2025/09/23(火)SPF,DKIM,DMARC,ARC,SRS総ざらえ(メールセキュリティ技術)
調査ツール
https://mxtoolbox.com/SuperTool.aspxが便利比較表
| 技術 | 着目点 | 主な仕組み | 作用層 | なりすまし防止の観点 | 技術根拠(RFC等) | 公開年 | 標準化状況 |
|---|---|---|---|---|---|---|---|
| SPF | エンベロープFrom(MAIL FROM / Return-Path)の送信元IP | DNSに登録された許可IPリストを参照し、受信側が検証 | エンベロープ | 偽装したIPアドレスからの送信を排除(送信経路の正当性) | RFC 7208 | 2014 | Proposed Standard |
| DKIM | メッセージ本文と特定ヘッダの改ざん防止、署名ドメイン(d=タグ) | 公開鍵暗号方式で署名、受信側がDNS公開鍵で検証 | ヘッダ+本文 | 本文改ざん防止、署名ドメインが責任を持つことを保証 | RFC 6376 | 2011 | Proposed Standard |
| DMARC | ヘッダFromのドメインとSPF/DKIMのアライメント | SPFとDKIMの検証結果を参照し、From: ヘッダのドメインと一致するか判定 | ヘッダ | ユーザーが目にするFromドメインを守り、ブランドなりすまし防止 | RFC 7489 | 2015 | Informational(※bisで標準化作業中) |
| ARC | 認証結果(SPF/DKIM/DMARC)の履歴を改変ホップごとに署名 | AAR/AMS/ASで署名付き認証履歴を中継サーバーが保持 | ヘッダ | 転送やメーリングリストで失われる認証結果を後続ホップに伝達 | RFC 8617 | 2019 | Experimental |
| SRS | 転送時のエンベロープFromの書換え | Return-Pathを転送サーバーの形式に書換え、SPF整合性を維持 | エンベロープ | 転送によるSPF破綻を防ぎ、転送メールの正当性を保証 | draft-levine-srs-* | 2003以降 | Internet-Draft(標準未策定、事実上の運用仕様) |
| 攻撃シナリオ | SPF | DKIM | DMARC | ARC | SRS |
|---|---|---|---|---|---|
| IPなりすまし(送信元サーバ偽装) | ◎ | △ | ○ | △ | △ |
| Fromドメイン偽装(表示ドメイン詐称) | △ | ○ | ◎ | △ | × |
| 本文改ざん(経路上で内容書換え) | × | ◎ | ○ | △ | × |
| 転送時のSPF破綻(Return-Pathが元のまま) | × | ○ | △ | △ | ◎ |
| メーリングリスト経由(Subject等改変で署名崩壊) | × | △ | △ | ◎ | ○ |
| 経路改ざん/不正中継 | ○ | ○ | ◎ | ○ | △ |
◎ … 強力に有効
○ … 一定の有効性あり
△ … 間接的または限定的に有効
× … 効果なし
補足:
- SPF:送信元IPの正当性が主目的。転送で壊れやすい。
- DKIM:本文/ヘッダ署名で改ざん検知。From偽装には直接効かない。
- DMARC:From表示ドメインの整合性を最終的に強制するポリシー。
- ARC:転送やMLで失われがちな認証結果を「履歴として伝える」仕組み。
- SRS:転送時にReturn-Pathを書き換え、SPF破綻を防ぐ補助策。