変更履歴
- Rev. 0.7 : 2025年04月17日
- 新規作成
1 はじめに
本記事は、受信メールのヘッダー“Authentication-Results”に記載されている
“DMARC”の認証結果を見て、迷惑メールなのか、そうでないのかを確実に判別して、
迷惑メールと判定すれば隔離する方法を示すものです。
メールヘッダー“Authentication-Results”には、
SPFや
DKIM、
DMARCの
送信ドメイン認証の結果が記載されます。
これらがエラーになっているメールは、ほとんどが送信ドメインを詐称した迷惑メールなのです。
メールヘッダー“Authentication-Results”の認証結果を
メールソフトの仕分けやメッセージフィルター機能で見るようにすれば、
迷惑メールなのか、そうでないのかを明確に判別できて、
迷惑メールを容易に隔離することができるようになります。
今まで(2025/04)、OutlookやThunderbirdでは、
任意のメールヘッダー項目を見てのフィルタリングはできないものと思っていました。
でも、実はできていたのですね。
悩まされた迷惑メール、多くはフィッシングメールなのですが、
これで簡単に除外することができるようになりました。
この方法を皆様と共有したく、この記事を起こしました。
もっとも、最近(2024年頃から)はフィッシングメールであっても、
SPFやDKIM、DMARCをきちんと設定しているのが多くなってきています。
“Authentication-Results”をを見て迷惑メールをフィルタリングするだけでは、
あまり効果が感じられないのかもしれません。
それでも、稚拙な作りの迷惑メール(脅しで金銭を要求していて、この手のメールって、
ホントはイヤガラセの方が目的なのかも、って思ってしまいます)は除外できており、
多少の効果はあると思っています。
本記事を読まれる方は、SPF、DKIM、DMARCについては既によくご存じのことと思います。
今更説明を聞く必要は無いものと思われますので、通常の構成とは異なり、
これらの説明については、記事の最後に示すことにしました。
2 メールソフトでのフィルター設定
本章では、Outlookの仕分け機能、Thunderbirdのフィルター機能で、
『DMARCを見て、ドメイン認証に失敗していないかを確認する』設定を示します。
どちらも、下に示す「ヘッダーに次の文字列のいずれかが含んでいる」ことを条件として、
フィルタールールを設定するものです。
なかには、DMARCポリシーが“none”に設定されているドメインがあります。
このドメインからのメールは、SPF、DKIM認証に失敗していても、
“dmarc=pass”とされてしまうことが考えられます。
念のため、次の文字列条件も加えておいた方が良いのかもしれません。
2.1 Outlook
1. 「仕訳ルールと通知」画面を開く
下に手順で、「仕分けルールと通知」画面を開きます。
トップメニュー「ファイル」⇒「仕分けルールと通知」
2. 「自動仕分けウィザード」を開く
「新しい仕分けルール」か、既存の仕分けルールの「仕分けルールの変更」を選んで
図2.1-3に示すような「自動仕分けウィザード」を開きます。
2.2 Thunderbird
1. メッセージフィルター・ウィンドウを開く
対象のメールアカウントを選択します。
右ペイン(pane)に図2.2-1に示すように表示されますので、
「メッセージフィルターを管理」を選択します。
2. 新規フィルター作成、または既存のフィルターを変更
新たにフィルターを作成するか、既存のフィルターを編集し直すかを選択します。
3. 条件項目を新しく作成する
まず、既存のルール右端の「+」をクリックして、新しい条件入力行を追加します。
新しい入力行左端の項目名をクリックして、ダウンロードメニューを表示します。
その中から、「カスタムヘッダー…」を選択します。
4. メールヘッダー項目名を入力する
図2.2-4において、
メールヘッダー項目名の“Authentication-Results”を追加します。
5. “Authentication-Results”項目にフィルタールールを設定する
“Authentication-Results”に「に次を含む」とし、
下に示す文字列を1行ずつフィルター文字列を設定します。
“dmarc=fail”
“dmark=none”
“spf=fail”
“dkim=fail”
“spf=softfail”
“spf=none”
“dkim=none”
3 メールヘッダー“Authentication-Results”の見方
次の3つは、メールのドメイン認証における重要な技術です。
・ SPF(Sender Policy Framework)
・ DKIM(DomainKeys Identified Mail)
・ DMARC(Domain-based Message Authentication, Reporting & Conformance)
これらの技術は、スパムやフィッシング攻撃を防ぎ、
メールの信頼性を向上させるために不可欠なものなのです。
3.1 SPF、DKIM、DMARCとは
まずは、SPF、DKIMM、DMARCについてから。
3.1.1 SPF(Sender Policy Framework)
SPFは、
送信者のドメインがどのIPアドレスからメールを送信することを
許可しているかを定義する仕組みです。
ドメインのDNSレコードにSPFレコードを設定することで、受信側のメールサーバーは
送信元のIPアドレスがそのドメインの許された送信者リストに含まれているかを確認できます。
これにより、なりすましメールのリスクを効果的に軽減します。
DNSに設定するSPFレコードの詳細については、
もし興味がおありであれば下に示すページをご覧いただければと思います
(本ブログ初期のものなので、読みやすいとは言えません)。
なりすましメール対策「SPF」 | すたっくおーばーふろー
3.1.2 DKIM(DomainKeys Identified Mail)
DKIMは、
メールの内容にデジタル署名を付与することで、メールが改ざんされていないことを
確認する技術です。
送信者のドメインはメールに署名を付け、その署名を受信者が検証します。
これにより、受信者はメールがそのドメインから送信されたものであるかを確認できます。
受信メールのDKIMデータの見方については、下に示すページで示されています。
【DKIM】送信ドメイン認証DKIMデータの見方 | すたっくおーばーふろー
3.1.3 DMARC(Domain-based Message Authentication, Reporting & Conformance)
DMARCは、
SPFとDKIMを組み合わせて、メールの認証結果に基づいて受信者が
どのようにメールを処理するかを指定するポリシーを提供します。
送信側ドメインでDMARCを設定すると、メール受信者に対しSPFやDKIMの
検証に失敗したメールの取り扱い(受信拒否、隔離、または通常通り受信)を設定する
ことができます。
ドメインが詐称された場合、そのメールを(受信拒否、隔離、または通常通り受信)するのかを
ドメインオーナーが決めている、ということです。
(受信拒否、隔離、または通常通り受信)するのかは、受信側メールサーバーが行います。
メール受信者は、そのメールをどのように認証されたか結果を知るだけで、
格段何かをすべきことを示しているわけではありません。
3.2 メールヘッダー“Authentication-Results”
3.2.1 ヘッダー“Authentication-Results”とは?
“Authentication-Results”ヘッダーは、
メールが受信された際にメールサーバーが実行した認証プロセスの結果を記録したものです。
このヘッダーには、次のような情報が含まれることが一般的です。
SPF(Sender Policy Framework)
送信元のIPアドレスが、
ドメインのSPFレコードに基づいて許可されているかどうかを示します。
DKIM(DomainKeys Identified Mail)
メールの内容が改ざんされていないか、
送信者のドメインが正当であるかを確認するためのデジタル署名検証の結果です。
DMARC(Domain-based Message Authentication, Reporting & Conformance)
SPFおよびDKIMの結果を基に、メールがポリシーに準拠しているかどうかを示します。
以上
本記事の元となっているWordで作成したPDFを
ページ最後に貼り付けました。
少しでも役に立てていただければ、うれしく思います。
このPDFファイルは、自由に配布されてもかまいません。
ただし、再配布の際には、
入手元と著者名は明らかにしてください。
なお、上のPDFファイルの内容、また本文中の記述に、
誤字や脱字、誤った内容の記述など見つかりましたら、
下に示すフォームでご連絡いただければ幸いです。
