⚖️ SPF・DKIM・DMARCの比較まとめ ― メール認証の三本柱
🌟 はじめに
迷惑メールやフィッシング詐欺は、メール利用者にとって長年の大きな脅威です。その防御のために登場したのが SPF・DKIM・DMARC という3つの仕組み。これらは単体では不十分ですが、組み合わせることで「正規の送信者からのメール」であることを高い信頼度で保証します。本記事では、それぞれの役割と特徴を比較し、導入の意義を整理します。
🧩 三本柱の概要
✉️ SPF(Sender Policy Framework)
-
役割:送信サーバーのIPアドレスが正規かを検証。
-
仕組み:ドメインのDNSにSPFレコードを登録 → 受信サーバーが送信元IPと照合。
-
強み:設定が比較的簡単。なりすまし送信を大幅に削減。
-
弱み:転送に弱い。Fromヘッダ偽装は防げない。
🔑 DKIM(DomainKeys Identified Mail)
-
役割:メール本文とヘッダの改ざん検知+署名ドメインの保証。
-
仕組み:送信サーバーが秘密鍵で署名 → DNSから公開鍵を取得して検証。
-
強み:転送に強い。改ざん検知が可能。
-
弱み:From偽装そのものは防げない。メーリングリスト改変で署名が壊れる場合あり。
📬 DMARC(Domain-based Message Authentication, Reporting & Conformance)
-
役割:SPFとDKIMの検証結果を統合し、Fromドメインと一致するか確認。さらにポリシーを指定できる。
-
仕組み:DNSにDMARCレコードを登録 → 受信サーバーがSPF/DKIMの結果とFromを照合 → ポリシー適用。
-
強み:ユーザーが見るFromドメインを保護できる。レポート機能あり。
-
弱み:正規サービスを含めた送信経路全体の整備が必要。設定を誤ると正規メールも拒否される。
📊 比較表
| 項目 | SPF | DKIM | DMARC |
|---|---|---|---|
| 検証対象 | 送信サーバーIP | メール本文+ヘッダ | Fromドメイン+SPF/DKIM結果 |
| 認証方法 | DNSレコード(IPリスト) | 公開鍵暗号方式(電子署名) | DNSレコードでポリシー指定 |
| 強み | 簡単・導入しやすい | 改ざん防止・転送に強い | From偽装防止・ポリシー制御 |
| 弱み | 転送に弱い・From偽装に無力 | ML改変で署名無効化 | 設定難易度高・正規メール誤拒否リスク |
| ユーザーが守られる範囲 | サーバーレベル | メール内容の整合性 | 表示される差出人(From) |
🛡️ 使い分けと組み合わせの意義
-
SPFのみ:導入が簡単だが、転送やFrom偽装に弱い。
-
DKIMのみ:転送に強いが、From偽装には対応できない。
-
DMARCのみ:SPF/DKIMがなければ機能しない。
つまり、3つは車の両輪とハンドルのような関係。
-
SPF=正規ルートを走っているか確認
-
DKIM=荷物(本文)が改ざんされていないか確認
-
DMARC=正しい運転者(From)かどうか最終判断
✅ まとめ
-
SPF:送信サーバーの正当性を検証する。
-
DKIM:電子署名で改ざん防止とドメイン認証。
-
DMARC:Fromアドレスを守り、ポリシーで受信側に指示を出す。
-
三者を組み合わせて初めて、ユーザーが目にする差出人情報を正しく保護できる。
-
現代のメールセキュリティは、SPF+DKIM+DMARCの三本柱をセットで導入するのが基本戦略。