メッセージ認証の仕組み

メッセージ認証は、メールが正規の送信元から発信されているかどうかを検証する機能です。

このトピックでは、Sophos Email Security が不正なメールからユーザーを保護するために使用するメッセージ認証タイプについて説明します。

さまざまなシナリオでのチェックの実行順序の詳細は、メッセージ認証の処理順序を参照してください。

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) は、DKIM と SPF の両方を用いてメールの真偽を検証します。

送信元は、受信者に DMARC の実行と、DMARC 認証が失敗した場合の処理を指示する DMARC レコードを生成します。

メールを受信すると、Sophos Email Security で DNS チェックが実行され、メールの「From」(ヘッダ) アドレスで指定されているドメインの DMARC レコードが検索されます。DMARC レコードには、受信側 (ここでは Sophos Email Security) に DMARC を確認することと、DMARC の認証に失敗した場合にメールをどう扱うかが記述されています。DMARC の認証に失敗したメッセージに対する Sophos Email Security のデフォルトのオプションは、「送信元ポリシーに準拠」です。これは、DMARC レコードで定義されている内容に従ってメールを扱うことを意味します。「From」アドレスで指定されているドメインは、SPF レコードおよび DKIM レコード内の情報と照合され、ドメインが一致するかどうか検証されます。メッセージが DMARC のチェックを通過するには、SPF または DKIM の検証およびアラインメントのチェックを通過する必要があります。

• SPF の場合、「MAIL FROM」(エンベロープ) のアドレスが、SPF レコードに記述されている IP アドレスまたはサブネットの 1つと一致する必要があります。その後、DMARC により、「MAIL FROM」アドレスと、「From」アドレスの照合が行われ、両方が一致するかどうかが確認されます。
• DKIM の場合、署名の検証のほか、「From」アドレスで指定されているドメインと、DNS レコードで指定されている署名の作成に使用されたドメインが一致することが必要となります。

詳細は、DMARC を参照してください。

SPF

SPF (Sender Policy Framework) は、受信するメールが送信ドメインの管理者が許可した IP アドレスまたはホストから送信されたものかどうかを検証する技術です。

送信元は、そのドメインを送信元としてメールを送信してもよいホスト、IP アドレス、サブネットを指定した SPF レコードを作成します。

Sophos Email Security は、メールを受信すると、送信メールサーバーのアドレスを SPF レコード内の承認された送信者と比較します。これらが一致しない場合、SPF チェックは失敗します。

SPFを参照してください。

DKIM

DKIM (DomainKeys Identified Mail) は、メールのドメイン名に関連するデジタル署名を検証することによりメール認証を行う技術です。

送信元は、メールのヘッダや本文など署名を作成する箇所を指定し、その箇所のハッシュを生成するようメールサーバーを構成します。生成されたハッシュはプライベートキーを用いて暗号化されます。また送信元は、署名の復号化に使用する公開鍵を含む DKIM レコードも公開します。

Sophos Email Security は、DKIM 署名が追加されているメールを検出すると、DNS ルックアップを実行し、送信元ドメインと関連する DKIM レコードを検索します。公開鍵を使用して、デジタル署名をハッシュ値に復号化します。その後、署名が追加されている元のメッセージの要素を取り出してハッシュ値を生成し、復号化したハッシュ値と比較します。これらが一致しない場合、DKIM チェックは失敗します。

詳細は、DKIM を参照してください。