パイプドビッツのPaaS「スパイラル」、迷惑メール対策「DMARC」に対応へ

　株式会社パイプドビッツは21日、情報資産プラットフォーム「スパイラル」で迷惑メール対策技術「DMARC」をサポートすると発表した。2月10日に対応する予定。

　DMARC（Domain-based Message Authentication Reporting and Conformance）は、迷惑メール対策技術の1つ。「ドメインに基づくメッセージの認証、報告、適合」の名の通り、既存の送信ドメイン認証技術（SPF、DKIM）を利用したメッセージ認証のほか、受信者側での認証結果を送信者（ドメイン所有者）にフィードバックし、なおかつSPF/DKIMのどちらの認証にも失敗したメールを、受信者側はどのように処理すればよいかを送信者が定義できるのが特長。具体的には以下の通り。

　SPF/DKIMでは、そのメールが認証に成功・失敗したかはメール受信者側のみが認識し、認証結果を送信者側は把握できないのが一般的だ。そのため、送信者側の設定に何か技術的問題があり認証に失敗していた場合、それに気がつきにくく改善が難しいという課題がある。同時に受信者側では、認証失敗メールがなりすましなのか、技術的要因により失敗したのかの判断は難しく、認証結果を有効活用できないことも考えられる。

　そこで、DMARCは送信者側に受信側の詳細な認証結果を報告するとともに、送信者側で認証失敗メールの処理ポリシーを段階的に定義できる仕組みを備える。送信者はレポートを通じてメールの認証頻度、無効なメールの識別頻度、IPアドレスごとの要求・実行されたポリシーの対処などの詳細が分かり、認証結果だけではなく、どのメール送信者が自分のドメインでメールを使っていたかを把握できる。それらの情報を基に、ポリシーの最適化が可能となり、たとえば導入当初のポリシーは「何もせず通す」として、認証頻度の高まりとともに「隔離」「拒否」へとポリシーを強めることで、なりすましメールの排除や送信者の信頼性を高めていける。

DMARCの仕組み

　米国では、2012年1月にGoogle、Microsoft、AOL、Yahoo!などのメールサービス事業者を始め、Bank of America、PayPalなどの金融機関、Facebook、LinkedInなど15の事業者が、フィッシング撲滅をめざしたワーキンググループ「DMARC.org」を立ち上げ、普及啓発に取り組んでいる。

　DMARC.orgの活動報告では、DMARCが米国内のメール受信箱の80％をカバーするに至ったことや、2013年の年末商戦でPayPalのなりすましメール2500万通を排除できたこと、1日に1億1000万通程度あったTwitterのなりすましメールの99.999％を排除できたことなど、高い成果が証明されている。国内でも大手ISPがDMARC対応を発表するなど、今後の普及が見込まれているという。

　PaaSサービスである「スパイラル」では、2010年12月にリリースした「バージョン1.10.29」にてDKIMに完全対応し、メール配信機能から送信されるすべてのメールをDKIM署名付きにしたほか、署名設定の整合性を事前検証し、配信設定時に操作画面で分かりやすく信号で表示する機能を搭載した。

　今回、この送信ドメイン認証の事前検証機能に、DMARCの検証機構を追加。今後、DMARCの普及が想定される金融機関や官公庁などがDMARC対応した際も、配信時に事前検証することで、安心して「スパイラル」からメールを配信できるとしている。