LinuxServer　電子メールについてもう一度…　送信ドメイン認証

teachers

LinuxServer　電子メールについてもう一度…　送信ドメイン認証

送信ドメイン認証

前回、メールを送信するユーザを認証する事で、メールサーバを不正に
利用させない為の技術について、説明しました。

メールサーバはメールサーバ同士でも通信を行いますが中には悪意を持った
怪しいサーバもいます。

また、メールではFrom:アドレスが簡単に詐称出来る事により、
迷惑メールのほとんどが本来のメールアドレスから送られてきません。

全く無関係なアドレスや存在しないアドレスからのメールを排除して、
送信メールのアドレスとドメインと送信メールサーバが
正しい事を証明する技術が送信ドメイン認証事です。

送信ドメイン認証の技術は大きく二つあります。

一つは、送信メールサーバのIPアドレスを確認し、正当なサーバから
送られているかをチェックするもので、SPFとSenderIDと二つの物が有ります。

もう一つは、送信メールの内に電子署名を挿入し、署名の正当性を
チェックするものです。こちらはDomainKeysとDKIMという二つの技術が有ります。

SPFとSenderID

送信ドメイン認証（SPF/SenderID）とは、メールが、正しいメールサーバから
送信されたかを認証する技術です。

送信者は予め、送信メールサーバのIPアドレスをDNSで公開しておきます。
これをSPFレコードと呼びます。

メールを受信したサーバは送信元アドレスのドメインからDNSを使用して、
SPFレコードを参照し、送信元IPアドレスを照合します。

SPFではSMTP通信におけるMAIL FROMのアドレスからドメインを認識します。

一方、SenderIDでは、ヘッダーに記載された情報からこの送信に最終的に
責任があると読み取れるアドレス（*）からドメインを認識し、
そのドメインのDNSからSPFレコードを参照し、正当性を確認します。

*PRA「最終的に責任があると読み取れるアドレス」（Purported Responsible Address）と言います。

DomainKeysからDKIMへ

DomainKeysはヤフーが提案した送信ドメイン認証技術で、メールの本文と
ヘッダの一部を含めて電子署名を作成します。この電子署名を送信メールの
ヘッダに付与して送信します。

送信者側では予め、DNSにて送信ドメインの公開鍵を設定します。

受信側でメールを受け取ると、送信ドメインのDNSに公開鍵を問い合わせ、
受信メールについた署名の正当性をチェックします。

その後、ヤフー、シスコシステムズ、Sendmail、PGPが共同でDKIMという
送信ドメイン認証の技術を提案しました。

DomainKeysとDKIMの違いはDomainKeysはドメイン単位での認証に対し、
DKIMは送信者アドレス単位で認証を行うことも可能です。

また、DominaKeysでは認証に失敗したり、電子署名がない場合、何もせずに
受け取ってしまいますが、DKIMではSSP(Sender Signing Practice)という、
メールに、電子署名が付与されていない、または付与された電子署名に問題が
有った場合にどのように扱うか、手順を明確に定義した情報を設定します。

DKIMとDomainKeysの間に互換性は有りませんが、DomainKeysからDKIMへの移行は
スムーズにできるように考えられてます。