企業責任としてのフィッシング対策:送信ドメイン認証の基礎知識 (4/4)
●正規化処理
MTAソフトウェアの中には、メールの配送中に改行を加えたり、ヘッダの一部を変更したりするものがある。正規化処理は、このような変化が署名の対象になったデータ(本文とヘッダ)に加わり署名が有効でなくなるのをなるべく防ぐために、予想される変化を無視できるようにデータを処理するためのものだ。
●DomainKeysでの送信者
DomainKeysでの送信者とは、ヘッダ上の送信者のことを示し、まず「Sender:」ヘッダの値を見る。「Sender:」ヘッダが存在しない場合は、「From:」ヘッダを参照する。どちらのヘッダも存在しない場合は、電子署名しない。
●DomainKey-Signature:ヘッダの書式
DomainKey-Signatureのヘッダは「tag=値;」を並べて構成する(表4)。注意点としては、送信者アドレス(From:ヘッダかSender:ヘッダの値)のドメイン部は、「d」に与えられるドメイン名と完全に一致するか、そのサブドメインでなくてはならない。これが異なる場合、受信側で認証失敗と判断されてしまう。
●DomainKeysの認証情報公開
DomainKeysで認証情報を公開する場合、まず、ドメイン名に「_domainkey」を付加したサブドメインに対してTXTレコードを定義し、そこにポリシーの定義を公開する。
_domainkey IN TXT "ポリシー情報"
なおこの情報は、受信側でそのドメインから来たメールの署名の照合が失敗した場合にのみ読み出すもので、署名の検証が成功した場合は読み出さない。たとえば、ドメイン名が「example.com」の場合は、_domainkey.example.comのTXTレコードとして公開する。ポリシーはtag=値;を並べて定義する(表5)。
表5●DomainKeysのポリシー情報を構成するtag●公開鍵の公開
DomainKeysでは、メールに添付する署名ヘッダに「s=」で指定したセレクタと「_domainkey」という文字列から構成したFQDN(*11)のTXTレコードとして、公開鍵を公開する。たとえば、ドメイン名example.comで、セレクタが「june」であったとすると、「june._domainkey.example.com」のTXTレコードになる。
june._domainkey IN TXT "鍵情報"
鍵情報は、tag=値;の組を羅列して定義する(表6)。
●受信時のチェック
DomainKey-Signatureのついたメールを受信したメールサーバ側では、そのヘッダのsタグとdタグの値から、公開鍵を呼び出すためのDNSクエリを作成する。このとき、dにはドメイン名が指定されているはずであるが、送信者アドレス(ヘッダ上のFrom:かSender:)のドメイン名が、dに指定されたドメインやその下位サブドメインのいずれでもない場合、認証は失敗してしまう。
受信サーバは、DNSクエリによって公開鍵を取得し、hタグによるヘッダの指定によりヘッダを選択したうえでcに指定された正規化処理を行い、電子署名の照合を実施する。そして、署名が正しければ認証成功となる。
認証結果は、該当のメールに「Authentication-Results:」というヘッダを追加して記録する。たとえば、認証に失敗した場合は、"Authentication-Results: gw.example.com; domainkeys=fail"というようなヘッダが追加される。ただし現在のdk-milterでは、1つ前のドラフトで規定していた「DomainKey-Status:」というヘッダを付与する。
DomainKeysの規格では、署名の検査に成功したものとしなかったものをどのように扱うかということについては明確に定義しておらず、受信者のローカルなポリシーに従って扱われると説明されている。認証が失敗した場合は、ポリシー情報を読み出して、送信者側が公開しているポリシーを参考にしたうえで、どのように扱うか判断すべきだろう。
■末政延浩
*11 FQDNFully Qualified Domain Name。IPネットワーク上で、ドメイン名やサブドメイン名、ホスト名を省略せずにすべて指定した記述形式。
関連記事
関連リンク
Copyright(c)2010 SOFTBANK Creative Inc. All rights reserved.
オンラインムック Special
- PR -Special
- PR -Special
- PR -ITmedia転職・求人 今週の特集
新着記事
- 最新プロセッサ対応のPowerEdgeシリーズ9種を発表 デル(5月24日 18時57分)
- PCI Express機器をイーサネットでつなぐ「ExpEther」、NECが商用化(5月24日 18時21分)
- 「Googleは特許侵害していない」 Android−Java訴訟、Oracleに不利な陪審員評決(5月24日 18時17分)
- Windows 8は起動が速過ぎてブートオプションメニューを出せない?(5月24日 17時37分)
- 油圧機器大手のKYB、堅牢さ求めIT基盤をデータセンター移行(5月24日 16時03分)
- 全プラットフォームでマルウェアが急増、日本はボットネット感染も増加――McAfee報告書(5月24日 15時54分)
- Oracle、ソーシャルマーケティングツールのVitrueを買収(5月24日 15時43分)
- SAPPHIRE NOW 2012 Orlando Report:多彩なゲストスピーカーも 写真で振り返るSAPPHIRE(5月24日 15時42分)
- バッファロー、Xeonプロセッサ搭載のハイエンドNAS製品を発売(5月24日 14時27分)
- 日本HP、北九州にデータセンターを開設(5月24日 14時16分)
- ケーズHD、基幹システム統合にOracle Exadataを採用(5月24日 13時55分)
- Facebookの下方修正を隠した? 株主がIPOをめぐって提訴(5月24日 13時19分)
- 人生はサーフィンのように:ストレス社会との付き合い方(5月24日 12時00分)
- 米Yahoo!、“検索ブラウザ”の「Axis」をPCとiOS向けに公開(5月24日 11時20分)
- iOS向けGoogle検索アプリがアップデート iPhone版もデザイン刷新(5月24日 09時26分)
- 松岡功のThink Management:「思いやり経営」のススメ(5月24日 08時00分)
- ホワイトペーパー:全日本空輸(ANA)など大手8社に学ぶ、全社の課題解決事例(5月24日 08時00分)
- Microsoftの月例更新プログラムで一部に不具合の報告あり(5月24日 07時31分)
- HP、2万7000人のリストラを発表 3期連続の減収減益(5月24日 07時25分)
- Google、検索結果でマルウェア感染マシンに警告(5月24日 07時15分)
アクセストップ10
節電お役立ち情報(スマートジャパン)
ITmediaはアイティメディア株式会社の登録商標です。