Internet Infrastructure Review（IIR）Vol.31
2016年6月13日

図-6のDKIMの認証割合では、「none」以外の導入割合は20.1%でした。同様に前回からは8.5%伸びており、もともと送信側の導入にコストがかかるDKIMの導入率は低かったわけですが、それでもこちらも少しずつ導入割合が伸びていることが分かります。これらSPFあるいはDKIMを導入していることが、DMARC導入の前提となるのすが、図-4に示したとおり、DMARCでの認証ができなかった「none」以外の割合、すなわちDMARCの導入割合は、13.1%です。DMARCは、SPFあるいはDKIMを導入していれば、"_dmarc"サブドメインのTXT資源レコードにDMARCレコードを記述するだけで導入できますので、SPF及びDKIMより導入割合が低かったということは、まだDMARCに対する認知度が低いと考えられます。今後も、DMARCの利点及び導入方法について働きかけを行う必要があると考えます。

もう1つ、図-4のDMARCの認証割合で特徴的なのが、認証結果「fail」の割合が4.6%と高いことです。メールの転送時に認証が失敗しやすいSPFでは、予めそうした事象が想定される場合に「softfail」とやや弱めの失敗結果となるようにSPFレコードを宣言する傾向があります。そのため、SPFで「softfail」となる割合が13.4%と多いことは想定可能です。しかしながら、SPFでより強い認証の失敗結果である「hardfail」の2.4%、DKIMの「fail」の0.7%と比べると、DMARCの認証失敗だった4.6%はとても高い割合と言えます。この要因については、次節で分析します。

DMARCでは、SPFあるいはDKIMのどちらかの認証が成功した場合に、メールの「From：」ヘッダ上のドメインがDMARCレコードを宣言していた場合に、DMARC認証が評価されます。つまりDMARCの認証結果が「pass」であった、ということは、そのドメイン（RFC5322.From）とSPFあるいはDKIMで認証したドメインが一致あるいは関連のあるドメインで、SPFあるいはDKIMの認証結果のどちらかが「pass」であった、ということになります。そこで、DMARC認証が「pass」であった場合の、その要因について分析してみました。結果を図-7に示します。

DMARCが「pass」のときに最も多いSPFとDKIMの認証結果のパターンは、両方とも「pass」だった場合で、その割合は69.8%でした。つまり、DMARCレコードを宣言していて、正しくDMARC認証が「pass」するドメインの多くは、SPFとDKIMを共に導入しているドメイン、ということが分かりました。SPFとDKIMのどちらか一方の認証が失敗している、あるいは導入していない場合で、そのもう一方が「pass」だったためにDMARCとしては「pass」だった場合は、SPFが「pass」だった割合の方が多く、20.0%でした。DKIMだけが「pass」だった割合はそのおよそ半分で10.2%でした。SPFの普及率の高さが、そのままDMARC認証の「pass」の結果に結びついた、と考えられます。

今度は、DMARCが「fail」したときに最も多いSPFとDKIMの認証結果のパターンを図-8に示します。

DMARCが「fail」したときに、最も多いSPFとDKIMの認証結果のパターンは、SPFだけで認証し（DKIMは「none」）そのSPFの認証結果が「fail」だった場合です。逆に、DKIMだけの認証結果を利用した際、DKIMの認証結果が「fail」だったためにDMARCも「fail」となってしまった場合は、0.6%と非常に低い割合となりました。これもSPFとDKIMの普及率の違いと、DKIM認証の堅牢さを示した結果と考えられます。SPFとDKIMの両方が「fail」するパターンは、0.7%と低い数値でした。これらのことから、DMARCの認証失敗を防ぐためには、DKIMを導入することが有効である、ということが分かりました。

DMARC認証失敗要因の割合の中で、「DMARC」と示された10.6%は、SPFあるいはDKIMで認証したドメインとDMARCで認証するRFC5322.Fromのドメインが一致しないことにより、DMARCとして認証が「fail」してしまった割合です。これが、SPFやDKIMでの送信者情報を詐称してRFC5322.Fromだけを詐称元のドメインとしている場合であれば、正しく詐称が見破られた好例となります。しかし、もしこれが正規の正しいメールが「fail」しているとすれば、せっかくSPFあるいはDKIMを導入し、DMARCレコードを宣言しておきながら、認証するドメインが異なるために「fail」してしまう残念なケースと言えます。こうしたケースの中には、メール配送を他の事業者に委託しており、SPFあるいはDKIMの認証ドメインが、それら委託先のドメインで認証されることによるドメインの不一致が原因としてあるようです。私が受信したメールの中でも、大手銀行などから送られるメールマガジンなどが、このケースでDMARC認証が失敗しているものがありました。メールの送信者情報は、メールの送信元を示すものなので、SPFやDKIMで利用するドメインも、正しく送信者のドメインとして分かりやすいように利用すべきではないでしょうか。

図-8で示される「none」の割合の意味は、SPFとDKIMの両方の認証結果が「none」であるにも関わらず、DMARCとして認証結果が「fail」となったパターンです。これも、DMARCとして詐称が判断できたのであれば良いのですが、そうではないパターンもあるようです。詳しく調べると、DMARCの特徴である、RFC5322.Fromのドメインは、その上位ドメインも同じ組織のドメインとして扱うという「Organizational Domain」という仕組みも起因しているようです。つまり、送信しているメールがSPFとDKIMの両方に対応していないが、ヘッダ上のRFC5322.Fromドメインの上位ドメインがDMARCレコードを宣言していることで、DMARCとして認証しようとして、その結果「fail」となってしまう、ということです。ドメインの管理者としては、DMARCレコードを宣言する場合には、そのサブドメインも含めてSPFあるいはDKIMの設定もすることをお勧めします。