フォーマットのSVGファイルにして、TLS付きのWebサーバーに公開されていなければならない
そもそも会社のロゴが登録商標でなくてはならない
ロゴが正しいものか証明する高額なVMC証明書を購入しなくてはならない

という制限があります。１は良いとして…3あたりが…完全に廃れた感じに見えるEV-SSLの商売を思い出させる感じ（一般人が知らないと意味のないセキュリティ基準なのに一般人どころか業界人も理解していないのが多数派）で、頑張らなくて良い気がしています。とはいいつつ、試しに自社のロゴを商標登録してみました。証明書の値段が現実的になったら、証明書の設定もやってみようかと思います。

とはいえ、BIMI認証条件に「DMARCが100%チェックの上、ポリシーがreject」である…つまり「なりすまし対策が終わっている証明」とも言えるので目指すべきかと思います。

このBIMIのSVG作りですが…地味に面倒なので…別記事で解説します。

専用のSVGが完成して公開できれば…あとはこんな感じでDNSレコードを追加したら完成です。

セレクタ（ホスト名）は「dfault._bimi」固定です。値の「l=」の後に、BIMI用に作ったSVGの公開URLを入れます。ちなみにVMC証明書を買った場合は、同じく証明書を公開して、「;a=https://…」という感じで証明書の公開URLを指定します。

ここまで来れば、94%クリア達成です！

更なるセキュリティ強化

今後、このような対策を真面目にやる会社が増えてくると思います。SIerに自前のメールサーバー任せているような会社は「DKIMのモジュールをインストールするのに500万円」とか言われて断念する…なんてあったかと思いますが、当たり前のようにDKIM対応しているSaaSを使うのが一般的になっています。昨今の流れでも

「DMARCまではやったけど、まだ怖いからポリシーはnoneのまま」

という会社も多いと思います。Google WorkspaceのGmailの設定には「SPFやDKIMの対応状況によって、迷惑メールフォルダ行きにしたり、ブロックしたりする」機能もあります。今後はDMARCポリシーをnoneにしていても…受信側が自衛のため拒否するケースが出てくると思われます。

管理者としては、これらの仕組みを正しく理解して…業界動向を注視していく必要があるかと思います。