メールセキュリティを手掛けるTwoFiveは6月21日、メール送信元が正規のものであるかを認証する「DMARC」での膨大なXML形式の認証結果情報(DMARC レポート)を集計・可視化、解析するクラウドサービス「DMARC / 25 Analyze」を開始した。実在する企業などになりすました不正メールへの対策を支援する。
DMARC(Domain-based Message Authentication, Reporting & Conformance)は、メール送信者の身元を判別するためにメールドメインを認証する送信ドメイン認証技術の1つ。「DMARC / 25 Analyze」では、Webベースの分かりやすいレポートを提供する。
送信ドメイン認証とDMARCの仕組み
同社によれば、メール送信者を認証する技術で普及しているSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)は、認証に失敗した場合に、なりすましメールなのか、何らかの技術的な問題が発生しているだけなのか判断することが難しいケースがある。そのため、受信するべき正しいメールを受信できなくなる可能性があり、認証に失敗したなりすましの可能性のあるメールでも、多くの場合は受信拒否や破棄をしない運用がなされている。また、正しいメールであるにもかかわらず認証に失敗してしまった場合、送信者側がその原因となる問題を発見する方法が標準では備わっていない。
DMARCは、SPFやDKIMで認証に失敗したメールを受信側がどう扱うべきかのポリシーを、送信側(ドメイン管理側)で「動作を指定しない」「隔離する」「拒否する」というように設定できる。このため、認証に失敗したメールを「不正メール」と断定して適切に破棄でき、ドメイン認証設定の正当性を確認し、配信したメールの状況を把握できるよう、受信側の認証結果をDMARCレポートとして送信者が受け取ることができる。
DMARC / 25 Analyzeは、こうしたDMARCによる認証の結果をレポートとして集計したり、集計結果を分析してグラフなどで可視化したりできる。ライセンス購入や設備投資は不要で、簡単な設定だけですぐに使用を開始できるとしている。
なりすまし検知では、集計したレポートから、「第三者がなりすまして送った可能性の高いメール」「認証に失敗しているが、転送された正規のメールである可能性が高いメール」「送信者は正規のユーザーの可能性が高いが、何らかの技術的な問題で認証に失敗している」「DMARCの認証に成功している」のいずれかに分類する。
送信ホストの解析では、メールを送信したホストの情報をグラフィカルなユーザーインタフェース(GUI)で、「ホスト名」「RBLチェック」「メール送信数」「ホストの地理情報」「Whois情報」などの項目にドリルダウンして表示する。
また、なりすましを検知した場合、現在GUI上で警告する機能を有しているが、今後はこれに加えて、各種公開されているReal-time Blackhole List(RBL)の運用者に対して、継続的になりすましメールを送信しているホストの情報を共有するブラックリスト連携や、各種迷惑メールフィルターの提供者に対して、継続的になりすましメールを送信しているホストの情報を共有するセキュリティベンダー連携なども提供していく。さらに、継続的になりすましメールを送信しているホストへ、メールや電話を実施してなりすましメールの送信停止を要求したり、公的機関との連携も図っていく。
