＜全4回＞迷惑メールと判定される要因とは～②なりすましメールと判定されている

2022年10月7日 11:33

配信したメルマガが「迷惑メール扱いされてしまう」といったことはありませんか？
ユーザーとのコミュニケーションツールであるメールですが、ユーザーにきちんと届いてメールを見てもらえなければ意味がありません。

そこで今回は、迷惑メールと誤判定される主な要因と迷惑メールと判定されないための対処方法を全4回にわたって解説していきます。

【迷惑メールと判定される主な要因】
①メール配信環境が適切ではない
②なりすましメールと判定されている（イマココ）
③配信方法・運用方法に問題がある
 ④メールコンテンツに問題がある

なりすましメールとは

なりすましメールとは、送信者情報やメールサーバの配送経路情報を偽装して、送信されているメールのことを言います。

悪意ある第三者が、企業や団体・有名なwebサービスになりすまし、本文中のURLから不正サイトに誘導したり、添付ファイルからウイルスに感染させるなどして、個人情報や機密事項を盗み取ることを主な目的としてなりすましメールが多く送信されています。

「第三者ログインされています」「クレジットカード情報を更新してください」「アカウントを停止します」といった不安を煽ったり、緊急を装ったりして、メールの開封やURLをクリックさせるような内容のメールが最近増えてきています。

見に覚えのないメールは開封せずに削除がベターです！

なりすましメールの仕組み

郵便では、手紙を送るとき封筒と便箋の両方に宛先や差出人を記載しますが、封筒に記載された宛先を元に配達されますよね。

電子メールでも郵便と同様に、封筒に書かれた宛先や差出人にあたるエンベロープ情報のエンベロープToを元にメールを配送します。便箋に書かれた宛先や差出人にあたるヘッダー情報はメールソフト上で表示され、メール配送時には利用されない情報です。

■Envelope
封筒に書かれた差出人：エンベロープFrom
封筒に書かれた宛先：エンベロープTo
■Header
便箋に書かれた差出人：ヘッダーFrom
便箋に記載される宛先：ヘッダーTo
Headerのメールアドレスがメールソフト上に表示される

なぜ差出人である送信元をなりすましすることが出来るのか？
メールの仕組みでは差出人にあたるヘッダーFromが簡単に書き換えられることができます。そして、エンベロープFromとヘッダーFromの情報が異なっていてもメール送信においては問題ないという仕組みを悪用して、送信元情報を偽装してなりすましメールが送信されています。

なりすましメール対策技術

なりすましメールの対策として、受信側のセキュリティでなりすましメールを検知しブロックしています。

正当なメールがなりすましメールと誤判定されないために、メール送信元が正規からのメールであることを証明する技術である送信ドメイン認証に対応することが推奨されています。

送信ドメイン認証を導入する

■SPF（Sender Policy Framework）

SPFは、送信元IPアドレスを用いて、送信元ドメインが偽装されていないかを確認し、正規のメールサーバから送信されていることを証明することができる認証技術です。

メール送信側は、DNS上に「このメールはこのメールサーバから送られます」という情報（SPFレコード）を送信元ドメイン名と送信IPアドレスを紐づけて登録します。

受信サーバ側では、エンベロープFromアドレスドメインとFromアドレスドメインに対してSPFレコードをチェックします。
そのため、送信に利用する全てのIPアドレスが登録されていない等、SPFレコードに不備があるドメインのメールは、受信側によってはなりすましメールだと判定される恐れがあります。

なりすまし判定されないために、エンベロープFromアドレスドメインとFromアドレスドメインに対してSPFレコードを登録しましょう。

SPFレコードの記述方法について、下記リンクのサイトによくある間違い例をまとめています。
コチラを参考にSPFレコードを正しくDNSに登録しましょう！

■DKIM（Domainkeys Identified Mail）

受信したメールが正当な送信者から送信された改ざんされていないメールであるかどうかをチェックすることができる電子署名方式の送信ドメイン認証です。

メールを送信する際に、メール送信サーバに配置した秘密鍵よりDKIM-Signatureヘッダを作成し、受信側がDNSサーバに登録された公開鍵と照合することで送信者のなりすましやメールの改ざんを検知できるようにする仕組みです。

引用：https://www.sendmagic.jp/glossary/dkim/

■署名の種類
・作成者署名
Fromヘッダに記載しているメールアドレスのドメインで署名する方式。
送信者ドメイン毎にDNSサーバに公開鍵を登録する必要があります。

・第三者署名
Fromヘッダのドメインと異なるドメインで署名する方式。
署名に使用するドメインのDNSサーバに公開鍵を登録する必要があります。メール配信サービスを利用している場合は、第三者署名方式が採用されるケースが多いようです。
※DMARCでは第三者署名方式の場合、認証に失敗する場合があるようです。

なりすましメール対策としてGmailなど一部のメールサービスでは、
DKIMの設定を推奨しています。

メール配信エンジンSENDMAGICでは、DKIM署名を付与したメール配信が可能です。DNSに登録する公開鍵情報を生成するツールもあります。
詳細はコチラ

■DMARC

(Domain-based Message Authentication, Reporting, and Conformance)

RFC 7489で標準化されている電子メールにおける送信ドメイン認証技術の一つであり、SPFやDKIMを利用したメールの送信者認証を補強する技術です。

SPF、DKIMを用いて送信元ドメインを認証する際に、認証に失敗したなりすましメールの疑いがあるメールの取り扱いは、受信側の判断に任せられています。そのため、認証に失敗したことやそのメールがどの処理されたかを送信者は把握することができません。

DMARCでは送信者認証に失敗した場合、どのようにメールを処理すればよいかを送信者が受信側に対してポリシーと呼ばれるレコードをDNS上で公開することで表明することができます。受信側は送信者のポリシーを参照し、それに基づいてメールをどのように取り扱うかを決定します。

■送信者認証に失敗したときのポリシー
・none　：何もしない
・quarantine　：隔離する
（基本的には迷惑メールフォルダーに振り分ける）
・reject　：受信拒否する
（認証に成功したメールのみを受信するようにする）

ポリシーをquarantine またはrejectに設定すると、第三者によるなりすましメールの被害を軽減することができ、自社ドメインの信頼性を高め、IPレピュテーションに良い影響を与える場合があります。

また、DMARCは認証結果のレポート機能があります。
レポート機能を活用すれば、メールの認証結果を把握することができ、ドメインが悪用されていないかなどをチェックすることも役立ちます。

GmailやYahoo、Outlookなど大手メールサービスなどでは、DMARCに対応していますが、現状日本ではDMARCの普及があまり進んでいない状況です。

ですが、なりすましメール被害が拡大していることから、なりすましメール対策としてSPF、DKIM、DMARCのドメイン認証を検証するための情報をDNSに公開しておくことが推奨されており、ここ最近はDMARCを導入する企業が増加傾向にあります。

※2023年7月24日：DMARCポリシー「none」の記載について修正いたしました

メールサービスでの認証結果の見え方

YahooやGmailでは、受信したメールのドメイン認証結果をわかりやすく表示されます。

Yahoo!メールから受信したメールの認証情報（YahooメールWEBブラウザ版）

認証が成功（PASS）したか失敗（エラー/FAIL）したかがひと目でわかるので、ユーザーが怪しいメールかもしれないと思ったときに認証結果を見ればそのメールをどう扱うかの参考にすることもできます。

送信ドメイン認証技術を応用した仕組み

■BIMI（Brand Indicators for Message Identification）

送信ドメイン認証をPASSした正規送信元からのメールをアイコン表示する等ユーザーが視認できるBIMIの展開も進んできています。

比較的新しい技術ですが、BIMIに対応する企業も増えてきています。（Yahoo!JAPANも2022/9導入）

尚、現在BIMIに対応しているメールソフトはGmail等で、Appleも2022年秋に対応予定としています。

その他にYahoo！メールではブランドアイコンの表示、ドコモメールでは公式アカウントに☑チェックマーク表示される独自の仕組みを提供しています。

・2022/11/9追記
Yahoo!メールでは、メール一覧画面になりすましの可能性があるメールを警告マークを表示する新機能が追加されました。
出典：メール一覧で、なりすましの可能性があるメールが見分けやすくなりました

BIMIに対応させることで、ユーザー側はひと目でなりすましメールではないと把握することができます。安心してメールを開封することができ、開封率UP等コンバージョンにいい影響を与えることも期待できます。

まとめ

紹介したなりすましメール対策に有効な送信ドメイン認証（SPF、DKIM、DMARC）に対応することで送信したメールが迷惑メールと判定されるリスクを回避することができます。

送信ドメイン認証に対応していないと、自社になりすましたメール被害のリスクもあるため、なりすましメール対策は重要です。

送信ドメイン認証はメールセキュリティを強化し、社会的な信用を高めることにも繋がり、円滑なメール配信をする上で欠かせないメール送信技術です。

SPF、DKIM、DMARCそれぞれ異なる技術を組み合わせて使うことでメールの信頼性をより高めることができるので、これらの送信ドメイン認証を導入いただくことを検討いただければと思います。

以上、迷惑メールと判定されている要因②なりすましメールと判定されているについての対策技術を紹介しました。
次回「③配信方法や運用方法に問題がある」に続きます！

本記事で利用した図の引用元はコチラです。
迷惑メール白書2021（発行：迷惑メール対策推進協議会）https://www.dekyo.or.jp/soudan/aspc/wp.html

メールが届かなくてお困りの場合はこちらのnoteを参考ください。
センドマジックの製品WEBページはこちら
YouTubeチャンネルもやっています！センドマジックチャンネル