質問
送信元IPはログより特定できるかと思います。BlackListに載せても次から次へとIPアドレスを変えて送ってくるので、完全に防ぐということができないです。
パターンマッチング方式およびサンドボックス方式などの防御対策に加え、社内への注意喚起を随時行うといったところでしょうか。
なりすましメールの
・送信元
・送信者
特定は、通常、該当メールのヘッダ情報から行うことになるのですが、
当然当該情報は偽装されている可能性が大きいため、
真偽のつかない場合が多数かと思います。
よって、お伺いの意図・趣旨とは若干違ってしまうかもしれませんが、
通常は届いたメールに対する正真性の担保のため、送信ドメイン認証技術
・spf (または SenderID)
・DKIM (または DomainKeys)
・spf と DKIM を併用した DMARC
による自社管理ドメインの正真性を担保することにより、他者(他社)が送信したなりすましメールの排除を目的に導入します。
自社のドメインから送信するメールの正真性を担保することにより、メール受信者に対する信頼性を高められます。
spf・DKIMを導入したサーバーにご興味がございましたら、
https://cast.works/mlsr
ビジネスPro プラン、または ビジネスFree プランにてご希望の仕様のサーバーをご相談のうえ作成させていただきます。
ご興味がございましたら、是非お問い合わせくださいませ。
https://cast.works/cf
本件、弊社が行ったアンケートでも特に母数が少ないアンケートで恐縮ですが、
https://twitter.com/cast_works/status/745531900215713792
このようなアンケート結果がございます。
ご参考までにどうぞ。
bs_tnさん
sysjojoさん
cast.WORKSさん
貴重なご意見ありがとうございます。
まだ特に対応いれていないのですが、ここ最近際限なく増えてきていていい加減対策したいなと。
自分のアドレスになりますましたメールも以下で排除可能なのでしょうか。
・spf (または SenderID)
・DKIM (または DomainKeys)
・spf と DKIM を併用した DMARC
導入時の影響はどんなことがありますでしょうか?
Webメールを利用していますが、導入可能でしょうか?
宜しくお願いします。
BBさん
まさしく、sysjojoさんがおっしゃっておられる内容で間違いありません。
さらに詳細には述べませんが、以下の点に言及しておきます。
仕組み上、spfは残念ながらかなり簡単に偽装(語弊がありますが)できてしまいますので、DKIMを併用することが重要です。
また、DKIMには「第三者署名」「作成者署名」があります。より厳密なサーバー運用ができるのであれば、「作成者署名」が設定可能な仕組み(メールサーバーとDNS)を断然お勧めいたします。
「自社が送ったメールがなりすましされてない」という証明としてはDKIMやSPFが重要だと思いますが、「他所から送られてくるメールが偽装されてない」事を判断したいということでしたら、SPFはsoftfailに設定されると判断できないので不十分かなと思いますし、DKIMは相手次第で、かつスパマーはDKIMとかバッチリなのに一般企業はDKIMなんか知らなかったりするので 機能的には良いんですが 現状としては DKIM で判断するのは運用的に難しいなという印象です。
うちの場合は、スパム対策等で 受け取ったメールがなりすましかどうか判断するときは、自社のサーバーが出力したReceivedヘッダーの情報からDNS逆引きやWhois、RBLサイトのブラックリストを検索したりして、最終的には管理者が判断してIPアドレスやFQDNでブロックするようにしてます。
「これで良いのか?」とか、「もっと楽にできないか」などといつも考えますが答えはでないですね・・・。
/* メールなんて無くなればいいのに */
うーん。
狙われたら全て防ぐのは非常に難しそうですね。
運用で管理者がブロックする、という作業は協力避けたいなぁ。。。
SPFとDKIMでどのくらい抑止可能なのか見てみたいですね。
狙われたら全て防ぐのは非常に難しそうですね。
メールを使った標的型攻撃が脅威なのはシステム的に排除しきれないからで、なりすましメールも基本的にはシステム的には排除しきれません。SPFとDKIMでどのくらい抑止可能なのか見てみたいですね。
SPFとDKIMでブロックすると、ブロックしちゃいけないメールもブロックしちゃうので運用でホワイトリストを作って云々ってなりますね。「メールが届かない」系の問合せも増えますし運用的には使えない機能だと思ってます。
自社のドメインにSPFとDKIMを設定するのは スパムではないとアピールする意味で有効ですけど、SPFとDKIMでブロックするのは使えないですね。(うちの場合はですが)
BBさん
結論を言いますと、「spf」や「DKIM」の送信ドメイン認証に「fail」するメール(なりすましメール)を「拒否する(reject)」などという処理が可能です。
ですから本来は、みんなが使った方が幸せになれる仕組みであるといえます。
※極論を言えば、取引先全社が送信ドメイン認証を利用してくれれば、当該ドメインで「fail」するメールは「reject」すればいいわけですね。
※事実、ケータイキャリア各社やGmail、Yahoo!にはspf・DKIMを設定していないドメインからのメールは届かなく(届きにくく)なってきていますよ。
※BtoCであれば近々にも必要になっているのではないでしょうか。
質問
送信元サーバー
送信者
は特定出来るのでしょうか?
特定して対策は打てるのでしょうか?
みなさんどんな対応されてますか?