(この記事は 2015 年 1 月 20 日に Office Blogs に投稿された記事 Enhanced email protection with DKIM and DMARC in Office 365の翻訳です。最新情報については、翻訳元の記事をご参照ください。)
今日、スプーフィングによる攻撃は、スパム メールの増加やフィッシング攻撃の激化につながるおそれがあり、多くの企業でその対策が問題となっています。Office 365 では、スプーフィングのリスクを軽減してクライアントの安全性を高めるために、受信したメールに対する IPv4 の DomainKeys Identified Mail (DKIM) と、ドメインに基づくメッセージの認証、報告、および適合 (Domain-based Message Authentication, Reporting and Compliance、DMARC) による検証に対応しました。この技術はどちらも、送信元が認証済みの信頼できるものであるかを確認し、認証に失敗した信頼できない送信元を識別する際に役立ちます。なお、Office 365 の各メールボックスに個別にフィルターを適用できる Exchange Online Protection (EOP) では、既に IPV6 での受信時の DKIM がサポートされています。今回追加された機能により、Office 365 ではお客様のブランドを保護する能力が強化され、より安全に使用できるようになります。
それでは、新機能について詳しくご説明しましょう。
ドメインに基づくメッセージの認証、報告、および適合 (DMARC)
DMARC は電子メールのスプーフィングに対抗する技術で、フィッシングの防止にも役立ちます。DMARC は、5322.From のメール アドレス (Outlook や Outlook.com などの電子メール クライアントで表示されるアドレス) を使用してスプーフィングを実行するフィッシング攻撃者に対し、特に有効です。5321.MailFrom のメール アドレス (バウンス メッセージの転送先として使用されるアドレス) が使用されたスプーフィングには Sender Policy Framework (SPF) が効力を発揮しますが、DMARC ではより高度な詐欺行為に対応できます。
金融機関を装ったフィッシング メールが DMARC により阻止された例
DMARC は、SPF と DKIM の両方を評価し、いずれかのドメインが 5322.From のアドレスと一致するかどうかを確認することにより、ユーザーを保護します。上記の例では、攻撃者が使用した phishing.com ドメインは SPF のチェックを通過しましたが、5322.From アドレスの woodgrovebank.com ドメインと異なっていたため、DMARC のチェックを通過しませんでした。
DMARC のチェック結果は Authentication-Results ヘッダーにスタンプされます。
Authentication-results: protection.outlook.com; spf=pass
(sender IP is xx.xx.xx.xx) smtp.mailfrom=phish@phishing.com
dkim=none (message not signed) header.d=none; dmarc=fail
action=quarantine header.from=woodgrovebank.com;
Office 365 はこの DMARC の結果を利用してメッセージをスパムとしてマークし、ユーザーの保護を強化します。詳細については、Office 365 での DMARC の利用について取り上げたこちらのブログ記事 (英語)をお読みください。
DomainKeys Identified Mail (DKIM)
DKIM では署名ドメインを所有する人物やロール、企業に許可を付与し、メッセージとドメインを関連付けることで、メッセージに対する責任の所在を明らかにします。送信者はメッセージの DKIM-Signature ヘッダーにデジタル署名を挿入し、これを受信者が検証に使用します。DKIM を使用するとドメインの評価を決定することができます。これは、電子メールを確実に配信し、送信元がなりすましと判定されないようにするうえで重要な役割を持っており、電子メールの保護において不可欠な要素です。Office 365 では、これまで IPv6 で送信されたメッセージに対して DKIM がサポートされていましたが、新たに IPv4 もサポート対象となりました。
DKIM の検証結果は Authentication-Results ヘッダーに記録されます。たとえば、DKIM-Signature ヘッダーの d= の部分に記載された署名ドメインが d=example.com である場合、次のようになります。
Authentication-Results: spf=pass (sender IPis1.2.3.4)
smtp.mailfrom=user@example.com; contoso.com; dkim=pass (signature was verified) header.d=example.com;
メッセージが DKIM の検証に合格しない場合、dkim=fail となり、かっこ内にはその理由 (本文のハッシュが無効、キーのクエリがタイムアウトした、署名のキーが存在しないなど) が記載されます。
Office 365 では、メッセージを受信したときに DKIM の署名を検証します。しかし、(ユーザーの受信トレイに届いたとき、オンプレミスのメール サーバーに中継されたとき、ポリシー ルールにより BCC として送信されたときなどに) メッセージがスキャンされると、その後通過する電子メール サーバーが再検証しようとしても、メッセージの一部が Office 365 により変更されているため、既存の DKIM-Signature ヘッダーが検証されることはありません。次期リリースの Exchange Online Protection では、この処理を変更する予定です。
DKIM の詳細については、RFC 6376 (英語)および dkim.org (英語)を参照してください。
デジタル署名が添付されたメッセージ
上記の 2 つの機能は、現在順次展開中であり、2015 年の第 1 四半期末までにはすべての皆様に適用される予定です。この機能により、Office 365 に対するフィッシングとスパム メールが減少し、サービスをいっそう快適にご利用いただけるようになります。さらに、マイクロソフトは引き続き Exchange Online Protection (EOP) の新機能の開発に取り組み、安全性を強化してまいります。
—Terry Zink (Office 365 チーム、プログラム マネージャー)、Shobhit Sahay (同チーム、テクニカル プロダクト マネージャー)