なりすましを知れば、
セキュリティの現在がわかる!
セキュリティの現在がわかる!
-
BIMIについて
DMARC などの送信ドメイン認証技術によって認証されたドメインは、より分かりやすい形でメール受信者に提示することができれば、ドメイン認証の効果を具体的に知るよい機会になります。こうした仕組みの一つとして、BIMIが登場しています。
BIMIレコードの例
BIMI も他の送信ドメイン認証技術と同様に、DNS のTXT レコード上に情報を設定します。
つまり、メールの送信側はメールの受信者に示すロゴ等の情報を自身のドメイン名の配下の DNS のTXTレコード上に公開する、ということになります。
例えば、ヘッダ上の送信者情報 (RFC5322.From) のドメインが example.jp である BIMI レコードは、以下の場所に設定されます。
default._bimi.example.jp IN TXT "v=BIMI1; l=https://example.jp/bimi/logo.svg;a=https://example.jp/bimi/logo-certificate.pem"
BIMI レコードで指定する各パラメータの意味は以下のとおりです。
| パラメータ | 概要 |
|---|---|
| v | 必須パラメータ。バージョン番号 (現在は”BIMI1”を固定)を指定。 |
| l | 必須パラメータ。ロゴ画像の場所。指定がない、または空の値が指定されている場合は明示的にロゴを表示しないことを表す。 現在はサポートされるイメージフォーマットはSVGのみ。 |
| a | 任意パラメータ。証明書(VMCまたはCMC)の場所。指定がない、または空の値が指定されている場合は、明示的に公開できる証跡がないことを表す。 |
| avp | 任意パラメータ。受信側がアバターを表示する機能がある場合に、ロゴを優先するか("bimi”)アバターを優先するか("personal”)を指定。指定がない場合は、ロゴ表示を指定。 |
BIMIレコードのパラメータでは、aで指定する証明書は任意となっていますが、実際にBIMIに対応している多くのサービスでは必須となっていますので、注意が必要です。
example.jp ドメインでBIMIレコードを設定する際、サブドメイン「_bimi」は固定です。
さらにそのサブドメイン default はセレクタ部分で、このセレクタを切り替えることにより、同じドメイン名で複数の BIMI レコードを定義することができます。
つまり、形式的には以下のドメインの TXT 資源レコードに BIMI レコードを設定することになります。
<selector>._bimi.<domain>
多くの場合はセレクタを利用せずにdefaultを使う場合が一般的ですが、セレクタを切り替える場合は、送信するメールヘッダでBIMI-Selector:として指定します。
これは、メールの送信側がヘッダ指定して、さらにDKIM署名の対象ヘッダに加えることになります。
指定されなかった場合のデフォルト値は、defaultサブドメインとなります。
例えば、marketingというサブドメインを使いたい場合は、以下のようなヘッダをメール送信側は追加します。
BIMI-Selector: v=BIMI1; s=marketing;
そして、あらかじめ以下のようなDNS のTXT資源レコードを公開しておきます。
marketing._bimi.example.jp IN TXT "v=BIMI1; l=https://example.jp/bimi/marketing-logo.svg;a=https://example.jp/bimi/marketing-logo-certificate.pem"
BIMI導入・なりすまし対策をお考えの企業様へ
*1
Brand Indicators for Message Identification
*2
いわゆるメールソフトウェア