Eメール(SMTP/POPなど)

 1. @でスプリットする
 2. 配列要素が2つかチェック。NGはエラー
 3. 1つ目の要素（ユーザ名部分）および2つ目の要素（ドメイン部分）に空白や制御文字、非ASCII文字が含まれていないかチェック。NGはエラー
 4. 2つ目の要素（ドメイン部分）がDNSのMXレコードを持つかチェック。NGはエラー

↑

メール認証/ドメイン認証/DKIM/DMARC†

→認証技術

→DNS関連

やらないとどういった問題が起こるかという観点で SPF/DKIM/DMARC を理解する - コネヒト開発者ブログ 2024.12

送信ドメイン認証技術(SPF、DKIM、DMARC)を理解する | レコチョクのエンジニアブログ 2024.11

DMARC「p=reject」設定後の変化 #spf - Qiita 2024.9

DMARCポリシー「none」または DMARC 対応していないドメイン名のなりすましフィッシングメール増加傾向、7 月のフィッシング報告状況 | ScanNetSecurity 2024.8

SPF/DKIM/DMARC などのチェックをするサイト #mail - Qiita 2018

DMARCへの対応が（ほぼ）終わりました😊感想とまとめ #spf - Qiita 2024.8

カード会社によるDMARC設定は59.2%に上昇するも最も厳しい設定ポリシー「reject（拒否）」はわずか19.6％ | 株式会社リンクのプレスリリース 2024.7

迷惑メール対策推進協議会「送信ドメイン認証技術 DMARC導入ガイドライン」公表 | ScanNetSecurity 2024.7

メール認証における ARC の仕組みと DMARC fail の対策 - NFLabs. エンジニアブログ 2024.3

使用していないドメインを勝手に名乗ってメールを送信されるのを防ぐためのDNS設定まとめ - GIGAZINE 2024.4

シーケンス図で理解する「メールセキュリティ」【試験対策】 #Security - Qiita 2024.3

【図解】初めてでも腹落ち！DKIMの仕組みと設定方法 2023

自分のメールアドレスを使ってスパムかどうか判定するSPF・DKIM・DMARCの仕組みをアニメーションで理解できる「Learn and Test DMARC」レビュー - GIGAZINE 2024.3

【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応予定に関するお知らせ（2024年1月23日 10:00更新） | さくらインターネット 2024.1

自社のメーリングリストが他社のDMARCレポートに引っかかった件 2024.4

DMARC をなめるな - 弁護士ドットコム株式会社 Creators’ blog 2024.1

DMARC 実装は 36％、SPF と DKIM の一方のみは 34％～デージーネット調査 | ScanNetSecurity 2024.2

DKIM署名、DMARCを設定したい | さくらのサポート情報 2024.1

突貫でおぼえるSPF、DKIM、DMARC | DevelopersIO 2024.1

E メールの認証方法 - Amazon Simple Email Service 2024.1
- Amazon SES における SPF, DKIM, DMARC設定の公式ドキュメント

メールを正しく送信するために必要な「SPF」「DKIM」「DMARC」とは一体どんなものなのか？ - GIGAZINE 2024.1

How to protect domains that do not send emails | Cloudflare 2024.1
- メール送信しないドメインでのSPF,DKIM,DMARC設定方法

SPF, DKIM, DMARCのDNSレコードの登録情報をdig, nslookupで確認する #mail - Qiita 2022

インターネット用語1分解説～DMARCとは～ - JPNIC 2023.4
- SPFおよびDKIMの挙動を補強するために、DMARCが提案されました。
- DMARCでは、認証失敗時にどのようにメールを処理すればよいかを、送信者が受信者に対してポリシーと呼ばれるレコードをDNS上で公開することで表明する仕組みになっています。
- 受信者は認証に失敗した場合に送信者のポリシーを参照し、それに基づいてメールをどのように取り扱うかを決定します。

DMARCとは？その仕組みと設定方法、SPFやDKIMとの関係 | Proofpoint JP 2023.4

【図解あり】DKIMの役割を3分で解説！！ドメイン送信技術のDKIMの仕組みを理解しよう | メール配信システム「blastmail」Offical Blog 2022.9
- 「DKIM」とは「Domain Keys Identified Mail」の略で、電子メールにおける送信ドメイン認証技術の一つです。
- 受信者側は秘密鍵によって電子署名を付与されたメールが、受信の過程で改ざんされたり、なりすましによる不正メールでないかを検証するために、DNSサーバーに公開鍵を依頼します。
- DNSサーバーから公開鍵を受け取った受信用サーバーは、公開鍵を使って秘密鍵でロックされた電子署名を検証します。

↑

SPF(Sender Policy Framework)†

SPFレコードに悩まされて - ROBOT PAYMENT TECH-BLOG 2024.5

SPF (やDMARC) を突破する攻撃手法、BreakSPF | 朝から昼寝 2024.3

SPF失敗の原因すべて：SPF ~all と -all の説明 2023

なぜSPF認証が失敗するのですか？2022年のSPF失敗を解決するには？ 2023

レコード情報の設定はどうしたらいいですか（ムームーDNS利用） – ヘルプセンター｜ロリポップ！レンタルサーバー 2024.1

SPF導入のすすめ 2007
- SPFとは、電子メールの送信元ドメインを認証する方式のひとつである。SMTPの拡張仕様であり、RFC 4408として定義されている。
- 受信側がSPFに対応していたら、example.comのTXTレコードをDNSで引きます。
- もしTXTレコードが存在していなければ、SPFはそのmailをneutral、中立として扱います。
- レコードが存在していたら、それがv=spfではじまっているかを確認します。これがSPFレコードです。こんな感じの内容です。
```
"v=spf1 +a:mail.example.com ?all"
```
- SPFレコードを受信サーバーが解釈した上で、そのmailの扱いを決めます。捨ててしまうとは限りません。通常Received-SPF:というヘッダーがmailに追加され、そこに判定結果が反映されます。
- SPFをどう使うかは、受信サーバーにまかされている
- SPFの仕組みというのは、From:を詐称するのはSMTPのセッションでいくらでも可能なのに対し、DNSのレコードは、正当なドメイン保持者でない限り難しいという点を利用しています。最も効果があるのはよってドメイン詐称です。

※SPFの注意点として、送信側メールサーバと受信側メールサーバの間に転送メールサーバが入ったときに、転送サーバが Envelope-FROM ヘッダを書き換えないと、受信側は転送サーバを接続元とみなし、SPF認証が失敗するということが発生する。

↑

SMTP認証†

SMTP認証とは？ POP before SMTPとSMTP-AUTH 2015

SMTP-AUTH（SMTP Authentication）は、SMTPに認証機能を追加したものでありPOPと同様に送信前にアカウント認証を必要とする

認証方法にはPLAIN、LOGIN、CRAM-MD5、DIGEST-MD5などがあります

PLAIN
「UserID\0UserID\0Password」というフォーマットで平文（無変換）またはBASE64化したデータで認証します。暗号化されていないため、SSL/TLSとの組み合わが推奨されます。
LOGIN
 PLAINと同様ですが、ユーザーIDとパスワードをBASE64化します。一度にユーザーIDとパスワードを送るのではなく、ユーザーIDとパスワードを別々に送る点が異なります。
 セキュリティ的 にはPLAINと同様にSSL/TLSとの組み合わせが必要です。
CRAM-MD5
 CRAM（Challenge-Response Authentication Mechanism/チャレンジレスポンス認証）と呼ばれる認証方法が利用されます。
 クライアントはサーバーからBASE64化されたタイムスタンプを受け取り、それをデコードします。クライアントはデコードした
 タイムスタンプをパスワードをキーとしてMD5（Message Digest Algorithm 5）と呼ばれるアルゴリズムにより
 ハッシュ値（d41d8cd98f00b204e9800998ecf8427eのような）を求めます。ハッシュ値にユーザーIDを加えBASE64化してサーバーに送ります。
 サーバーはユーザーIDとパスワードを知っているので、送信したタイムスタンプのハッシュ値を求め、受信したハッシュ値と一致していたら
 認証を許可します。パスワードがネットワークに流れないため、PLAINやLOGINと比較すると安全性が高まります。
DIGEST-MD5
CRAM-MD5であっても任意のタイムスタンプを組み合わることで、辞書攻撃や総当り攻撃（ブルートフォースアタック）などが可能です。
DIGEST-MD5はCRAM-MD5を拡張して、これらの攻撃への耐性を高めたものです。Realm（ドメイン）やURLの指定や
HMAC（Keyed-Hashing for Message Authentication）による暗号化に対応しています。

↑