日本プルーフポイントの「Proofpoint Email Fraud Defense」(Proofpoint EFD)は、なりすましメール対策技術「DMARC」のレポートを可視化するクラウドサービスである。ビジネスメール詐欺(BEC)対策などを主な目的とする。

Proofpoint Email Fraud Defenseの概要
(出所:日本プルーフポイント)
[画像のクリックで拡大表示]

 DMARCの特徴の1つは、メール本文中で送信者を示す部分(FROMヘッダー)を詐称しているメールを検知して、なりすまされた企業あてにレポートを送ってくれること。このレポートはXML形式で、DMARCレポートと呼ばれる。

 Proofpoint EFDは、DMARCレポートを収集してWebで可視化するサービスである。マネージドサービスを提供することが特徴で、DMARCを使う際に必要なDNSレコードの記述方法などについてアドバイスをしてくれる。

 具体的には、メール受信者になりすましメールをどう処理して欲しいかの設定や、送信ドメイン認証技術(SPFとDKIM)の設定についてアドバイスする。例えば、正しいメールサーバーだと思われるが、SPFの設定で漏れているIPアドレスを調べて提示する。

 Proofpoint EFDの利用は、DNSの設定だけで開始できる。DNSのDMARCレコードの中にDMARCレポートの受信メールアドレスを記述できるので、ここにProofpoint EFDのメールアドレスを記述するだけでよい。

DMARCは、SPFとDKIMを包含した成りすましメール対策

 DMARCは、SPFとDKIMという2つの送信ドメイン認証技術を包含したメールセキュリティ技術である。SPFとDKIMはいずれも、メールの送信者が正規の送信者かどうかを調べる。SPFはメール送信サーバーのIPアドレスが正しいかどうかを認証し、DKIMは電子署名を使って認証する。

 SPFは、SMTPセッションのMAIL FROMコマンドの引数(エンベロープFROM)に含まれるドメイン名からDNSをひき、DNSのSPFレコードに登録されているメール送信サーバーのIPアドレスを調べ、IPアドレスが一致するかどうかを判定する。

 DKIMは、メール本文に含まれるDKIMヘッダーに含まれるドメイン名からDNSをひき、DNSのDKIMレコードに登録されている公開鍵を使って、DKIMヘッダーに含まれる電子署名を検証して判定する。

 DMARCではさらに、メール本文中のFROMヘッダーに書かれているドメイン名が、SPFが判定に用いるドメイン名(エンベロープFROM)やDKIMが判定に用いるドメイン名(DKIMヘッダーに含まれるドメイン名)と一致するかどうかを判定する。さらに、FROMヘッダーに書かれているドメイン名に対してDNSをひき、DNSのDMARCレコードを参照する。

 DMARCレコードには、なりすましメールの処置方法として、メール受信者側で受信を拒否してもよい(reject)といった、アクセス制御のポリシーが、なりすまされた企業によって宣言されている。さらに、DMARCレポートを送信するメールアドレスが書かれている。

Proofpoint Email Fraud Defenseの概要
用途と機能なりすましメール対策技術「DMARC」のレポートを可視化するクラウドサービス。なりすまされた企業に代わってDMARCレポートを収集し、Webで可視化する
特徴マネージドサービスを提供すること。DMARCを使う際に必要な、DNSレコードの記述方法などについてアドバイスをする。具体的には、メール受信者になりすましメールをどう処理して欲しいかの設定や、送信ドメイン認証技術(SPFとDKIM)の設定についてアドバイスする
アドバイスの例正しい送信メールサーバーと思われるが、SPFの設定に漏れているIPアドレスを調べて提示する。これをDNSのSPFレコードに追記することによって、誤ってなりすましメールと見なされる事故を防止する
サービスの使い方DNSの設定だけでProofpoint EFDの利用を開始できる。DNSのDMARCレコードの中にDMARCレポートの受信メールアドレスを記述できるので、ここにProofpoint EFDのメールアドレスを記述する
SPFの仕組みSMTPセッションのMAIL FROMコマンドの引数(エンベロープFROM)に含まれるドメイン名からDNSをひき、DNSのSPFレコードに登録されているメール送信サーバーのIPアドレスを調べ、IPアドレスが一致するかどうかを判定する
DKIMの仕組みメール本文に含まれるDKIMヘッダーに含まれるドメイン名からDNSをひき、DNSのDKIMレコードに登録されている公開鍵を使って、DKIMヘッダーに含まれる電子署名を検証して判定する
DMARCの仕組みメール本文中のFROMヘッダーに書かれているドメイン名が、SPFが判定に用いるドメイン名(エンベロープFROM)やDKIMが判定に用いるドメイン名(DKIMヘッダーに含まれるドメイン名)と一致するかどうかを判定する。さらに、FROMヘッダーに書かれているドメイン名に対してDNSをひき、DNSのDMARCレコードを参照する
価格オープンで非公開だが、無償で評価できる環境を提供する
発表日2017年12月12日
提供開始日2017年12月12日